就目前情况而言,我有一个在本地和 Azure 之间运行良好的站点到站点 VPN。
我目前正在使用 SSL VPN 连接我的本地,但我想将我的客户迁移到 Azure 中,使用点到站点 VPN,因为我们要将所有关键基础设施都迁移到那里。在我理想的未来情况下,Azure 是一切的核心,而我的本地只是一个美化的热点,我的用户无需从那里使用 VPN,而且速度更快。
我可以从 Azure 和 On-Prem 之间来回 ping,并且我的 SSL VPN 客户端可以毫无问题地 ping 到 Azure 或 On-Prem 子网。但是,当我的客户端连接到 Azure 中的 Point-to-Site 时,它们可以 ping 在 Azure 中运行的虚拟机,但无法访问我本地 On-Prem 网络上的任何系统。这将给迁移带来挑战,因为这意味着我基本上必须“大刀阔斧”地进行切换,而不是按合理方式移动事物。
设置如下:
Local Site - 10.0.20.0/24 < ---- Site to Site VPN ----> Azure Site - 10.0.40.0/24
| |
| |
| |
Local VPN Client - 10.0.30.0/24 Azure Point-to-Site VPN - 10.0.50.0/24
基本上,试图了解我可能遗漏了什么,从而阻止 Point-to-Site 上的客户端返回本地站点。我检查了本地站点端的防火墙规则,但数据包似乎从未出现在数据包转储中。
有趣的是,经过故障排除后,我目前最好的猜测是 IKEv2 提案列表 10.0.20.0 <-> 10.0.40.0 和 10.0.30.0 <-> 10.0.40.0,但无法让 10.0.20.0 <-> 10.0.50.0 的隧道出现,因为 Azure 会根据子网配置自动启动它,而我似乎无法将 Point-To-Site 子网作为我定义为 VNet 连接一部分的子网的一部分。我想知道这是否意味着 Azure 不会从 P2S 子网路由回本地站点,因为它与第 2 阶段提案不匹配,如果是这样,是否有任何方法可以让 Azure 端添加它,以便我可以将其作为隧道的一部分启动。
任何帮助表示感谢
答案1
我已经在我的实验室测试了你的计划并且它对我有效。
如果您的站点到站点 VPN 和点到站点 VPN 都正常工作,那么此问题最可能的原因是 Azure VPN 客户端缺少路由条目。
请确保本地 VPN 设备具有正确的 Azure 客户端路由条目,并且应将其路由到 Azure。
我使用 RRAS 测试了您的计划,10.50.1.0/24 是我的 Azure VPN 客户端的子网。
