我在澳大利亚东部地区有一个 Azure 虚拟网络网关,以“基于路由”模式运行“基本”VPN SKU (MainVGW)。MainVGW 有两个“连接”(BR 和 MH),它们是 IPsec 站点到站点 VPN 连接到两个单独的站点 (SITE 1 和 SITE 2)。然后,我在同一地区运行一个 VM (TestVM)。每个远程站点使用一个 Ubiquiti EdgeRouter,该路由器配置为连接到其 IPsec VPN,并使用具有静态路由的 VTI (BRrouter 和 MHrouter) 在其上传输隧道流量。每个站点还有一台连接到路由器的 PC,其 IP 在本地范围内 (BRtestPC 和 MHtestPC)
VPN 连接运行良好,因为每个站点的测试 PC(BRtestPC 或 MHtestPC)都可以与 Azure 上的 TestVM 进行通信。但是,我无法从 BRtestPC 通信到 MHtestPC通过 MainVGW,即使两端的路由器都有单独的静态路由,将流量通过 MainVGW 传递到另一个站点。我也无法从 MHrouter ping BRrouter 或反之亦然,尽管两者都可以成功 ping TestVM。
我读过的文档似乎表明这应该不需要任何额外的配置。这里有一些关于如果运行基于策略的路由该怎么做的信息https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps但同样,这似乎表明基于路线的连接不需要额外的信息。
我认为静态路由在我的路由器上配置正确,并且感觉 Azure 端必须有一个设置来阻止我以某种方式遗漏的 IPsec 站点到站点 VPN 连接之间的流量流动 - 有人可以解释一下吗?
谢谢。
答案1
除了使用 UDR,您还可以使用边界网关协议在您的 VPN 设备上。但这要求您使用 VpnGw1 SKU 或更高版本。
答案2
我唯一能想到的是,您可能需要 Azure vNET 上的用户定义路由,将流量指向每个本地网络的正确隧道/Azure 网关端点
https://docs.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal
路线名称: 路线站点1
地址前缀:10.1.100.1/16。
下一跳类型:虚拟设备(指向 Site1 的隧道/端点)