GCE Linux VM 无法访问对等 VPN 主机

Question

我在使用 Google Cloud VPN 和隧道连接到对等 VPN 时遇到问题。 隧道已启动并正在运行，但我无法从 GCE VM 连接到对等网络上的任何点。

我的设置如下所示：

• 具有一个内部 IP 范围的自定义 VPC 网络。 我们称之为custom-net
• 一个经典的 VPN 网关，带有到对等 VPN 的 IPSec 隧道。 隧道的状态为已Established 。 VPN 网关有一个预留的 IP 地址。 VPN 网关 VPC 网络是custom-net 。
• custom-net上的三个路由：
  • 到唯一子网的本地路由，prio 1000
  • 默认 Internet 网关，prio 900
  • 到网关隧道，prio 1000
• GCE 中的全新 Linux VM。 我们称之为vm1 。 它在其唯一子网上的custom-net上有一个网络接口。
• GC 中的两个防火墙规则，允许所有入口和出口。

我可以使用 ssh 连接到vm1并从中访问互联网，但尽管隧道处于已建立状态，但我无法访问对等 VPN 中的任何点。 custom-net上的 IP 范围不会干扰对等网络上的任何范围。

这里可能是什么问题？ 我是网络设置的新手。 路由中是否缺少某些内容，或者我是否必须在vm1进行一些配置才能使其生效？

任何帮助表示赞赏！

Answer 1

对于路由，Google Cloud 会为您指定的每个远程 IP 范围自动创建一个路由。 这应该不是问题

也就是说，可以检查几点以进一步解决此问题：

• 如果您使用基于策略的隧道，请确保您尝试访问的 IP 地址已在您的流量选择器中声明。 此外，请检查隧道的堆栈驱动程序日志，以查看上述 IP 范围是否正在协商中。 您可以使用此高级过滤器：

  resource.type="vpn_gateway" resource.labels.gateway_id="your_gateway_id" textPayload="已建立"

  请展开日志并检查“textPayload：”字段以查看是否正在协商目标 IP 范围。

• 确认您可以在 gcp 中从虚拟机 ping 远程对等网关

• 从两侧运行 mtr 并查看数据包在某个时刻被丢弃的位置。

• 在进行连接测试（ping、mtr）时从远程网关获取tcpdump并从 Google Compute Engine 实例获取另一个，以便您可以分析数据包流。

• 有关描述某些受支持的第三方 VPN 设备和服务的指南，请参阅VPN 互操作指南页面。 这可能会为您提供有关如何配置特定设备以使用 Cloud VPN 的一些提示。

• 有关其他详细信息，请咨询Cloud VPN 故障排除

我希望这有帮助