Мне нужна помощь (или, может быть, лучший угол атаки) в подключении нескольких внешних пользователей к нашему клиенту Azure.
ПРИМЕЧАНИЕ. Все ресурсы, упомянутые ниже, находятся в одной подписке Azure, в одном расположении Azure и в одной группе ресурсов Azure.
Есть одна виртуальная сеть с запущенной виртуальной машиной Windows 2016. Это v-net (назовите это ГЛАВНАЯ-ВНЕТ) имеет виртуальный шлюз с настроенной VPN типа "сеть-сеть" (назовите это S2S-VPN). Этот S2S VPN настроен как IPSEC VPN на основе политик, так что локальный Billion 7800VDOX может подключаться - что он и делает без проблем. Но, поскольку это конфигурация на основе политик, я не могу настроить VPN типа «точка-сеть» одновременно с этим S2S. Однако, если бы это была конфигурация на основе маршрута, сосуществование P2S и S2S работало бы (и работает - я это тестировал). Но локальный Billion не будет подключаться, потому что он не поддерживает IKEv2 (это то, что использует IPSEC VPN на основе маршрутов). Так что пока мы вынуждены использовать конфигурацию на основе политик.
Мне пришлось создать новую виртуальную сеть (P2S-VNET), затем новый шлюз v-net (P2S-VPN), а затем настройте VPN типа "точка-сеть" и клиента. Я сделал это и могу успешно подключиться к VPN с помощью клиента Azure VPN, но я не могу получить доступ к серверу Windows через MAIN-VNET.
Я не могу создать соединение «vnet-vnet», потому что одна из VPN основана на политике, и это не поддерживается в Azure.
Я попытался создать однорангового узла для обеих сетей друг с другом (обратите внимание, что я не отмечал Allow forwarded traffic, Allow gateway transit, или Use remote gateways для любого), но по-прежнему не может получить доступ к серверу.
Я создал правила для входящих / исходящих подключений в группе безопасности сети, подключенной к серверу Windows, которая разрешает ВСЕ порты между различными подсетями, которые есть в каждой v-net, и это тоже не помогло.
Есть ли у кого-нибудь предложения по открытию трафика между двумя виртуальными сетями? Мне это нужно, чтобы любые внешние пользователи, подключающиеся через P2S-VPN, могли получить доступ к серверу Windows в MAIN-VNET. У локальных пользователей, которые подключаются к этому серверу Windows через устройство Billion и S2S VPN, на данный момент нет проблем с подключением к серверу Windows.
LAN ==> Billion ==> S2S-VPN ==> MAIN-VNET ==> Windows server [OK]
Remote user ==> P2S-VPN ==> P2S-VNET =/= MAIN-VNET ==> Windows server [NOT OK]
Remote user ==> P2S-VPN ==> P2S-VNET =/= MAIN-VNET ==> Windows server [NOT OK]
Это намеренное поведение, мы не могу используйте пиринг Vnet таким образом (пиринг Vnet не будет направлять сетевой трафик вашего удаленного пользователя на сервер Windows).
Ваша цель - создать P2S VPN между локальной сетью и Azure Vnet (MAIN-VNET), в качестве обходного пути мы можем создать сервер Windows в MAIN-VNET и настроить его работу как RRAS VPN server, таким образом нам не нужно создавать еще одну виртуальную сеть в Azure.
LAN ==> Billion ==> S2S-VPN ==> MAIN-VNET ==> Windows server
Remote user ==> RRAS VPN ==>MAIN-VNET==>Windows server
Похоже, вы выполнили требования для пиринга VNET. Все, что вам нужно сделать, это подключить обе виртуальные сети и включить транзит шлюза.
Вот обзор:
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview
А вот как это сделать:
Просто не забудьте повторно загрузить клиент P2S после перенастройки VNET, иначе у вас не будет новых маршрутов.