我已将其配置为 OpenVPN 服务器(Debian)和 Azure 网络 172.20.0.0/24 中的其他服务器,该网络通过站点到站点 VPN IPsec 隧道连接到本地网络(10.1.0.0/24)。
Azure 上的虚拟网络网关与本地 Paloalto 之间已建立连接。从 Azure 到本地网络的网络连接正常:
(172.20.0.0 <------> 10.1.0.0/24)。
在 openvpn 服务器上已配置指向地址空间为 172.32.128.0/17 的客户端的站点 vpn。从客户端到 Azure 的通信运行良好:
(172.32.128.0 <----->172.20.0.0/24)
但是当我尝试 ping 内部网络(10.1.0.0/24)时遇到了一个问题。
(172.32.128.0 <- ------/------- -> 10.1.0.0/24)之间没有连接
从 172.32.128.14(连接到 OpenVpn 的客户端)Ping 10.1.0.8(本地站点上的 DNS)
我收到(请求超时):在 Azure 虚拟网络网关上捕获的数据包:
172.20.0.5 10.1.0.8 ICMP 130 目标不可达(端口不可达)
(这里,尽管伪装已被禁用并且路由和数据包转发已启用,但我们可以看到 172.20.0.5 OpenVpn Azure 接口而不是 172.32.128.14 地址。)Tcpdump Openvpn:IP 172.32.128.14 > 10.1.0.8:ICMP 回显请求,id 1,序列号 970,长度 40 OpenVpn 服务器显示从 172.32.128.14 到 10.1.0.8 的 tcpdump 请求,但没有回复。
此外,在 PaloAlto(本地网络)上,我可以看到来自 172.32.128.14 的请求和来自 10.1.0.8 的回复,但数据包没有到达网络 172.32.128.0/17,看起来数据包在进入 Azure 网络之前丢失了。
路由表显示(OpenVpn):
默认通过 172.28.1.1 dev eth0
10.1.0.0/24 通过 172.28.1.1 dev eth0
172.20.0.0/24 dev eth0 proto 内核范围链接 src 172.20.0.5
172.32.128.0/17 通过 172.32.128.2 dev tun0
172.32.128.2 dev tun0 proto 内核范围链接 src 172.32.128.1
172.20.0.5 是 Azure 上的 OpenVpn 接口
Azure 路由表:
名称 | 网络 | 下一跳类型
访问Aure | 172.31.128.0/17 | 172.20.0.5
到本地网络 | 10.1.0.0/24 | 虚拟网络网关
你知道为什么我无法从客户端网络进入本地网络吗?非常感谢您的帮助!
答案1
您是否在 palo alto 和 azure vpn gw 之间的 s2s vpn 中公布了您的 172.32.128.0/17(客户端的地址空间)?