azure site-to-site-vpn 不允许流量通过
azure site-to-site-vpn does not let traffic through
我正在尝试使用 azure 虚拟网络和 azure 虚拟机设置站点到站点 vpn 到本地网络和本地计算机。
VPN 网关已成功建立到 VPN 设备的连接,但不允许流量在网络之间传输。估计是某处配置错误导致的。
有什么工具可以查明问题所在吗?
我已经尝试下载 AzureVNetGatewayDiagnostics,但我没有发现任何问题。还有什么我可以尝试的吗?
您在设置 S2S VPN 时是否遵循了此处的说明https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-create-site-to-site-rm-powershell/?
当您在 Azure 门户中打开连接时,是否有注册的流量?应该读取通过连接发送和接收了多少数据。状态也应显示为 "Connected"。有问题的连接是在 step 8.
中创建的连接
此外,在 Azure 门户的 "local network gateway" 中,是否为您的本地网络定义了正确的子网? IE。在配置部分,在门户中,网关应该读取类似于 192.168.0.0/24 的内容。这是在 step 3.
中创建的
注意:如果在 Azure 中创建网关后更改这些设置,则必须重新创建连接对象。有关详细信息,请参阅“To modify IP address prefixes for a local network gateway”部分。
以同样的方式,检查本地设备中是否也定义了远程子网。如果这是您用于尝试连接的远程子网的子网,则应该显示类似 10.0.0.0/16 的内容。
如果一切正常,那么还要检查您的本地防火墙是否配置为通过正确的接口路由流量。
最后尝试 运行 例如tracert <remote vm ip> 看看它 return 是什么。如果一切正常,它应该看起来像
C:\>tracert 10.0.1.15
Tracing route to 10.0.1.15 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.0.1
2 * * * Request timed out.
3 47 ms 48 ms 51 ms 10.0.1.15
Trace complete.
如果您 运行 从远程 VM 对本地 IP 使用相同的结果,它应该 return 类似的结果。
终于让 VPN 正常工作了。我 post 问题出在哪里。
tracert 192.168.36.16
Tracing route to 192.168.36.16 over a maximum of 30 hops
1 <1 ms <1 ms 1 ms 10.2.0.36
2 * * * Request timed out.
3 44 ms 44 ms 45 ms 192.168.36.16
Trace complete.
我遇到了以下问题:
事实证明,您确实可以从 AzureVNetGatewayDiagnostics vpnlog 文件中看出问题所在。就是看不懂。
vpnlog says Attribute mismatch: QM-TRANSFORM-TYPE, expected: ESP-AUTH-AND-CIPHER, received: AH,说明使用的PHASE 2加密算法应该是ESP-AUTH-AND-CIPHER。将加密设置为 ESP 和 AUTO。
vpnlog 指示错误 ERROR_IPSEC_IKE_INVALID_PAYLOAD,指示某种错误配置?
此外,虚拟网络不是专用 class A、B、C、D 网络。相反,它以 111.x.x.x 开头,这是一个 public 网络。
我正在按照此页面上的设置进行操作,但由于 vpn 设备有意外的 UI 字段,所以没有正确捕捉到每个设置。 https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/
我正在尝试使用 azure 虚拟网络和 azure 虚拟机设置站点到站点 vpn 到本地网络和本地计算机。
VPN 网关已成功建立到 VPN 设备的连接,但不允许流量在网络之间传输。估计是某处配置错误导致的。
有什么工具可以查明问题所在吗?
我已经尝试下载 AzureVNetGatewayDiagnostics,但我没有发现任何问题。还有什么我可以尝试的吗?
您在设置 S2S VPN 时是否遵循了此处的说明https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-create-site-to-site-rm-powershell/?
当您在 Azure 门户中打开连接时,是否有注册的流量?应该读取通过连接发送和接收了多少数据。状态也应显示为 "Connected"。有问题的连接是在 step 8.
中创建的连接此外,在 Azure 门户的 "local network gateway" 中,是否为您的本地网络定义了正确的子网? IE。在配置部分,在门户中,网关应该读取类似于 192.168.0.0/24 的内容。这是在 step 3.
中创建的注意:如果在 Azure 中创建网关后更改这些设置,则必须重新创建连接对象。有关详细信息,请参阅“To modify IP address prefixes for a local network gateway”部分。
以同样的方式,检查本地设备中是否也定义了远程子网。如果这是您用于尝试连接的远程子网的子网,则应该显示类似 10.0.0.0/16 的内容。
如果一切正常,那么还要检查您的本地防火墙是否配置为通过正确的接口路由流量。
最后尝试 运行 例如tracert <remote vm ip> 看看它 return 是什么。如果一切正常,它应该看起来像
C:\>tracert 10.0.1.15
Tracing route to 10.0.1.15 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.0.1
2 * * * Request timed out.
3 47 ms 48 ms 51 ms 10.0.1.15
Trace complete.
如果您 运行 从远程 VM 对本地 IP 使用相同的结果,它应该 return 类似的结果。
终于让 VPN 正常工作了。我 post 问题出在哪里。
tracert 192.168.36.16
Tracing route to 192.168.36.16 over a maximum of 30 hops
1 <1 ms <1 ms 1 ms 10.2.0.36
2 * * * Request timed out.
3 44 ms 44 ms 45 ms 192.168.36.16
Trace complete.
我遇到了以下问题:
事实证明,您确实可以从 AzureVNetGatewayDiagnostics vpnlog 文件中看出问题所在。就是看不懂。
vpnlog says Attribute mismatch: QM-TRANSFORM-TYPE, expected: ESP-AUTH-AND-CIPHER, received: AH,说明使用的PHASE 2加密算法应该是ESP-AUTH-AND-CIPHER。将加密设置为 ESP 和 AUTO。
vpnlog 指示错误 ERROR_IPSEC_IKE_INVALID_PAYLOAD,指示某种错误配置?
此外,虚拟网络不是专用 class A、B、C、D 网络。相反,它以 111.x.x.x 开头,这是一个 public 网络。
我正在按照此页面上的设置进行操作,但由于 vpn 设备有意外的 UI 字段,所以没有正确捕捉到每个设置。 https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/