我想设置一个带有 Azure VPN 网关的 Azure VNET。然后当我通过 VPN 进入网关时,我希望从客户端获得 P2S VPN 的出站 Internet 访问权限。我希望此出站 Internet 访问具有静态 IP。
这看起来是一件非常简单的事情,但在实践中很难弄清楚如何去做。我向 Azure 开了一个支持单,但他们一点帮助都没有。
以下是我迄今为止尝试过的:
- 创建了具有 1 个子网的 Azure VNET
- 在同一区域创建了一个 Azure VPN 网关,并将其连接到 VNET(使子网总数达到 2 个)——请注意,此 VPN 网关在 VNET 中有自己的子网(似乎是必需的)
- 在 VPN 网关上配置了与 Azure AD 身份验证的 P2S 连接;配置此 P2S 以播发所有路由
- 已安装 Azure VPN 客户端软件并导入配置
- 在 VNET 上配置 Azure 防火墙
- 在 VNET 中设置从核心子网(不是 VPN 网关子网,因为不允许这样做)到 Azure 防火墙的路由表
- 为 Azure 防火墙上的所有端口和协议上的所有源 IP 到所有目标 IP 配置出站 Internet 访问
好的 - 那么如果我使用 VPN,我应该能够访问互联网,对吗?不幸的是,当我使用 VPN 时,我确实获得了一个 IP,我可以 ping 防火墙私有 IP,但我无法访问任何网站,例如 google.com。
有人知道我哪里做错了吗?如有任何想法,我将不胜感激
答案1
当您连接到 VPN 时,您的路由表是什么样的?连接时似乎没有通往互联网的出口 - 您可能没有默认路由 - 0.0.0.0/0 来向您自己的 VPN 客户端通告。
您能够 ping 防火墙,因为您只看到内部 Azure 资源或直接连接的子网。
请提供一条路线打印并查看您的默认网关在哪里。
答案2
目前不支持 Internet breakout。请参阅https://learn.microsoft.com/en-us/azure/vpn-gateway/nat-overview