Как разрешить обмен данными между двумя виртуальными сетями Azure с их собственными VPN-шлюзами
Мне нужна помощь (или, может быть, лучший угол атаки) в подключении нескольких внешних пользователей к нашему клиенту Azure.
ПРИМЕЧАНИЕ. Все ресурсы, упомянутые ниже, находятся в одной подписке Azure, в том же расположении Azure и в одной группе ресурсов Azure.
Есть одна виртуальная сеть с запущенной виртуальной машиной Windows 2016. Эта виртуальная сеть (назовите ее MAIN-VNET ) имеет виртуальный шлюз с настроенной VPN типа «сеть-сеть» (назовите ее S2S-VPN ). Этот S2S VPN настроен как IPSEC VPN на основе политик, так что локальный Billion 7800VDOX может подключаться - что он и делает без проблем. Но, поскольку это конфигурация на основе политик, я не могу настроить VPN типа «точка-сеть» одновременно с этим S2S. Однако, если бы это была конфигурация на основе маршрута, сосуществование P2S и S2S работало бы (и работает - я это тестировал). Но локальный Billion не будет подключаться, потому что он не поддерживает IKEv2 (это то, что использует IPSEC VPN на основе маршрутов). Так что пока мы вынуждены использовать конфигурацию на основе политик.
Мне пришлось создать новую виртуальную сеть ( P2S-VNET ), затем новый шлюз v-net ( P2S-VPN ), а затем настройте VPN типа «точка-сеть» и клиента. Я сделал это и могу успешно подключиться к VPN с помощью клиента Azure VPN, но не могу получить доступ к серверу Windows через MAIN-VNET.
Я не могу создать соединение «vnet-vnet», потому что одна из VPN основана на политике, и это не поддерживается в Azure.
Я попытался создать однорангового узла для обеих сетей друг с другом (обратите внимание, что я не отмечал Разрешить перенаправленный трафик , Разрешить транзит через шлюз или Использовать удаленные шлюзы для любого), но по-прежнему не может получить доступ к серверу.
Я ' Мы создали правила для входящего / исходящего трафика в группе безопасности сети, подключенной к серверу Windows, которая разрешает ВСЕ порты между различными подсетями, которые есть в каждой v-net, и это тоже не помогло.
Есть ли у кого-нибудь предложения о том, как я открываю трафик между двумя виртуальными сетями? Мне это нужно, чтобы любые внешние пользователи, подключающиеся через P2S-VPN, могли получить доступ к серверу Windows в MAIN-VNET. У локальных пользователей, которые подключаются к этому серверу Windows через устройство Billion и S2S VPN, на данный момент нет проблем с подключением к серверу Windows.
LAN ==> Billion ==> S2S-VPN ==> MAIN-VNET ==> Windows server [OK]
Remote user ==> P2S-VPN ==> P2S-VNET =/= MAIN-VNET ==> Windows server [NOT OK]
Похоже, вы выполнили требования для пиринга VNET. Все, что вам нужно сделать, это подключить обе виртуальные сети и включить транзит шлюза.
Вот обзор:
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview
И вот как это сделать:
Просто не забудьте повторно загрузить клиент P2S после перенастройки VNET, иначе вы не сможете есть новые маршруты.
Remote user ==> P2S-VPN ==> P2S-VNET =/= MAIN-VNET ==> Windows server [NOT OK]
Это разработанное поведение, мы не можем использовать пиринг Vnet таким образом (пиринг Vnet не будет направлять сетевой трафик вашего удаленного пользователя на сервер Windows).
Ваша цель - создать P2S VPN между локальной сетью и Azure Vnet (MAIN-VNET), в качестве обходного пути мы можем создать сервер Windows в MAIN-VNET и настроить его работу в качестве сервера RRAS VPN таким образом нам не нужно создавать еще одну виртуальную сеть в Azure.
LAN ==> Billion ==> S2S-VPN ==> MAIN-VNET ==> Windows server
Remote user ==> RRAS VPN ==>MAIN-VNET==>Windows server