Decisiones de enrutamiento de VPN

Se aplica a

  • Windows10
  • Windows11

Las rutas de red son necesarias para que la pila comprenda qué interfaz usar para el tráfico saliente. Una de las decisiones más importantes para la configuración de VPN es si quieres enviar todos los datos a través de VPN (túnel forzado) o solo algunos datos a través de la VPN (túnel dividido). Esta decisión afecta a la configuración y el planeamiento de capacidad, así como las expectativas de seguridad de la conexión.

Configuración de túnel dividido

En una configuración de túnel dividido, se pueden especificar las rutas para ir por VPN y todo el tráfico restante pasará por la interfaz física.

Las rutas pueden configurarse mediante la opción VPNv2/ProfileName/RouteList en el proveedor de servicios de configuración (CSP) VPNv2.

Para cada elemento de la ruta en la lista, puede especificarse lo siguiente:

  • Dirección: VPNv2/NombreDePerfil/ListaDeRuta/IdDeFilaDeRuta/Dirección

  • Tamaño de prefijo: VPNv2/NombreDePerfil/ListaDeRuta/IdDeFilaDeRuta/Prefijo

  • Ruta de exclusión: VPNv2/NombreDePerfil/ListaDeRuta/IdDeFilaDeRita/RutaDeExclusión

    La plataforma de VPN de Windows ahora admite la capacidad de especificar las rutas de exclusión que en concreto no deben incluirse en la interfaz física.

También pueden agregarse rutas en tiempo de conexión a través del servidor para aplicaciones VPN para UWP.

Configuración de túnel forzado

En una configuración de túnel forzado, todo el tráfico pasará por VPN. Esta es la configuración predeterminada y surte efecto si no se especifica ninguna ruta.

La única implicación de esta configuración es la manipulación de las entradas de enrutamiento. En el caso de un túnel forzado, las rutas VPN v4 y v6 predeterminadas (por ejemplo, 0.0.0.0/0) se agregan a la tabla de enrutamiento con una métrica inferior a las de otras interfaces. Esto envía el tráfico a través de la VPN, siempre y cuando no haya una ruta específica en la interfaz física misma.

Para una VPN integrada, esta decisión se controla mediante la opción de MDM VPNv2/ProfileName/NativeProfile/RoutingPolicyType.

Para un complemento de VPN para UWP, la aplicación controla esta propiedad directamente. Si el complemento VPN indica la ruta predeterminada para IPv4 e IPv6 como las dos únicas rutas de inclusión, la plataforma VPN marca la conexión como Túnel forzado.

Configurar el enrutamiento

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.

Cuando configuras un perfil de VPN en Microsoft Intune, seleccionas una casilla para habilitar la configuración de túnel dividido.

túnel dividido.

Luego, en Límites corporativos, agregas las rutas que deben usar la conexión VPN.

agregar ruta para el túnel dividido.

Temas relacionados