Parece que o seu gateway onprem não tem uma rota para a 10.230.0.0/16 (VN_Other) via VPN S2S
Temos um VNET (vamos chamá-lo de VN_MAIN
) que está configurado para ter uma conexão VPN S2S com nossa rede local. As VMs implantadas em sub-redes de VN_MAIN
podem ser acessadas no local.
O que estou tentando fazer é criar outro VNET ( VN_OTHER
) e garantir que você possa alcançar no local VN_OTHER
e vice-versa, passando por VN_MAIN
atuando como um hub.
VN_MAIN
tem um espaço de endereço de 10.123.128.0/20
(não criado por mim). Eu precisava de um espaço de endereço /16
para minha nova VNET e queria evitar a sobreposição, então criei VN_OTHER
com espaço de endereço 10.230.0.0/16
.
Inspirando-se na topologia hub-spoke descrita aqui , criei um peering em cada VNET:
VN_MAIN
: main-to-other-peering
a VN_OTHER
, tráfego encaminhado permitido + trânsito permitido de gateway VN_OTHER
: other-to-main-peering
to VN_MAIN
, tráfego encaminhado permitido + use gateways remotos verificados Depois, para testar isso, eu lancei duas máquinas Linux: machine-1
on VN_MAIN
(sub-rede 10.123.129.0/24
) e machine-2
on VN_OTHER
(sub-rede 10.230.0.0/16
= o espaço inteiro).
De acordo com o meu entendimento do artigo que eu relacionei, isso deve ser suficiente para o que estou tentando realizar. No entanto, não funciona corretamente. Aqui estão os pings que eu tentei:
machine-1
a machine-2
: OK machine-2
a machine-1
: OK my-laptop
a machine-1
: OK machine-1
a my-laptop
: OK my-laptop
to machine-2
: NÃO OK machine-2
to my-laptop
: NÃO OK Assim, o peering entre as VNETs funciona, mas o trânsito do gateway não funciona, embora eu acredite que tenha feito tudo que eu deveria fazer para permitir isso. Estou certo de que isso não é um problema com as regras do NSG.
Alguém pode dizer se algo está faltando aqui, por favor?
Parece que o seu gateway onprem não tem uma rota para a 10.230.0.0/16 (VN_Other) via VPN S2S
Você não precisa apenas de uma rota definida no local para rotear através do túnel, mas o seu dispositivo vpn no local precisa estar ciente de que deve permitir o tráfego desse espaço de endereço. Depois de fazer isso, ele deve funcionar bem.
Você só precisa ajustar sua rede e a rede gosta dessa captura de tela:
EufizotesteeprepareioVnetquevocêusou:VN_MAIN,VN_OTHER.
•VN_MAIN:fazP2SdaredelocalparaoVnetVN_MAIN.EoespaçodoIPdesub-rede:172.22.0.0/24.EoespaçoIPdoP2S:172.20.200.0/24.
•VN_OTHER:efetuapeeringdeVN_OTHERparaVN_MAINcomUsegatewayremotoselecionadoefazpeeringdeVN_MAINparaVN_OTHERcomPermitirtrânsitodegatewayselecionado.EoespaçodoIPdasub-rede:172.23.0.0/24.
Oresultadogostadascapturasdetelaabaixo:
PingVMnoVnetVN_MAINeVMnoVnetVN_OTHERdaredelocal
Ping na rede local do Vnet VN_OTHER
PingnaredelocaldoVnetVN_MAIN
E você pode alterar o tipo P2S para S2S, eles são todos suportados no Azure.
O que você deve tomar cuidado é que o Vnet VN_MAIN só poderia ser do tipo Gerenciador de recursos. Se você quiser saber mais informações, leia o documento aqui .