Openvpn não consegue executar ping em servidores locais (porta irrecuperável)

tag-icon tag-icon iptables azure routing openvpn
Openvpn não consegue executar ping em servidores locais (porta irrecuperável)

Configurei como um servidor OpenVPN (Debian) e outros servidores na rede Azure 172.20.0.0/24 que está conectado à rede local (10.1.0.0/24) por meio do túnel IPsec VPN site a site.

A conexão foi estabelecida entre o Virtual Network Gateway no Azure e o Paloalto local. A conexão de rede do Azure para a rede local funciona bem:

(172.20.0.0 <------> 10.1.0.0/24).

No servidor openvpn foi configurado ponto para site vpn para clientes com espaço de endereço 172.32.128.0/17. A comunicação do cliente para o Azure funciona bem:

(172.32.128.0 <----->172.20.0.0/24)

mas tenho um problema quando tento fazer ping na rede local (10.1.0.0/24).

Não há conexão entre (172.32.128.0 <- ------/------- -> 10.1.0.0/24)

Ping 10.1.0.8 (DNS no site local) de 172.32.128.14 (cliente conectado ao OpenVpn)

Recebi (tempo limite da solicitação): Pacotes capturados no Virtual Network Gateway Azure:

172.20.0.5 10.1.0.8 ICMP 130 Destino inacessível (Porta inacessível)

(Aqui, em vez do endereço 172.32.128.14, podemos ver 172.20.0.5 OpenVpn Azure Interface, apesar do mascaramento estar desabilitado e o roteamento e encaminhamento de pacotes estarem habilitados.) Tcpdump Openvpn: IP 172.32.128.14> 10.1.0.8: solicitação de eco ICMP, id 1, seq 970, comprimento 40 O servidor OpenVpn mostra solicitações tcpdump de 172.32.128.14 a 10.1.0.8, mas não responde.

Além do mais no PaloAlto (Rede Local), posso ver solicitações de 172.32.128.14 e responder de 10.1.0.8, mas os pacotes não chegam à rede 172.32.128.0/17, parece que os pacotes foram perdidos antes de entrar na rede azul.

A tabela de rotas mostra (OpenVpn):

padrão via 172.28.1.1 dev eth0

10.1.0.0/24 via 172.28.1.1 dev eth0

172.20.0.0/24 dev eth0 proto kernel escopo link src 172.20.0.5

172.32.128.0/17 através de 172.32.128.2 devtun0

172.32.128.2 dev tun0 proto kernel escopo link src 172.32.128.1

172.20.0.5 é a interface OpenVpn no Azure

Tabela de rotas do Azure:

Nome | Rede | Próximo tipo de salto

ToAure | 172.31.128.0/17 | 172.20.0.5

ParaLocalNet | 10.1.0.0/24 | Gateway de rede virtual

Alguma idéia de por que não estou acessando a rede local a partir da rede do cliente? Muito obrigado pela sua ajuda!

Responder1

Você anunciou seu 172.32.128.0/17 (espaço de endereço do cliente) no s2s vpn entre palo alto e azure vpn gw?

informação relacionada