GCE Linux VM 無法訪問對等 VPN 主機

Question

我在使用 Google Cloud VPN 和隧道連接到對等 VPN 時遇到問題。 隧道已啟動並正在運行，但我無法從 GCE VM 連接到對等網絡上的任何點。

我的設置如下所示：

• 具有一個內部 IP 范圍的自定義 VPC 網絡。 我們稱之為custom-net
• 一個經典的 VPN 網關，帶有到對等 VPN 的 IPSec 隧道。 隧道的狀態為已Established 。 VPN 網關有一個預留的 IP 地址。 VPN 網關 VPC 網絡是custom-net 。
• custom-net上的三個路由：
  • 到唯一子網的本地路由，prio 1000
  • 默認 Internet 網關，prio 900
  • 到網關隧道，prio 1000
• GCE 中的全新 Linux VM。 我們稱之為vm1 。 它在其唯一子網上的custom-net上有一個網絡接口。
• GC 中的兩個防火牆規則，允許所有入口和出口。

我可以使用 ssh 連接到vm1並從中訪問互聯網，但盡管隧道處於已建立狀態，但我無法訪問對等 VPN 中的任何點。 custom-net上的 IP 范圍不會干擾對等網絡上的任何范圍。

這里可能是什么問題？ 我是網絡設置的新手。 路由中是否缺少某些內容，或者我是否必須在vm1進行一些配置才能使其生效？

任何幫助表示贊賞！

Answer 1

對於路由，Google Cloud 會為您指定的每個遠程 IP 范圍自動創建一個路由。 這應該不是問題

也就是說，可以檢查幾點以進一步解決此問題：

• 如果您使用基於策略的隧道，請確保您嘗試訪問的 IP 地址已在您的流量選擇器中聲明。 此外，請檢查隧道的堆棧驅動程序日志，以查看上述 IP 范圍是否正在協商中。 您可以使用此高級過濾器：

  resource.type="vpn_gateway" resource.labels.gateway_id="your_gateway_id" textPayload="已建立"

  請展開日志並檢查“textPayload：”字段以查看是否正在協商目標 IP 范圍。

• 確認您可以在 gcp 中從虛擬機 ping 遠程對等網關

• 從兩側運行 mtr 並查看數據包在某個時刻被丟棄的位置。

• 在進行連接測試（ping、mtr）時從遠程網關獲取tcpdump並從 Google Compute Engine 實例獲取另一個，以便您可以分析數據包流。

• 有關描述某些受支持的第三方 VPN 設備和服務的指南，請參閱VPN 互操作指南頁面。 這可能會為您提供有關如何配置特定設備以使用 Cloud VPN 的一些提示。

• 有關其他詳細信息，請咨詢Cloud VPN 故障排除

我希望這有幫助