Назад | Перейти на главную страницу

Не удается подключиться обратно к локальному сайту через соединение S2S через VPN-клиент Azure Point-to-Site

На сегодняшний день у меня есть VPN-соединение типа "сеть-сеть" между локальной средой и Azure, которая работает хорошо.

В настоящее время я использую SSL VPN для своей локальной сети, но хотел бы перенести все мои клиенты на использование Point-to-Site VPN в Azure, поскольку мы перемещаем туда всю нашу ключевую инфраструктуру. В моем идеальном случае будущего Azure - это ядро ​​всего, а моя локальная локальная сеть - это просто прославленная точка доступа, откуда моим пользователям не нужно подключаться к VPN, и это быстрее.

Я могу пинговать между Azure и On-Prem, а мои клиенты SSL VPN могут без проблем пинговать в подсети Azure или On-Prem. Однако, когда мои клиенты подключаются к Point-to-Site в Azure, они могут проверять связь с виртуальными машинами, работающими в Azure, но не могут подключиться к каким-либо системам в моей локальной сети On-Prem. Это вызовет проблемы при миграции, потому что это означает, что мне придется «резко» выполнить переключение, а не перемещать объекты, как это имеет смысл.

Вот установка:

Local Site - 10.0.20.0/24  < ---- Site to Site VPN ----> Azure Site - 10.0.40.0/24
       |                                                             |
       |                                                             |
       |                                                             |
Local VPN Client - 10.0.30.0/24                   Azure Point-to-Site VPN - 10.0.50.0/24

По сути, я пытаюсь понять, чего мне может не хватать, что помешало бы клиентам на Point-to-Site вернуться на локальный сайт. Я проверил правила брандмауэра на стороне локального сайта, но кажется, что пакеты даже не отображаются там в дампе пакетов.

Интересно, что на данный момент после устранения неполадок я предполагаю, что в списке предложений IKEv2 10.0.20.0 <-> 10.0.40.0 и 10.0.30.0 <-> 10.0.40.0, но нет способа получить туннель для 10.0.20.0 < -> 10.0.50.0, поскольку Azure автоматически запускает его на основе конфигурации подсети, и я не могу сделать подсеть Point-to-Site частью подсети, которую я определил как часть подключения к виртуальной сети. Мне интересно, означает ли это, что Azure не будет маршрутизировать из подсети P2S обратно на локальный сайт, поскольку он не соответствует предложению фазы 2, и если да, есть ли способ заставить сторону Azure добавить его, чтобы я мог принести это вверх как часть туннеля.

Любая помощь приветствуется

Я проверил ваш план в своей лаборатории, и он мне подходит.

Если ваша VPN типа "сеть-сеть" и VPN-соединение типа "точка-сеть" работают правильно, то наиболее вероятной причиной этой проблемы будет отсутствие записи маршрутизации для клиента Azure VPN.

Убедитесь, что на локальном VPN-устройстве есть правильная запись маршрутизации для клиента Azure, и оно должно быть направлено в Azure.

Я протестировал ваш план с помощью RRAS, а 10.50.1.0/24 - это подсеть моего VPN-клиента Azure.