Es mag eine triviale Aufgabe sein, aber ich konnte sie nicht bewältigen und weiß nicht, wie ich sie debuggen soll. Ich habe ein VPN-Gateway und einen zugehörigen Tunnel zum lokalen Netzwerk erstellt. Der routenbasierte Tunnel befindet sich derzeit ingegründetZustand.
Die Route ist definiert fürStandardNetzwerk und weiterleitender IP-Bereich 10.25.0.0/24zum VPN-Tunnel.
Die Netzwerkschnittstelle meiner Compute Engine-Instanz ist so definiert, dass sieStandardNetzwerk. ImDetails zur NetzwerkschnittstelleSeite,RoutenanalyseAuf der Registerkarte „VPN“ kann ich sehen, dass die Route für die VPN-Verbindung aktiv ist und von keiner anderen Route überschrieben wird.
Wenn ich versuche, einen Rechner im Netzwerk anzupingen, 10.25.0.100bekomme ich nichts. Traceroute meldet auch eine Zeitüberschreitung. Schließlich wird im Zielnetzwerk kein Datenverkehr empfangen.
Was übersehe ich? Wie kann ich das Problem untersuchen, haben Sie einen Rat?
Antwort1
Ich würde zunächst bestätigen, dass diese Kommunikation in Ihrem lokalen Netzwerk zulässig ist. GemäßGCP-Dokumentation zu „On-Premises-Regeln“Die Empfehlungen lauten:
1) Konfigurieren Sie Regeln, um ausgehenden und eingehenden Datenverkehr zu und von den IP-Bereichen zuzulassen, die von den Subnetzen in Ihrem GCP-Netzwerk verwendet werden.
2) Lassen Sie alle Protokolle und Ports zu, oder beschränken Sie den Datenverkehr auf die für Ihren Bedarf erforderlichen Protokolle und Ports.
3) Lassen Sie ICMP-Verkehr zu, wenn Sie per Ping zwischen lokalen Systemen und Instanzen oder Ressourcen in GCP kommunizieren müssen.
4) Firewall-Regeln vor Ort können sowohl von Ihren Netzwerkgeräten (z. B. Sicherheitsgeräte, Firewall-Geräte, Switches, Router und Gateways) als auch in der auf Ihren Systemen ausgeführten Software (z. B. in einem Betriebssystem enthaltene Firewall-Software) implementiert werden. Alle Firewalls, die „im Weg“ zu GCP stehen, müssen entsprechend konfiguriert sein, um Datenverkehr zuzulassen.
Mit Traceroute vom GCP-Ende erhalten Sie keine verwertbaren Informationen. Stattdessen würde ich es vom lokalen Ende aus versuchen, um sicherzustellen, dass der für GCP bestimmte Datenverkehr durch das lokale Ende des VPN-Tunnels läuft.
Ich empfehle Ihnen auch, die„Konnektivität wird geprüft“Abschnitt desDokument zur Fehlerbehebung bei GCP VPNdas einige gute, für Ihr Szenario relevante Vorschläge enthält.