VNET peering com o trânsito do gateway no local não funcionando corretamente

2

Temos um VNET (vamos chamá-lo de VN_MAIN ) que está configurado para ter uma conexão VPN S2S com nossa rede local. As VMs implantadas em sub-redes de VN_MAIN podem ser acessadas no local.

O que estou tentando fazer é criar outro VNET ( VN_OTHER ) e garantir que você possa alcançar no local VN_OTHER e vice-versa, passando por VN_MAIN atuando como um hub.

VN_MAIN tem um espaço de endereço de 10.123.128.0/20 (não criado por mim). Eu precisava de um espaço de endereço /16 para minha nova VNET e queria evitar a sobreposição, então criei VN_OTHER com espaço de endereço 10.230.0.0/16 .

Inspirando-se na topologia hub-spoke descrita aqui , criei um peering em cada VNET:

  • Em VN_MAIN : main-to-other-peering a VN_OTHER , tráfego encaminhado permitido + trânsito permitido de gateway
  • Em VN_OTHER : other-to-main-peering to VN_MAIN , tráfego encaminhado permitido + use gateways remotos verificados

Depois, para testar isso, eu lancei duas máquinas Linux: machine-1 on VN_MAIN (sub-rede 10.123.129.0/24 ) e machine-2 on VN_OTHER (sub-rede 10.230.0.0/16 = o espaço inteiro).

De acordo com o meu entendimento do artigo que eu relacionei, isso deve ser suficiente para o que estou tentando realizar. No entanto, não funciona corretamente. Aqui estão os pings que eu tentei:

  • machine-1 a machine-2 : OK
  • machine-2 a machine-1 : OK
  • my-laptop a machine-1 : OK
  • machine-1 a my-laptop : OK
  • my-laptop to machine-2 : NÃO OK
  • machine-2 to my-laptop : NÃO OK

Assim, o peering entre as VNETs funciona, mas o trânsito do gateway não funciona, embora eu acredite que tenha feito tudo que eu deveria fazer para permitir isso. Estou certo de que isso não é um problema com as regras do NSG.

Alguém pode dizer se algo está faltando aqui, por favor?

    
por valorl 13.04.2018 / 16:24

3 respostas

0

Parece que o seu gateway onprem não tem uma rota para a 10.230.0.0/16 (VN_Other) via VPN S2S

    
por 15.04.2018 / 01:39
0

Você não precisa apenas de uma rota definida no local para rotear através do túnel, mas o seu dispositivo vpn no local precisa estar ciente de que deve permitir o tráfego desse espaço de endereço. Depois de fazer isso, ele deve funcionar bem.

    
por 16.04.2018 / 03:22
0

Você só precisa ajustar sua rede e a rede gosta dessa captura de tela:

EufizotesteeprepareioVnetquevocêusou:VN_MAIN,VN_OTHER.

•VN_MAIN:fazP2SdaredelocalparaoVnetVN_MAIN.EoespaçodoIPdesub-rede:172.22.0.0/24.EoespaçoIPdoP2S:172.20.200.0/24.

•VN_OTHER:efetuapeeringdeVN_OTHERparaVN_MAINcomUsegatewayremotoselecionadoefazpeeringdeVN_MAINparaVN_OTHERcomPermitirtrânsitodegatewayselecionado.EoespaçodoIPdasub-rede:172.23.0.0/24.

Oresultadogostadascapturasdetelaabaixo:

PingVMnoVnetVN_MAINeVMnoVnetVN_OTHERdaredelocal

Ping na rede local do Vnet VN_OTHER

PingnaredelocaldoVnetVN_MAIN

E você pode alterar o tipo P2S para S2S, eles são todos suportados no Azure.

O que você deve tomar cuidado é que o Vnet VN_MAIN só poderia ser do tipo Gerenciador de recursos. Se você quiser saber mais informações, leia o documento aqui .

    
por 29.05.2018 / 09:22