Openvpn 無法 ping 本機伺服器(連接埠無法存取)

Openvpn 無法 ping 本機伺服器(連接埠無法存取)

我已在 Azure 網路 172.20.0.0/24 中設定為 OpenVPN 伺服器 (Debian) 和其他伺服器,該網路透過網站到網站 VPN IPsec 隧道連接到本機網路 (10.1.0.0/24)。

Azure 上的虛擬網路閘道與本機 Paloalto 之間建立了連線。從天藍色到本地網路的網路連線運作正常:

(172.20.0.0 <------> 10.1.0.0/24)。

在 openvpn 伺服器上,已為位址空間為 172.32.128.0/17 的用戶端設定了點到網站 vpn。從客戶端到 Azure 的通訊效果良好:

(172.32.128.0 <----->172.20.0.0/24)

但當我嘗試 ping 本地網路 (10.1.0.0/24) 時,我遇到了問題。

(172.32.128.0 <- ------/-------- -> 10.1.0.0/24) 之間沒有連接

從 172.32.128.14(連接到 OpenVpn 的客戶端)Ping 10.1.0.8(本地站點上的 DNS)

我收到(請求逾時):在虛擬網路網關 Azure 上捕獲的資料包:

172.20.0.5 10.1.0.8 ICMP 130 目標無法到達(連接埠無法到達)

(這裡我們可以設定172.20.0.5 OpenVpn Azure 接口,而不是172.32.128.14 位址,儘管偽裝被禁用並且路由和封包轉送已啟用。)Tcpdump Openvpn:IP 172.32.128.14 > 10.1.0.8 請求:ICMP 回顯請求,ICMP 回顯請求id 1, seq 970,長度 40 OpenVpn 伺服器顯示從 172.32.128.14 到 10.1.0.8 的 tcpdump 請求,但沒有回應。

在PaloAlto(本地網路)上,我可以看到來自172.32.128.14 的請求和來自10.1.0.8 的回复,但資料包未到達網路172.32.128.0/17,看起來資料包在進入天藍色網路之前就遺失了。

路由表顯示(OpenVpn):

預設透過 172.28.1.1 dev eth0

10.1.0.0/24 通過 172.28.1.1 dev eth0

172.20.0.0/24 dev eth0 原型內核範圍連結 src 172.20.0.5

172.32.128.0/17 通過 172.32.128.2 dev tun0

172.32.128.2 dev tun0 原型內核範圍連結 src 172.32.128.1

172.20.0.5 是 Azure 上的 OpenVpn 介面

Azure路由表:

名稱 |網路|下一跳類型

托奧雷 | 172.31.128.0/17 | 172.20.0.5

到本地網 | 10.1.0.0/24 | 10.1.0.0/24虛擬網路網關

關於為什麼我無法從客戶端網路存取本地網路有什麼想法嗎?非常感謝您的幫忙!

答案1

您是否在 palo alto 和 azure vpn gw 之間的 s2s vpn 中宣布了 172.32.128.0/17 (客戶端的位址空間)?

相關內容