这可能是一项微不足道的任务,但我无法管理,也不知道如何调试。我已经创建了一个 VPN 网关和相关的隧道到本地网络。基于路由的隧道目前处于已确立的状态。
路线定义为默认网络并将 IP 范围定向 10.25.0.0/24到 VPN 隧道。
我的计算引擎实例网络接口定义为使用默认网络。在网络接口详细信息页,路线分析选项卡中我可以看到 vpn 连接的路由处于活动状态,并且没有被任何其他路由覆盖。
当我尝试 ping 网络中的一台机器时,却10.25.0.100什么也没得到。Traceroute 也报告超时。最终目标网络中没有收到任何流量。
我遗漏了什么?我该如何检查这个问题?你有什么建议吗?
答案1
首先,我要确认您的本地网络是否允许此通信。根据GCP 文档中的“本地规则”建议如下:
1) 配置规则以允许往返于 GCP 网络中子网使用的 IP 范围的出站和出站流量。
2) 允许所有协议和端口,或者您可以将流量限制为仅必要的一组协议和端口以满足您的需求。
3) 如果您需要使用 ping 在本地系统和 GCP 中的实例或资源之间进行通信,请允许 ICMP 流量。
4) 本地防火墙规则既可以通过网络设备(例如安全设备、防火墙设备、交换机、路由器和网关)来实现,也可以通过系统上运行的软件(例如操作系统附带的防火墙软件)来实现。所有“通往”GCP 的防火墙都必须进行适当配置,以允许流量通过。
使用来自 GCP 端的跟踪路由,您将无法获得可用的信息,相反,我会从本地端尝试它,以确保发往 GCP 的流量通过 VPN 隧道的本地端。
我还建议您咨询“检查连通性”部分GCP VPN 故障排除文档其中有一些与您的场景相关的好建议。