服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Azure VPN站点到站点连接但主机无法访问
Intereting Posts
Keep-Alive头文件不是从Tomcat 5.5 http连接器发送的? 如何设置SMTP ID到我的服务器? 在CentOS上通过Xenconfiguration的Windows Server中运行Linux docker容器(可以这样做吗?) 企业备份w /智能手机选项? 拦截/阻止来自mailx + phpmailer的外发电子邮件 DRBD与MySQL nginx + php-fpm + apc …压缩? 收集“接口”插件报告累计值而不是速率 无法在Ubuntu 16.04服务器上安装php-zip 哪个进程正在吃我的硬盘? 在HP ProLiant RAID 5arrays中重新使用备用驱动器 是否可以在Windows和Linux之间共享PostgreSQL数据库? 服务中缺lessASP.Net状态服务 在Ubuntu下安装脚本作为启动服务 ReportManager如何在防火墙后面使用不同于外部的端口?

Azure VPN站点到站点连接但主机无法访问

使用Azure网关VPN,我创build了一个站点到站点的连接,与另一个无法控制的vpn设备(检查点)(客户端点)。

我创build了连接,使用他们的公共IP,声明了密钥和本地地址空间,我与客户讨论了双方需要什么“本地”IP。 我们同意172.0.0.0范围内的一个IP。

网关连接说成功/连接,并且我看到在数据输出字段(kb的不是MB)很less的stream量。

但是,当我尝试从我的Windows Server 2016 VM ping本地地址空间(172.xxx.xxx.xxx)时,我只能得到请求超时错误。

我是否需要在Windows中创build其他路线? 我尝试添加路线 

route -p ADD 172.xxx.xxx.xxx MASK 255.255.255.255 0.0.0.0

但主机仍然无法访问。

有任何想法吗? 谢谢

编辑:下面添加一些进展

谢谢,我允许ping,我现在可以从我的Azure虚拟机(这是10.XXX.XXX.4)ping我的VPN网关。 然后我添加了路由“route -p ADD 172.xxx.xxx.xxx MASK 255.255.255.255 10.XXX.XXX.4”

并通过tracert我可以看到172地址路由到/通过VPN网关,但然后超时。 这是否意味着现在的问题是在内部部署?

编辑2

到现在,当运行vpn诊断。 日志我确实看到了一些stream量,但是我仍然无法到达另一边。 

 Connectivity State : Connected Remote Tunnel Endpoint : XXX.XXX.XXX.XXX Ingress Bytes (since last connected) : 360 B Egress Bytes (since last connected) : 5272 B Ingress Packets (since last connected) : 3 Packets Egress Packets (since last connected) : 130 Packets Ingress Packets Dropped due to Traffic Selector Mismatch (since last connected) : 0 Packets Egress Packets Dropped due to Traffic Selector Mismatch (since last connected) : 0 Packets Bandwidth : 0 b/s Peak Bandwidth : 0 b/s Connected Since : 9/18/2017 5:33:18 AM

首先,检查Windows防火墙是否阻止了ICMP。

searchWindows防火墙,然后单击将其打开。

  1. 点击左侧的高级设置。
  2. 在结果窗口的左侧窗格中,单击入站规则。
  3. 在右侧窗格中,find标题为文件和打印机共享(回显请求 – ICMPv4-In)的规则。
  4. 右键单击每个规则并select启用规则。

其次,确保你有适当的路由。 您内部部署环境中的服务器需要知道如何访问Azure环境。 如果你的网关能ping通Azure服务器,反之亦然,那么除了知道这条路由的唯一设备就是GW之外,这一切都是很好的。 确保networking中的服务器知道如何访问Azurenetworking,并通过网关向Azurenetworking添加路由。 例:

下一跳也是本地VPN: 

 VMs -> Default Windows Gw/Vpn Device -> Azure VPN Gw route -p add <azure_network> mask <azure_net_mask> gw <azure_vpn_gw_ip>

由于您的虚拟机下一跳通常是默认的Windows Gw,这将确保到达azure_network的下一个跃azure_vpn_gw_ip 。 确保路由表(Azure中的本地网关configuration)也具有本地网段。

根据您的描述,似乎您的自定义networking禁用ICMP。 可能有边缘networking防火墙实施或Windows防火墙。

我build议你可以使用其他服务(如RDP或http)的testing。 另外,您可以使用tcping来确定networking连接。

对于debugging你的问题,我build议你可以检查你的VPN网关日志,请参考这个链接 。

更新:

根据OP的VPN网关日志。 

 Connectivity State : Connected Remote Tunnel Endpoint : Ingress Bytes (since last connected) : 0 B Egress Bytes (Since last connected) : 107604 B Connected Since : 9/14/2017 6:35:28 AM

VPN隧道没有正确configuration。 你需要再次检查你的VPNconfiguration。

你提供什么样的VPN? 如果你不使用Basic,BGP会自动为你设置所需的路由。

如果它是基本的,那么您将需要在Azure中设置一个路由表,以将stream量引导到正确的networking。

像这样设置路由表:

在这里输入图像说明

您应该在下表中将GatewaySubnet和您的本地子网作为虚拟networking网关。

如果这不起作用,请使用IPstreamvalidation选项,以确保stream量可以通过您的安全组。 默认情况下,RDP应该可以访问,即使ping不是,所以尝试不同的端口。