オンプレミスゲートウェイトランジットを使用したVNETピアリングが正しく機能しない
オンプレミスネットワークへのS2SVPN接続を持つように構成されたVNET(VN_MAINと呼びましょう)があります。 VN_MAINのサブネット内にデプロイされたVMは、オンプレミスから到達可能です。
私がやろうとしているのは、別のVNET(VN_OTHER)を作成し、ハブとして機能するVN_OTHERを介して、VN_MAINからオンプレミスに到達できることを確認することです。 。
VN_MAINのアドレス空間は10.123.128.0/20です(私が作成したものではありません)。新しいVNETには/16アドレススペースが必要で、重複を避けたいので、アドレススペースVN_OTHERを使用して10.230.0.0/16を作成しました。
説明されているハブスポークトポロジからインスピレーションを得て ここ 、各VNETでピアリングを作成しました。
VN_MAIN:main-to-other-peeringからVN_OTHERで、転送されたトラフィックが許可され、ゲートウェイの通過が許可されましたVN_OTHER:other-to-main-peeringtoVN_MAINで、転送されたトラフィックが許可され、リモートゲートウェイを使用することがチェックされました
その後、これをテストするために、2台のLinuxマシンを起動しました。machine-1 on VN_MAIN(サブネット10.123.129.0/24)とmachine-2on VN_OTHER(サブネット10.230.0.0/16 =スペース全体)。
私がリンクした記事の私の理解によれば、これは私が達成しようとしていることには十分なはずです。ただし、正常に動作しません。これが私が試みたpingです:
machine-1〜machine-2:OKmachine-2からmachine-1:OKmy-laptopからmachine-1:OKmachine-1〜my-laptop:OKmy-laptopからmachine-2:OKではありませんmachine-2からmy-laptop:OKではありません
したがって、VNET間のピアリングは機能しますが、ゲートウェイトランジットは機能しませんが、許可するために行うべきことはすべて実行したと私は信じています。これはNSGルールの問題ではないと私は確信しています。
ここに欠けているものがあるかどうか誰かが教えてもらえますか?
OnpremゲートウェイにS2SVPN経由の10.230.0.0/16(VN_Other)へのルートがないようです
トンネルを介してルーティングするには、オンプレミスで定義されたルートが必要なだけでなく、オンプレミスのVPNアプライアンスは、そのアドレススペースからのトラフィックを許可する必要があることを認識する必要があります。それを行うと、正常に動作するはずです。
ネットワークを調整するだけで、ネットワークは次のスクリーンショットを気に入っています。
テストを行い、使用したVnet(VN_MAIN、VN_OTHER)を準備しました。
•VN_MAIN:オンプレミスネットワークからVnetVN_MAINへのP2Sを作成します。そして、サブネットIPスペース:172.22.0.0/24。そして、P2S IPスペース:172.20.200.0/24。
•VN_OTHER:Use remote gatewayを選択してVN_OTHERからVN_MAINにピアリングし、でVN_MAINからVN_OTHERにピアリングするゲートウェイトランジットを許可が選択されています。そして、サブネットIPスペース:172.23.0.0/24。
結果は以下のスクリーンショットのようになります:
Ping VM in Vnet VN_MAIN and VM in Vnet VN_OTHER from On-premise network
Vnet VN_OTHERからオンプレミスネットワークにpingを実行します
Vnet VN_MAINからオンプレミスネットワークにpingを実行します
また、タイプP2SをS2Sに変更できます。これらはすべて、Azureでサポートされています。
注意が必要なのは、Vnet VN_MAINはResource Managerタイプのみである可能性があることです。詳細については、ドキュメント こちら をご覧ください。