我是新来的,也是 Sophos XG 防火墙和 Azure 的新手,也不是网络专家,这可能不是一个好的组合。从好的方面来看,我可能错过了一些非常简单的东西 :)
我已按照本指南从 Sophos XG 防火墙建立到 Azure 的连接: https://community.sophos.com/kb/en-us/127546
Sophos 和 Azure 都表示隧道已启动并正在运行,并且我偶然发现我能够从本地网络和 VM ping GatewaySubnet 中的两个 IP 地址。
但我无法从 Azure VM ping 到 Sophos 网络上的任何 IP,也无法从任何客户端或 Sophos ping VM。我也尝试过从两个网络使用 RDP,但也没有用。
值得一提的是,虚拟机最初只有一个 NIC,既有内部 IP,也有外部 IP。我所做的是在虚拟机虚拟网络中添加第二个子网:
服务器1-vnet
默认 10.0.7.0/24 250
第二网卡子网 10.0.8.32/27 26
网关子网 10.0.8.0/28 10
然后向虚拟机添加第二个 NIC。
因此,更准确地说,我可以从虚拟机 ping 10.0.8.4 和 10.0.8.5。我还可以从本地网络 ping 10.0.8.4 和 10.0.8.5。猜测这可能是某种路由问题。我在虚拟机上尝试了这两种方法,但似乎有点不对劲:
路由添加-p 192.168.1.0掩码255.255.255.0 10.0.8.4
路由添加-p 192.168.1.0掩码255.255.255.0 10.0.8.5
这没什么区别,我实际上不知道 GatewaySubnet 是如何工作的。似乎只有一个 IP 会更简单?对于 GatewaySubnet 中的多个地址,在我看来,路由应该是这样的,但那不可能是正确的 :)
路由添加-p 192.168.1.0掩码255.255.255.0 10.0.8.0/28
继续进行故障排除的最佳方法是什么?
答案1
我会先尝试 Network Watcher 的 IP Flow verify - 它会告诉你你的流量是否被防火墙规则或错误配置的路由阻止 https://docs.microsoft.com/en-ca/azure/network-watcher/diagnose-vm-network-traffic-filtering-problem
确保 vNet 中的用户定义路由允许与 192.168.x 和 10.0.x 建立连接
答案2
保持简单并删除第二个 NIC,您不必在 vNET 内进行任何路由,但您需要路由子网内的所有内容,当流量流向您的内部部署网络时使用哪个网关。
https://docs.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal
路线名称: Route2Onprem
地址前缀:192.168.1.0/24
下一跳类型:虚拟设备(指向本地的隧道/端点)
正如 Garcia 所说,使用网络观察程序进行验证和故障排除。对于这些场景来说,这是一套很棒的工具。