Wir haben einen Site-to-Site-Tunnel mit einem Meraki-Router zur Google Cloud. Pings und normaler Datenverkehr fließen zwischen den beiden Sites. Der Server auf der Google Cloud-Seite ist ein Domänencontroller, auf dem DNS ausgeführt wird. Die Google-Seite des Tunnels gibt jedoch keine Abfragen zurück.
Wir haben auf der Meraki-Seite Paketaufzeichnungen durchgeführt und diese zeigen, dass der Datenverkehr über den Tunnel abgeht, aber keine Antwort erfolgt. Ich habe überprüft, dass ich im Firewall-Abschnitt auf der Google-Seite Folgendes habe:
VPN-DNS-Ingress Auf alle IP-Bereiche anwenden: 0.0.0.0/24 tcp:53, udp:53 Zulassen 65534 Standard
Was könnte fehlen oder wie lässt sich das herausfinden? Auf dem Domänencontroller sind alle Firewalls ausgeschaltet. Sie können per RDP auf ihn zugreifen und ihn auch vom Remote-Standort aus anpingen.
Antwort1
Die bestehende Firewall-Regel auf der Google-Seite
vpn-dns Ingress Apply to all IP ranges: 0.0.0.0/24 tcp:53, udp:53 Allow 65534 default
sieht nicht richtig aus. Dies könnte ein Grund sein, warum DNS-Anfragen nicht an Port 53 des DNS-Servers in Google Cloud übermittelt werden.
Sie sollten diese Regel ändern und festlegen
Source IP ranges = 0.0.0.0/0
Virtual Private Cloud > Doc > VPC-Netzwerkübersicht > Subnetz-Erstellungsmodus > Subnetzbereiche > Eingeschränkte Bereiche
Wikipedia > Reservierte IP-Adressen > IPv4
IETF > RFC 6890 > Spezial-IP-Adressregister > Einführung
IETF > RFC 6890 > Spezial-IP-Adressregister > Überlegungen der IANA > Neustrukturierung der IPv4- und IPv6-Spezialadressen > 2.2.2 Einträge im IPv4-Spezialadressenregister
Antwort2
Können Sie eingrabenBefehl von Ihrem Client-Computer an einen der Computer, die der DNS-Server auflöst, und teilen Sie die Ergebnisse mit?
Beachten Sie, dass der Google Cloud DNS-Server, den Sie am anderen Ende haben, bei DNS-Servern höherer Ebene registriert sein muss, um erreicht zu werden, wie in diesem Artikel erklärt.Seite. Andernfalls kann niemand wissen, dass Sie über einen DNS-Serverdienst auf dem Domänencontroller verfügen.
Wenn Sie den DNS-Server bereits registriert haben, müssen Sie auch Ihre Client-Konfigurationen überprüfen. Überprüfen Sie den Namen Ihres Client-Rechners, den Domänennamen und den von Ihnen eingerichteten Nameserver.
Wenn es sich um einen Linux-Rechner handelt, sollten Sie die Konfigurationen in /etc/resolv.conf überprüfen undFügen Sie den Nameserver hinzuwas ein wenig davon abhängt, welche Unix-Version Sie haben.