我们有一个 VNET(我们称之为VN_MAIN
),它配置为与我们的本地网络建立 S2S VPN 连接。部署在子网内的虚拟机VN_MAIN
可从本地访问。
我想要做的是创建另一个 VNET(VN_OTHER
),并确保您可以通过充当集线器从内部访问VN_OTHER
,反之亦然。VN_MAIN
VN_MAIN
具有地址空间10.123.128.0/20
(不是我创建的)。我需要/16
为我的新 VNET 创建一个地址空间,并希望避免重叠,因此我创建了VN_OTHER
具有地址空间的地址空间10.230.0.0/16
。
从中心辐射拓扑结构中汲取灵感这里,我在每个 VNET 上都创建了一个对等互连:
- 开启
VN_MAIN
:main-to-other-peering
至VN_OTHER
,允许转发流量 + 允许网关传输 - 开启
VN_OTHER
:other-to-main-peering
至VN_MAIN
,允许转发流量 + 勾选使用远程网关
之后,为了测试这一点,我启动了 2 台 Linux 机器:machine-1
在VN_MAIN
(子网10.123.129.0/24
)上和machine-2
在VN_OTHER
(子网10.230.0.0/16
= 整个空间)上。
根据我对链接文章的理解,这应该足以完成我想要完成的任务。但是,它不能正常工作。以下是我尝试的 ping:
machine-1
拿machine-2
machine-2
拿machine-1
my-laptop
拿machine-1
machine-1
拿my-laptop
my-laptop
至machine-2
: 不好machine-2
至my-laptop
: 不好
因此,VNET 之间的对等连接可以工作,但网关传输却不行,尽管我相信我已经做了所有应该做的事情来允许它。我确信这不是任何 NSG 规则的问题。
有人能告诉我这里是否遗漏了什么东西吗?
答案1
听起来您的本地网关没有通过 S2S VPN 到 10.230.0.0/16 (VN_Other) 的路由
答案2
您不仅需要在本地定义路由以通过隧道进行路由,而且本地 VPN 设备需要知道它应该允许来自该地址空间的流量。一旦您这样做了,它应该可以正常工作。