我们正在尝试将我们的域控制器迁移到云以促进分布式网络。我们遇到的问题的关键在于我无法通过VPN将网络流量发送到我在那里创建的VNet和VM域控制器。
设置如下:(主办公室)SonicWALL NSA 220.(分公司1)SonicWALL TZ105。 (分公司2)SonicWALL TZ105。 (Azure)启用了站点到站点网络的VNet,VM驻留在VNet内的子网内。我已手动配置VNet网关以创建到所有三个位置的VPN连接,并确认VPN是实时且可操作的,并且似乎正常运行。
VNet创建了一个"动态"路由网关,根据SonicWALL文档。 SonicWALL配置了"隧道"从每个办公室创建到VM子网的VPN和静态路由。我没有创建任何传出NAT转换规则,因为我在假设VNet网关执行该功能的情况下运行。我已启用传入的翻译规则。
我创建了Windows 2012 R2虚拟机并将其配置为域控制器。禁用Windows防火墙(通过在控制面板中将其关闭)并打算安装McAfee SaaS(但在我按预期工作之前不会这样做)。截至目前,虚拟机可以ping所有三个办公网络(主办公室,分支机构1和分支机构2)上的主机,但无法从Azure中的子网外部ping虚拟机。
Azure配置如下所示:
地址空间:192.168.0.0/21 子网1:192.168.1.0/16 网关:192.168.0.0/29
本地网络1:192.168.10.0/16 本地网络2:192.168.11.0/16 本地网络3:192.168.12.0/16
路由配置如下:
来源:[本地子网] 目的地:[Azure子网1] 类型:全部 接口:VPN隧道
虚拟机驻留在子网1上,其中包含通过Windows Azure Powershell配置的静态IP地址(例如,192.168.1.4)。
从VM到我们本地网络的Ping工作正常。从本地网络ping到VNet / VM不起作用。
我觉得问题在于NAT翻译。我查看但完全无法找到任何有关Azure VNet网关如何转换传入和传出流量的文档,讨论,信息或资源。我尝试为从Azure到本地网络的传入流量添加转换规则无济于事。
有什么想法吗?我对网络故障排除工具不太熟悉,因此如果响应要求创建日志或使用任何此类工具,请提供有关如何执行此操作的详细信息。
谢谢,
亚当
答案 0 :(得分:2)
通过进一步的故障排除,我能够解决问题,现在我可以将所有系统从Azure ping到本地网络,从本地网络ping到Azure。问题在于SonicWALL上的默认NAT规则,该规则规定我们的公共IP地址用于源自公司网络的所有流量,除非更具体的规则适用。
为了解决这个问题,我添加了以下NAT规则:
来源: 原始本地子网 翻译,原创 目的地: 原始Azure子网 翻译,原创 服务: 原来,任何 翻译,原创 接口: 入站的任何 出站的任何
此规则更正了我们遇到的情况,我们的防火墙正在将发送到Azure的所有流量转换为我们的公共IP地址,这显然会产生问题。