Openvpn не может пинговать локальные серверы (порт недоступен)

Openvpn не может пинговать локальные серверы (порт недоступен)

Я настроил сервер OpenVPN (Debian) и другие серверы в сети Azure 172.20.0.0/24, которая подключена к локальной сети (10.1.0.0/24) через туннель VPN IPsec типа «сеть-сеть».

Соединение установлено между Virtual Network Gateway на Azure и локальным Paloalto. Сетевое соединение из Azure в локальную сеть работает нормально:

(172.20.0.0 <------> 10.1.0.0/24).

На сервере openvpn настроена точка-сайт vpn для клиентов с адресным пространством 172.32.128.0/17. От клиента до Azure связь работает хорошо:

(172.32.128.0 <----->172.20.0.0/24)

но у меня возникла проблема, когда я пытаюсь выполнить ping локальной сети (10.1.0.0/24).

Нет соединения между (172.32.128.0 <- ------/------- -> 10.1.0.0/24)

Пинг 10.1.0.8 (DNS на локальном сайте) с 172.32.128.14 (клиент подключен к OpenVpn)

Я получил (время ожидания запроса истекло): Пакеты, захваченные на Vitual Network Gateway Azure:

172.20.0.5 10.1.0.8 ICMP 130 Место назначения недоступно (Порт недоступен)

(Здесь вместо адреса 172.32.128.14 мы можем увидеть 172.20.0.5 OpenVpn Azure Interface, несмотря на то, что маскировка отключена, а маршрутизация и пересылка пакетов включены.) Tcpdump Openvpn: IP 172.32.128.14 > 10.1.0.8: ICMP echo request, id 1, seq 970, length 40 Сервер OpenVpn показывает запросы tcpdump от 172.32.128.14 до 10.1.0.8, но не отвечает.

Более того, в PaloAlto (локальная сеть) я вижу запросы с 172.32.128.14 и ответы с 10.1.0.8, но пакеты не доходят до сети 172.32.128.0/17. Похоже, что пакеты были потеряны до входа в сеть Azure.

Таблица маршрутов показывает (OpenVpn):

по умолчанию через 172.28.1.1 dev eth0

10.1.0.0/24 через 172.28.1.1 dev eth0

172.20.0.0/24 dev eth0 proto ядро ​​область ссылка источник 172.20.0.5

172.32.128.0/17 через 172.32.128.2 dev tun0

172.32.128.2 dev tun0 proto ядро ​​область ссылка src 172.32.128.1

172.20.0.5 — это интерфейс OpenVpn на Azure

Таблица маршрутов Azure:

Имя | Сеть | Тип следующего перехода

ToAure | 172.31.128.0/17 | 172.20.0.5

ToLocalNet | 10.1.0.0/24 | Виртуальный сетевой шлюз

Есть мысли, почему я не могу попасть в локальную сеть из клиентской сети? Большое спасибо за помощь!

решение1

Анонсировали ли вы свой 172.32.128.0/17 (адресное пространство клиента) в s2s vpn между palo alto и azure vpn gw?

Связанный контент