我需要一些帮助(或者可能是更好的攻击角度)将一些外部用户连接到我们的 Azure 租户。
注意:下面提到的所有资源都位于同一个 Azure 订阅、同一个 Azure 位置和同一个 Azure 资源组中。
有一个虚拟网络正在运行 Windows 2016 VM。此 v-net(称为主虚拟网络)有一个配置了站点到站点 VPN 的虚拟网关(称之为虚拟专用网络)。此 S2S VPN 配置为基于策略的 IPSEC VPN,以便本地 Billion 7800VDOX 可以连接 - 连接没有任何问题。但是,由于它是基于策略的配置,因此我无法配置与此 S2S 共存的点对站点 VPN。但是,如果它是基于路由的配置,则 P2S 和 S2S 共存将起作用(并且确实如此 - 我已经测试过了)。但是本地 Billion 无法连接,因为它不支持 IKEv2(这是基于路由的 IPSEC VPN 使用的)。所以现在我们被迫使用基于策略的配置。
我必须创建一个新的 v-net(互联网络),然后是新的 v-net 网关(P2S-VPN),然后配置点到站点 VPN 和客户端。我已完成此操作,并且能够成功使用 Azure VPN 客户端连接到 VPN,但我无法访问 MAIN-VNET 上的 Windows 服务器。
我无法创建“vnet-vnet”连接,因为其中一个 VPN 是基于策略的,而 Azure 不支持它。
我已经尝试为两个网络创建一个对等点(请注意,我没有勾选Allow forwarded traffic、Allow gateway transit或Use remote gateways),但仍然无法访问服务器。
我已经在连接到 Windows 服务器的网络安全组中创建了入站/出站规则,允许每个 v-net 的各个子网之间的所有端口,但这也无济于事。
有人对如何在两个 V-Net 之间打通流量有什么建议吗? 我需要它,以便任何通过 P2S-VPN 连接的外部用户都可以访问 MAIN-VNET 上的 Windows 服务器。通过 Billion 设备和 S2S VPN 连接到此 Windows 服务器的本地用户目前在连接到 Windows 服务器时没有问题。
LAN ==> Billion ==> S2S-VPN ==> MAIN-VNET ==> Windows server [OK]
Remote user ==> P2S-VPN ==> P2S-VNET =/= MAIN-VNET ==> Windows server [NOT OK]
答案1
看来您已满足 VNET Peering 的要求。您所要做的就是连接两个 VNET 并启用 Gateway Transit。
以下是概述:
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview
以下是操作方法:
重新配置 VNET 后,请务必重新下载 P2S 客户端,否则您将无法获得新的路由。
答案2
Remote user ==> P2S-VPN ==> P2S-VNET =/= MAIN-VNET ==> Windows server [NOT OK]
这是一种设计行为,我们不能以这种方式使用 Vnet 对等(Vnet 对等不会将远程用户的网络流量路由到 Windows 服务器)。
您的目标是在本地网络和 Azure Vnet (MAIN-VNET) 之间创建 P2S VPN,作为一种解决方法,我们可以在 MAIN-VNET 中创建一个 Windows 服务器,并将其配置为RRAS VPN服务器,这样我们就不必在 Azure 中创建另一个 Vnet。
LAN ==> Billion ==> S2S-VPN ==> MAIN-VNET ==> Windows server
Remote user ==> RRAS VPN ==>MAIN-VNET==>Windows server