Meraki ルーターを使用して Google Cloud にサイト間トンネルを構築しています。2 つのサイト間では ping と通常のトラフィックが流れます。Google Cloud 側のサーバーは DNS を実行するドメイン コントローラです。ただし、トンネルの Google 側はクエリを返しません。
Meraki 側でパケット キャプチャを実行したところ、トラフィックはトンネル経由で送信されているものの、応答がないことがわかりました。Google 側のファイアウォール セクションに次の内容があることを確認しました。
vpn-dns Ingress すべての IP 範囲に適用: 0.0.0.0/24 tcp:53、udp:53 65534 をデフォルトで許可
何が欠けているのか、またはどのように特定するのかについての考えはありますか? ドメイン コントローラーでは、すべてのファイアウォールがオフになっています。リモートの場所から RDP で接続し、ping を実行することもできます。
答え1
Google側の既存のファイアウォールルール
vpn-dns Ingress Apply to all IP ranges: 0.0.0.0/24 tcp:53, udp:53 Allow 65534 default
正しくないようです。これが、DNS リクエストが Google Cloud の DNS サーバーのポート 53 に配信されない理由である可能性があります。
このルールを変更して設定する必要があります
Source IP ranges = 0.0.0.0/0
仮想プライベートクラウド > ドキュメント > VPC ネットワークの概要 > サブネット作成モード > サブネット範囲 > 制限された範囲
Wikipedia > 予約済み IP アドレス > IPv4
IETF > RFC 6890 > 特殊目的 IP アドレス レジストリ > 概要
IETF > RFC 6890 > 特殊目的 IP アドレス レジストリ > IANA の考慮事項 > IPv4 および IPv6 特殊目的アドレスの再構築 > 2.2.2 IPv4 特殊目的アドレス レジストリ エントリ
答え2
実行できますか掘るクライアント マシンから DNS サーバーが解決するマシンの 1 つにコマンドを送信し、結果を共有しますか?
ここで説明されているように、相手側のGoogle Cloud DNSサーバーにアクセスするには、上位レベルのDNSサーバーに登録されている必要があることに注意してください。ページそうでない場合、ドメイン コントローラーに DNS サーバー サービスがあることを他人が知ることはできません。
すでにDNSサーバーを登録している場合は、クライアントの設定も確認する必要があります。クライアントマシン名、ドメイン名、および設定したネームサーバーを確認してください。Linux
マシンの場合は、/etc/resolv.confの設定を確認してください。ネームサーバーを追加するこれは、使用している UNIX のバージョンによって多少異なります。