如何创建Azure点对点VPN,允许连接的客户端在Internet上显示为静态IP地址

vs91vp4v  于 2023-11-21  发布在  其他
关注(0)|答案(2)|浏览(149)

我试图在Azure中创建一个VPN解决方案,以便在家工作的同事可以连接到VPN,然后有一个静态IP地址(由NAT网关提供)用于访问互联网上的资源。我们使用这些白名单等。
第一部分是创建虚拟网络和虚拟网络网关,并配置点对点。这一切似乎都可以工作,因为我和我的同事都可以连接到VPN(使用Azure VPN客户端),并且当我们都连接时,我可以通过VPN分配的IP地址(例如:http://172.16.201.3/Test.html)查看他机器上的Web服务器。
我们的应用程序服务(在另一个虚拟网络上)使用NAT网关来实现出站呼叫的特定IP地址范围。
我的假设是,我可以简单地将NAT网关连接到我的新虚拟网络并更改路由(在客户端上),以便我们想要访问的站点的IP地址(或所有IP地址)通过VPN路由(按照:https://learn.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-p2s-advertise-custom-routes)。
然而,如果我这样做,然后输入一个网站/ IP地址,得到“路由”最终无法连接。
我可以看到,我们可能会使用“对等”链接我们的虚拟网络,并使用“内部”IP地址为我们的一些任务,但也有第三方网站,需要从我们的静态IP地址。
据我所知,VPN都是给你一个不同的IP地址,但我似乎无法找出VPN网关,虚拟网络和NAT网关之间的一些关键联系。
希望有经历过这件事的人能帮上忙。

eufgjt7s

eufgjt7s1#

您可能缺少以下内容:
你是否在Azure门户中创建了自定义路由表?该路由应将所有出站流量(0.0.0.0/0)定向到NAT网关的资源ID。此自定义路由表应与你的子网关联。
来自VPN客户端的流量应该知道到NAT网关的路由。
有时,通过域名访问网站可能是DNS问题,而不是路由问题。当VPN客户端连接时,他们应该了解Azure DNS或您的自定义DNS以正确解析名称。
你能检查一下追踪路由的结果吗?你的数据包能传送多远?

wpx232ag

wpx232ag2#

事实证明:
Internet连接不是通过VPN网关提供的。因此,所有发往Internet的流量都会被丢弃。
来源:https://github.com/MicrosoftDocs/azure-docs/issues/114556
我终于得到了一个解决方案,首先设置一个网络虚拟应用程序(NVA),并通过它路由..如果其他人也想这样做,这里是我的笔记:

  • 根据以下内容设置“网络虚拟设备”:https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal#create-an-nva-virtual-machine
  • 在门户网站中设置IP转发:https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal#enable-ip-forwarding-in-azure
  • 在操作系统中启用IP转发和使用NAT网关的能力:https://learn.microsoft.com/en-us/azure/nat-gateway/tutorial-hub-spoke-route-nat#configure-virtual-machine-software--第10点与普通路由表教程不同,它们都取消了“net.ipv4.ip_forward=1”的注解
  • 将IP设置为静态:在vm-nva中,选择“网络”选项卡,选择网络接口;选择“IP configurations”选项卡,然后单击唯一的“ip configuration”并将其设置为“Static”。
  • 创建路由表:https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-create-route-table-portal#create-a-route-table
  • 创建路由:姓名(N):“to-external”,目标类型:IP地址,目标IP范围:x.x.x.x/32,下一跳类型:虚拟设备,下一跳地址:10.0.3.4(NVA的IP地址)
  • 其他互联网路由可以通过改变ip地址/添加路由来添加
  • 将路由表与子网“default”和“GatewaySubnet”关联

相关问题