无法从本地计算机 ping 到 azure vnet
Cannot ping from on-prem machine to an azure vnet
我无法通过 VPN 网关连接从本地 VM ping 到 Azure 中的 VM。仅当 Azure 中的 VM 位于与建立 VPN 连接的 VNET 不同的 VNET 中时,才会出现此问题。但是,Azure VNET 之间存在对等连接。这是我的功能还是配置错误?
设置如下:
- VNET0:space 192.168.90.0/24
中的本地 VNET
- VM0:VNET0 中的本地虚拟机 (IP 192.168.90.4)
- VNET1:space 10.15.0.0/16
中 Azure 中的 VNET
- VNET2:space 10.16.0.0/16
中 Azure 中的 VNET
- Azure 中 VNET1 和 VNET2 之间的 VNET 对等互连允许流量转发
- 从本地 VNET0 到 Azure VNET1 的 VPN 网关
- Azure 中的 VM1 在 VNET1 中连接,在子网 10.15.90.0/24 (IP 10.15.90.4) 中有更多详细信息
- Azure 中的 VM2 在 VNET2 中连接,在子网 10.16.90.0/24 (IP 10.16.90.4) 中有更多详细信息
- Azure 中的网络安全组允许从任何地方到任何地方的所有流量在 VNET2 中分配,更详细地在子网 10.16.90.0/24
- 本地防火墙 VPN 隧道上的配置有一条规则,允许本地防火墙中来自 VNET1 和 VNET2 的传入和传出流量
问题
- 工作场景:可以从VM0 ping VM1
- 非工作场景:无法从 VM0 ping VM2
知道问题出在哪里吗?
您需要在从 Azure VNET1 到 Azure VNET2 的对等互连中的 "Hub-RM" 虚拟网络中设置 允许网关传输 选项并启用 在从 Azure VNET2 到 Azure VNET1 的对等互连中使用 "Spoke-RM" 虚拟网络中的远程网关。不select 允许流量转发。
注意:如果您有 P2S VPN 连接,一旦您更改了对等设置,您应该从 Azure VPN 网关门户重新下载 VPN 客户端并将其重新安装在本地计算机上,以便在您的计算机上更新路由-前提网络。
从configuring VPN gateway transit for virtual network peering
获取更多详细信息
更新
与您确认后,您实际上是想在 article 之后通过 VNet 对等与 Azure VPN 网关进行 s2s 连接。我建议您使用 VNet1 和 VNet2 之间的网关传输配置 VNet 对等互连。您必须确保本地 VNet 具有 VNet2 和 VNet1 的路由。在 Fortigate(本地防火墙)中正确配置静态路由后。这行得通。
没有配置Fortigate防火墙中VNET2的静态路由。配置它解决了问题。
我无法通过 VPN 网关连接从本地 VM ping 到 Azure 中的 VM。仅当 Azure 中的 VM 位于与建立 VPN 连接的 VNET 不同的 VNET 中时,才会出现此问题。但是,Azure VNET 之间存在对等连接。这是我的功能还是配置错误?
设置如下:
- VNET0:space 192.168.90.0/24 中的本地 VNET
- VM0:VNET0 中的本地虚拟机 (IP 192.168.90.4)
- VNET1:space 10.15.0.0/16 中 Azure 中的 VNET
- VNET2:space 10.16.0.0/16 中 Azure 中的 VNET
- Azure 中 VNET1 和 VNET2 之间的 VNET 对等互连允许流量转发
- 从本地 VNET0 到 Azure VNET1 的 VPN 网关
- Azure 中的 VM1 在 VNET1 中连接,在子网 10.15.90.0/24 (IP 10.15.90.4) 中有更多详细信息
- Azure 中的 VM2 在 VNET2 中连接,在子网 10.16.90.0/24 (IP 10.16.90.4) 中有更多详细信息
- Azure 中的网络安全组允许从任何地方到任何地方的所有流量在 VNET2 中分配,更详细地在子网 10.16.90.0/24
- 本地防火墙 VPN 隧道上的配置有一条规则,允许本地防火墙中来自 VNET1 和 VNET2 的传入和传出流量
问题
- 工作场景:可以从VM0 ping VM1
- 非工作场景:无法从 VM0 ping VM2
知道问题出在哪里吗?
您需要在从 Azure VNET1 到 Azure VNET2 的对等互连中的 "Hub-RM" 虚拟网络中设置 允许网关传输 选项并启用 在从 Azure VNET2 到 Azure VNET1 的对等互连中使用 "Spoke-RM" 虚拟网络中的远程网关。不select 允许流量转发。
注意:如果您有 P2S VPN 连接,一旦您更改了对等设置,您应该从 Azure VPN 网关门户重新下载 VPN 客户端并将其重新安装在本地计算机上,以便在您的计算机上更新路由-前提网络。
从configuring VPN gateway transit for virtual network peering
获取更多详细信息更新
与您确认后,您实际上是想在 article 之后通过 VNet 对等与 Azure VPN 网关进行 s2s 连接。我建议您使用 VNet1 和 VNet2 之间的网关传输配置 VNet 对等互连。您必须确保本地 VNet 具有 VNet2 和 VNet1 的路由。在 Fortigate(本地防火墙)中正确配置静态路由后。这行得通。
没有配置Fortigate防火墙中VNET2的静态路由。配置它解决了问题。