У меня есть единственный шлюз виртуальной сети Azure, на котором запущен «Базовый» SKU VPN (MainVGW) в режиме «Маршрут» в Восточном регионе Австралии. MainVGW имеет два «соединения» (BR и MH), которые представляют собой VPN-соединения IPsec Site-to-Site с двумя отдельными сайтами (SITE 1 и SITE 2). Затем у меня есть одна виртуальная машина (TestVM), работающая в том же регионе. Каждый удаленный сайт использует Ubiquiti EdgeRouter, который настроен для подключения к его IPsec VPN и туннелирования трафика через него, используя VTI со статическими маршрутами (BRrouter и MHrouter). На каждом сайте также есть ПК, подключенный к маршрутизатору с IP-адресом в локальном диапазоне (BRtestPC и MHtestPC).
VPN-подключения работают хорошо в том смысле, что с каждого сайта тестовый компьютер (BRtestPC или MHtestPC) может связываться с TestVM в Azure. Тем не мение, Я не могу связаться с BRtestPC с MHtestPC через MainVGW, хотя маршрутизаторы на каждом конце имеют отдельный статический маршрут для передачи трафика через MainVGW на другой сайт. Я также не могу пинговать BRrouter из MHrouter или наоборот, хотя оба могут успешно пинговать TestVM.
Документация, которую я прочитал, похоже, указывает на то, что это должно работать без какой-либо дополнительной настройки. Здесь есть некоторая информация о том, что делать при использовании маршрутизации на основе политик. https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps но опять же, это указывает на отсутствие дополнительной информации, необходимой для соединений на основе маршрутов.
Я думаю, что статические маршруты настроены правильно на моих маршрутизаторах, и мне кажется, что на стороне Azure должна быть настройка, предотвращающая поток трафика между VPN-соединениями IPsec Site-to-Site, которые мне почему-то не хватает. Может ли кто-нибудь пролить свет?
Спасибо.
Помимо UDR вы также можете использовать BGP на ваших VPN-устройствах. Однако для этого требуется, чтобы вы использовали SKU VpnGw1 или выше.
Единственное, о чем я могу думать, это то, что вам могут потребоваться определяемые пользователем маршруты в Azure vNET, указывающие трафик на правильную конечную точку туннеля / шлюза Azure для каждой локальной сети.
https://docs.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal
RouteName: RouteSite1
Префикс адреса: 10.1.100.1/16.
Тип следующего перехода: Виртуальное устройство (туннель / конечная точка, указывающая на Site1)