Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Связь Site-To-Site (IPSEC) установлена, но не удается пинговать ничего, кроме маршрутизатора.

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Сетевые Конфигурации
  4. 2. Анализ Проблемы
  5. 3. Возможные Причины
  6. 3.1. Маршрутизация
  7. 3.2. Политики безопасности и файрвол
  8. 3.3. Тегирование VLAN
  9. 4. Заключение

Вопрос или проблема

Я только что настроил новую подписку Azure и застрял, пытаясь разобраться, почему я не могу пинговать местные машины VMWare с виртуальной машины Azure. После успешной настройки IPSec Site-To-Site VPN.

Я делаю это как учебное упражнение, чтобы настроить домашнюю лабораторию и улучшить свои плохие навыки в сетях 🙁

У меня следующая настройка:

  • Сервер Esxi с ВМ (Портал) в сети vlan50
  • Управляемый коммутатор с тегированием vlan50
  • Маршрутизатор pfSense с адресом 192.168.20.1/24 в vlan50
  • Рабочий IPSec туннель из моей лаборатории 192.168.20.0/24 в виртуальную сеть Azure 192.168.50.0/24

Для тестирования я создал 1 ВМ в локальной лаборатории и 1 ВМ в Azure

  • Локальная ВМ [Портал] – 192.168.20.2 vlan50
  • ВМ Azure [TestVM] – 192.168.50.100 (без vlan)

С сервера Портал я могу пинговать локальный шлюз 192.168.20.1,

А с pfSense я могу пинговать ВМ Azure:

Пинг с pfSense на AzureVM

И с сервера Azure я могу пинговать интерфейс 192.168.20.1.

Пинг с Azure на интерфейс pfSense, недостаточно репутации 🙁

Однако, ВМ не видят друг друга и не пингуют друг друга. Я не могу понять это. Я добавил правила как в IPSec, так и в vlan50, чтобы разрешить доступ ко всем подсетям. У меня чувство, что моя проблема либо в правиле межсетевого экрана, либо в теге vlan?

Вот некоторые интересные вещи, которые я замечаю во время устранения неполадок:

  1. Я не вижу никакого ICMP-трафика на интерфейсе vlan50, когда успешно пингую с pfSense на AzureVM
  2. Когда (неуспешно) пингую с AzureVM на машину Портал, я вижу неоплаченные ICMP-запросы от 192.168.50.100, когда слушаю на коробке pfSense на интерфейсе vlan50

Я также создал очень грубую схему сети с снимками экрана моей конфигурации: Грубая схема сети

Ой! Я выяснил, что причина заключается в том, что моя Портал машина, находящаяся на месте, имеет несколько сетевых карт, и шлюз по умолчанию не знает об этом маршруте. Я добавил статический шлюз и смог успешно пинговать каждую машину.

Можете объяснить это немного подробнее? Что вы имеете в виду под шлюзом по умолчанию? Это была конфигурация программного обеспечения, которую вы настроили на межсетевом экране локально, или это была служба Azure? Я бы ожидал, что вы имеете в виду, что вы настроили локальную маршрутизацию через коммутатор или межсетевой экран для обработки трафика на месте, но в вашем ответе это не совсем ясно.

Ответ или решение

Проблема с тем, что вы можете пинговать только маршрутизатор (pfSense) через созданный VPN, но не можете достучаться до других машин в сети, может быть вызвана несколькими факторами. Давайте разберем ситуацию подробно, исходя из вашего описания, и добавим необходимые разъяснения.

1. Сетевые Конфигурации

Ваше окружение включает в себя:

  • ESXi сервер с виртуальной машиной (Portal) в сети VLAN50.
  • Управляемый коммутатор с тегированием VLAN50.
  • Маршрутизатор pfSense с адресом 192.168.20.1/24 в VLAN50.
  • Созданный IPSec туннель между вашей локальной сетью 192.168.20.0/24 и виртуальной сетью Azure 192.168.50.0/24.
  • Виртуальные машины:
    • Portal с IP 192.168.20.2 в локальной сети
    • TestVM с IP 192.168.50.100 в Azure

2. Анализ Проблемы

Вы указали, что:

  • Виртуальная машина Portal может пинговать локальный шлюз.
  • pfSense может пинговать Azure VM.
  • Azure VM может пинговать pfSense.

Проблема заключается в том, что прямой связи между Portal и TestVM нет.

3. Возможные Причины

3.1. Маршрутизация

Ваша начальная проблема связана с маршрутизацией. Виртуальная машина Portal имела несколько сетевых интерфейсов (NIC). Если для одной из NIC не был настроен правильный маршрут по умолчанию для доступа к сети Azure, то ICMP запросы не доходили до назначения.

Вы исправили это, добавив статический маршрут к шлюзу на Portal, который указал, как добраться до сети 192.168.50.0/24 (сеть Azure). Это решило проблему.

3.2. Политики безопасности и файрвол

Еще одной причиной, по которой устройства не могут связываться, могут быть настройки файрвола. Убедитесь, что:

  • В pfSense созданы правила, разрешающие входящий и исходящий трафик ICMP для обоих сетей.
  • Azure Network Security Group (NSG) имеет правила, допускающие ICMP.

3.3. Тегирование VLAN

Поскольку ваш pfSense настроен на работу с VLAN, важно убедиться, что трафик ICMP корректно тегируется. Если тег не соответствует нужному VLAN (то есть VLAN50), то пакеты могут потеряться, и вы не увидите их на интерфейсе сети.

4. Заключение

Ваш первоначальный вопрос касался сложности в связи между виртуальными машинами. Основное внимание должно быть уделено маршрутизации и конфигурации сетевых интерфейсов. Убедитесь, что каждый сетевой шлюз в настройках имеет корректные маршруты для доступа к другим сетям и проверьте правила файрвола, которые могут блокировать ICMP трафик.

Если у вас возникнут дальнейшие вопросы относительно настройки сети или безопасности, подумайте о том, чтобы обратиться к документации по pfSense и Azure, так как они предоставляют исчерпывающую информацию и примеры по настройке подобных сетей.

azure ipsec pfsense vlan vpn
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности