У нас есть туннель site-to-site с использованием маршрутизатора Meraki к Google Cloud. Пинги и обычный трафик проходят между двумя сайтами. Сервер на стороне Google Cloud — это контроллер домена, на котором запущен DNS. Однако сторона туннеля Google не будет возвращать запросы.
Мы сделали захват пакетов на стороне Meraki, и они показывают, что трафик уходит через туннель, но ответа нет. Я проверил, что у меня есть следующее в разделе брандмауэра на стороне Google:
vpn-dns Ingress Применить ко всем диапазонам IP-адресов: 0.0.0.0/24 tcp:53, udp:53 Разрешить 65534 по умолчанию
Мысли о том, чего может не хватать или как определить? На контроллере домена отключены все брандмауэры. Вы можете подключиться к нему через RDP и также пинговать его из удаленного расположения.
решение1
Существующее правило брандмауэра на стороне Google
vpn-dns Ingress Apply to all IP ranges: 0.0.0.0/24 tcp:53, udp:53 Allow 65534 default
выглядит некорректно. Это может быть причиной того, что DNS-запросы не доставляются на порт 53 DNS-сервера в Google Cloud.
Вам следует изменить это правило и установить
Source IP ranges = 0.0.0.0/0
Виртуальное частное облако > Документация > Обзор сети VPC > Режим создания подсети > Диапазоны подсети > Ограниченные диапазоны
Википедия > Зарезервированные IP-адреса > IPv4
IETF > RFC 6890 > Реестры IP-адресов специального назначения > Введение
IETF > RFC 6890 > Реестры IP-адресов специального назначения > Рекомендации IANA > Реструктуризация адресов специального назначения IPv4 и IPv6 > 2.2.2 Записи реестра адресов специального назначения IPv4
решение2
Можете ли вы запуститькопатькоманду с вашего клиентского компьютера на один из компьютеров, разрешенных DNS-сервером, и поделиться результатами?
Примите во внимание, что DNS-сервер Google Cloud, который находится у вас на другом конце, должен быть зарегистрирован на DNS-серверах более высокого уровня, чтобы к нему можно было получить доступ, как описано в этом документе.страница. Если нет, то никто не узнает, что на контроллере домена есть служба DNS-сервера.
Если вы уже зарегистрировали DNS-сервер, то вам также нужно посмотреть на ваши клиентские конфигурации, проверить имя вашей клиентской машины, доменное имя и сервер имен, которые вы настроили.
Если это машина Linux, вам следует посмотреть на конфигурации в /etc/resolv.conf идобавить сервер именчто немного зависит от того, какая у вас версия Unix.