O problema era que o ICMP era bloqueado pelo firewall. Nunca percebi isso antes, pois sempre trabalhei principalmente com Controladores de Domínio locais e a única outra VM nesse vnet também tinha o papel/recursos AD DS adicionados, pois a usava para visualizar controladores de domínio AADDS. Para ser justo e preciso, as máquinas não eram exatamente iguais — eu só nunca considerei que isso faria diferença. Resolver isso foi habilitando o protocolo ICMP no firewall do Windows e liberando o NSG para permitir tráfego ICMP. Obrigado a todos pela ajuda!
– Original, edição 1 e edição 2 abaixo –
Estou sem pistas e tentando ver se alguém pode ajudar. Já configurei uma VPN S2S da minha rede local (192.168.17.0/24) para o Azure (10.201.0.0/16). Tudo está configurado e a VPN está funcionando. NO ENTANTO, há uma VM que não pode ser pingada da minha rede local para o Azure. Estou executando o AADDS e posso pingar os controladores de domínio normalmente. Também tenho uma VM na mesma sub-rede (10.201.1.0/24) que posso pingar de local sem problemas. Mas há outra VM na mesma sub-rede que, por algum motivo, não consigo pingar.
Parece loucura para mim, mas não consigo descobrir o motivo. As regras do NSG são as mesmas, tudo parece ser igual, mas não responde ao ping. Os controladores AADDS estão em 10.201.1.4 e 10.201.1.5. A VM que posso pingar está em 10.201.1.6 e a que não consigo pingar está em 10.201.1.11.
Edição 1: Acabei de criar uma VM vazia em 10.201.1.7 e ela também não responde ao ping. Então, parece que há uma configuração em algum lugar…
Edição 2: Posso pingar de 10.201.1.11 para 192.168.17.x ou para qualquer lugar na vnet. Mas não consigo pingar de 192.168.17.x para 10.201.1.11.
Alguma ideia? Sei que não é a explicação mais precisa, mas não sei o que mais incluir.
A única coisa que posso pensar é que pode haver um firewall no sistema operacional da VM que está bloqueando o acesso. Você consegue pingar 10.201.1.11 de 10.201.1.6?
Mencionou NSGs - esses estão na sub-rede ou na vNIC diretamente, ou ambos? Você tentou desassociar os NSGs para ver se o problema muda de alguma forma? Se houver firewalls no sistema operacional, você os desligou completamente (por exemplo, no Windows, ‘netsh advfirewall set allprofiles state off’)?
Você não mencionou, então acho que a resposta é ‘não’, mas você tem uma firewall Azure entre local e Azure que pode estar bloqueando? Ou o firewall local com uma regra que possa estar bloqueando o acesso de alguma forma ao Azure?
Já tentou implantar outra VM com sistema operacional diferente como teste (por exemplo, Linux) — apenas algo totalmente diferente das VMs atuais — para eliminar problemas no nível do sistema operacional; também possui outras ferramentas como ‘nmap’ que às vezes são mais úteis do que as ferramentas do Windows.
Você usou a ferramenta ‘Connection Troubleshooter’ do Network Watcher para verificar a conexão para/de o IP remoto?
O IP que pode ser pingado — tentou associar esse IP ao que não funciona para ver se esse IP específico é o problema de alguma forma?
> As regras do NSG são as mesmas,
Onde você está colocando o NSG? Na NIC ou na sub-rede?
Primeira coisa que faria: desativar temporariamente o firewall do sistema operacional (Windows Firewall, UFW, etc). Se o ping funciona, ative novamente e crie uma regra para permitir ICMP a partir da sua origem.
Se não funcionar, use as ferramentas de solução de problemas de rede do Network Watcher para testar a conectividade. Pode indicar qual regra está bloqueando o acesso e também mostrar o roteamento. A rede virtual em que você está tem uma excelente opção de teste de conectividade de rede no menu, mas pode não funcionar se você estiver testando de uma fonte fora do Azure.
Sempre achei o ping meio estranho no Azure, para o que vale.
Verifique as regras do seu NSG. Costumo descobrir que o ICMP está bloqueado no firewall do Windows.
O RDP ou outro protocolo está realmente aberto na VM? Talvez tente usar alguns TNCs?
Ping de ambos os lados e tente captura de pacotes ou Wireshark. É possível que o ping esteja chegando, mas não esteja retornando. Aconteceu comigo: meu roteador local estava bloqueando o retorno dos pings.
Como disseram os outros, desative os firewalls nos servidores e tente. Uma imagem padrão de VM Windows Server 2019 tem a regra de ICMP desativada no firewall do Windows. Isso precisará ser ativado para permitir pings.
E confira as regras do NSG associadas às NICs. Parece que você está usando NSGs diferentes, mas assegure-se de que não há uma na sub-rede também?
É estranho uma VM funcionar e a outra não, estando na mesma sub-rede. Então, isso sugere que a infraestrutura de rede subjacente está bem, e o problema é na VM ou no sistema operacional.