Я настроил сайт на сайт VPN с использованием служб RRAS на Windows Server 2012 R2. Назовем этот компьютер RRAS-машиной. Машина RRAS имеет два сетевых адаптера. Один является частным (192.168.200.x), а другой доступен из Интернета, но защищен брандмауэром. Наш сетевой администратор открыл все необходимые порты, и он работает как шлюз Azure VPN.
Мое локальное адресное пространство настроено правильно, и я вижу, что оно маршрутизируется, когда я выполняю tracert с виртуальных машин.
Шлюз подключается, и я вижу трафик между сайтами. С локальной машины RRAS я могу без проблем получить доступ к виртуальным машинам, которые инициализировали VPN-соединение (и где RRAS установлен). Я могу пинговать и использовать RDP напрямую без каких-либо проблем.
Что я могу сделать с виртуальных машин (подключенных к виртуальной сети через VPN), так это получить доступ к другому сетевому адаптеру RRAS-машины (это 192.168.200.33), но я не могу получить доступ к другим машинам в сети 192.168.200.x. Похоже, пакеты не маршрутизируются.
Итак, чтобы резюмировать. У меня проблема в том, что я не могу получить доступ к другим локальным компьютерам, а только к одному сетевому адаптеру, подключенному к машине RRAS.
Что я могу сделать, чтобы это исправить? Есть ли у кого-нибудь опыт настройки такой сети?
Причина в том, что пакеты правильно маршрутизируются на локальные машины, но те же самые машины не знают, куда отправлять свои ответы обратно клиентам Azure.
Правильно, да. Но это не значит, что вам нужно настраивать маршрут на каждой машине. У меня была такая же проблема, и я решил ее так:
Окружающая среда:
1 подписка Azure с 1 виртуальной сетью и 1 динамическим VPN-шлюзом.
1 сервер RRAS в помещении за моим маршрутизатором, маршрутизирующий порты IPSEC на сервер RRAS (я знаю, плохая настройка, НЕ поддерживается Microsoft, но все равно работает, если вы выполняете правильную переадресацию портов).
Все шлюзы по умолчанию на всех локальных компьютерах настроены на маршрутизатор, а не на сервер RRAS.
Ситуация: Точно так же, как ты. VPN настроен и подключен. Подключение к машинам Azure с сервера RRAS работает, подключение к IP-адресам RRAS с машин Azure тоже работает. Что не работает, так это подключение к машинам Azure с другого компьютера на локальной машине и подключение к другому компьютеру на локальной машине с компьютеров Azure.
Разрешение: Как вы сами заявили, локальные машины не знают, как подключиться к подсети Azure. Но вместо того, чтобы настраивать этот статический маршрут на всех локальных машинах, я создал только 1 статический маршрут на своем маршрутизаторе, указав подсеть Azure на мой сервер RRAS. Magic Magic, все подключения со всех локальных компьютеров к Azure и наоборот начали работать как шарм.
Конечно, самым простым решением было бы использовать маршрутизатор шлюза по умолчанию для подключения к сети Azure, поскольку это решило бы проблему «мой обычный шлюз по умолчанию не знает лазурного».
Что вам нужно сделать, так это добавить его как статический маршрут на свой шлюз, а не настраивать его на каждом сервере.
Я выяснил, в чем проблема. Я правильно настроил статические маршруты на VPN-сервере, но я не осознавал, что мне также нужно установить статические маршруты на всех локальных машинах, к которым пытаются подключиться клиенты VPN Azure.
Причина в том, что пакеты правильно маршрутизируются на локальные машины, но те же самые машины не знают, куда отправлять свои ответы обратно клиентам Azure.
Это пример маршрута, который мне пришлось установить на всех локальных машинах:
route -p ADD 10.10.12.0 MASK 255.255.252.0 [vpnserverIP] METRIC 100
куда
10.10.12.0/255.255.252.0 - моя виртуальная сеть Azure и
[vpnserverIP] - это IP-адрес VPN-сервера и, в данном случае, шлюза для всех локальных компьютеров.