GCE Linux VM 无法访问对等 VPN 主机
GCE Linux VM Can't access peer VPN hosts
我对 Google 云 VPN 和到对等 VPN 的隧道有疑问。隧道已启动 运行 但我无法从我的 GCE VM 连接到对等网络上的任何点。
我的设置如下所示:
- 具有一个内部 IP 范围的自定义 VPC 网络。我们称它为
custom-net
- 带有 IPSec 隧道的经典 VPN 网关到对等 VPN。隧道的状态为
Established
。 VPN 网关有一个保留的 IP 地址。 VPN 网关 VPC 网络是 custom-net
.
custom-net
上的三个路线:
- 到唯一子网的本地路由,prio 1000
- 到默认互联网网关,prio 900
- 到网关隧道,prio 1000
- GCE 中的新 Linux 虚拟机。我们称它为
vm1
。它在其唯一的子网络 custom-net
上有一个网络接口。
- GC 中的两条防火墙规则允许一切 入口和出口。
我可以使用 ssh 连接到 vm1
并从中访问互联网,但我无法访问对等 VPN 中的任何点,尽管隧道状态为 Established。 custom-net
上的 IP 范围不会 干扰对等网络上的任何范围。
这可能是什么问题?我是网络设置的新手。可能是路由中缺少某些东西,还是我必须在 vm1
中进行一些配置才能使其运行?
感谢任何帮助!
对于路由 Google Cloud 会自动为您指定的每个远程 IP 范围创建一个路由。这应该不是问题
也就是说,可以检查几点以进一步解决此问题:
如果使用policy based tunnel make sure the ip addresses you are trying to reach are declared in your traffic selectors。此外,检查隧道的堆栈驱动程序日志,以查看是否正在协商上述 IP 范围。您可以使用这个高级过滤器:
resource.type="vpn_gateway"
resource.labels.gateway_id="your_gateway_id"
textPayload="established"
请展开日志并检查“textPayload:”字段以查看是否正在协商目标 ip 范围。
确认您可以从 gcp 中的 VM ping 远程对等网关
运行 从两侧 mtr 并查看数据包在某些时候被丢弃的位置。
在进行连通性测试(ping、mtr)时,从远程网关获取 tcpdumps,从 Google 计算引擎实例获取另一个,以便分析数据包流。
请参阅 VPN Interop Guides 页面以获取描述一些受支持的第三方 VPN 设备和服务的指南。这可能会给您一些关于如何配置特定设备以使用 Cloud VPN 的提示。
请咨询 Cloud VPN Troubleshooting 了解更多详情
希望对您有所帮助
我对 Google 云 VPN 和到对等 VPN 的隧道有疑问。隧道已启动 运行 但我无法从我的 GCE VM 连接到对等网络上的任何点。
我的设置如下所示:
- 具有一个内部 IP 范围的自定义 VPC 网络。我们称它为
custom-net
- 带有 IPSec 隧道的经典 VPN 网关到对等 VPN。隧道的状态为
Established
。 VPN 网关有一个保留的 IP 地址。 VPN 网关 VPC 网络是custom-net
. custom-net
上的三个路线:- 到唯一子网的本地路由,prio 1000
- 到默认互联网网关,prio 900
- 到网关隧道,prio 1000
- GCE 中的新 Linux 虚拟机。我们称它为
vm1
。它在其唯一的子网络custom-net
上有一个网络接口。 - GC 中的两条防火墙规则允许一切 入口和出口。
我可以使用 ssh 连接到 vm1
并从中访问互联网,但我无法访问对等 VPN 中的任何点,尽管隧道状态为 Established。 custom-net
上的 IP 范围不会 干扰对等网络上的任何范围。
这可能是什么问题?我是网络设置的新手。可能是路由中缺少某些东西,还是我必须在 vm1
中进行一些配置才能使其运行?
感谢任何帮助!
对于路由 Google Cloud 会自动为您指定的每个远程 IP 范围创建一个路由。这应该不是问题
也就是说,可以检查几点以进一步解决此问题:
如果使用policy based tunnel make sure the ip addresses you are trying to reach are declared in your traffic selectors。此外,检查隧道的堆栈驱动程序日志,以查看是否正在协商上述 IP 范围。您可以使用这个高级过滤器:
resource.type="vpn_gateway" resource.labels.gateway_id="your_gateway_id" textPayload="established"
请展开日志并检查“textPayload:”字段以查看是否正在协商目标 ip 范围。
确认您可以从 gcp 中的 VM ping 远程对等网关
运行 从两侧 mtr 并查看数据包在某些时候被丢弃的位置。
在进行连通性测试(ping、mtr)时,从远程网关获取 tcpdumps,从 Google 计算引擎实例获取另一个,以便分析数据包流。
请参阅 VPN Interop Guides 页面以获取描述一些受支持的第三方 VPN 设备和服务的指南。这可能会给您一些关于如何配置特定设备以使用 Cloud VPN 的提示。
请咨询 Cloud VPN Troubleshooting 了解更多详情
希望对您有所帮助