GCE Linux VM 无法访问对等 VPN 主机

Question

我在使用 Google Cloud VPN 和通过隧道连接到对等 VPN 时遇到问题。隧道已启动并正在运行，但我无法从 GCE 虚拟机连接到对等网络上的任何点。

我的设置如下所示：

• 具有一个内部 IP 范围的自定义 VPC 网络。我们就叫它custom-net
• 一个经典的 VPN 网关，带有一个到对等 VPN 的 IPSec 隧道。隧道的状态为Established。 VPN 网关有一个保留的 IP 地址。 VPN 网关 VPC 网络是custom-net。
• custom-net 上的三个路由：
  • 到唯一子网的本地路由，优先级 1000
  • 到默认互联网网关，优先 900
  • 到网关隧道，优先 1000
• GCE 中的全新 Linux VM。我们称之为vm1。它在其唯一的子网上custom-net 上有一个网络接口。
• GC 中的两个防火墙规则允许一切入口和出口。

我可以使用 ssh 连接到 vm1 并从中访问互联网，但是尽管隧道处于已建立状态，但我无法访问对等 VPN 中的任何点。 custom-net 上的 IP 范围不会干扰对等网络上的任何范围。

这可能是什么问题？我是网络设置的新手。可能是路由中缺少某些东西，还是我必须在vm1 中进行一些配置才能让它滚动？

任何帮助表示赞赏！

Answer 1

对于路由，Google Cloud 会自动为您指定的每个远程 IP 范围创建一个路由。这应该不是问题

也就是说，可以检查几个点来进一步解决这个问题：

• 如果您使用policy based tunnel，请确保您尝试访问的 IP 地址已在您的traffic selectors 中声明。此外，检查隧道的堆栈驱动程序日志，以查看是否正在协商上述 IP 范围。您可以使用此高级过滤器：

  resource.type="vpn_gateway" resource.labels.gateway_id="your_gateway_id" textPayload="已建立"

  请展开日志并检查“textPayload：”字段以查看是否正在协商目标 IP 范围。

• 确认您可以从 gcp 中的虚拟机 ping 远程对等网关

• 从两侧运行 mtr 并查看在某个时间点丢弃数据包的位置。

• 在进行连接测试（ping、mtr）时从远程网关获取tcpdumps，从 Google Compute Engine 实例获取另一个tcpdumps，以便分析数据包流。

• 请参阅VPN Interop Guides 页面，了解描述一些受支持的第三方 VPN 设备和服务的指南。这可能会为您提供一些关于如何配置特定设备以使用 Cloud VPN 的提示。

• 更多详情请咨询Cloud VPN Troubleshooting

希望对你有帮助