Azure site to site VPN

Prestigious_Ad9697 · June 12, 2025, 4:17am

Ciao, spero che gli esperti qui possano aiutarmi. Ho una VPN site-to-site tra un sito remoto in EU e il mio tenant Azure, dove la maggior parte delle risorse si trova nella regione US East. Dal sito remoto, posso accedere alle risorse Azure dal loro spazio IP LAN. Quello che non riesco a capire è perché non riesco a raggiungere le risorse Azure da una sotto-rete LAN specifica che include tutti i server e anche la sotto-rete VPN. Usando Wireshark sulla VM Azure, vedo i ping in arrivo, ma non fanno mai il viaggio di ritorno.

Può qualcuno indicarmi dove dovrei cercare per aggiungere le altre sotto-reti? È ovviamente un blocco a qualche livello.

Grazie in anticipo!!

not_a_lob · June 12, 2025, 4:17am

Credo che sia un problema di routing. Assicurati che la configurazione di Azure sappia di quella sotto-rete come destinazione. Verifica come condividi le rotte tra Azure e il punto di terminazione VPN del sito remoto, dinamico o statico, e poi indaga da lì.

Heavy_Dirt_3453 · June 12, 2025, 4:17am

Sembra un routing asimmetrico, controlla i tuoi UDRs.

ccorb · June 12, 2025, 4:17am

Come suggeriscono gli altri, controlla la tabella delle rotte su Azure. Presumo anche tu abbia verificato i log di connessione sul firewall remoto che termina la connessione, e non ci sono log (e divieti)?

alconaft43 · June 12, 2025, 4:17am

C’è anche uno strumento chiamato Network Watcher Network Watcher Frequently Asked Questions (FAQ) | Microsoft Learn che può fare WireShark per te in Azure. Ma mi piace il tuo approccio on-premise

photoframes · June 12, 2025, 4:17am

Verifica lo spazio di indirizzi consentito del gateway LAN.

ImParanoidnotandroid · June 12, 2025, 4:17am

Il ping arriva alla VM e non parte dalla VM?

infi2wo · June 12, 2025, 4:17am

Se usi il routing statico, dovresti controllare il tuo Gateway di Rete Locale (LNG) e verificare che la rete on-premise sia configurata lì.

Prestigious_Ad9697 · June 12, 2025, 4:17am

Grazie a tutti per i suggerimenti. Ho usato Network Watcher e questo è l’output:

1 0.000000 X.X.X.1 X.X.X.2 TCP 66 58666 → 3389 [SYN, ECE, CWR] Seq=0 Win=8192 Len=0 MSS=1310 WS=256 SACK_PERM

2 0.000165 X.X.X.2 X.X.X.1 TCP 66 3389 → 58666 [SYN, ACK, ECE] Seq=0 Ack=1 Win=64000 Len=0 MSS=1460 WS=1 SACK_PERM

3 1.003488 X.X.X.2 X.X.X.1 TCP 66 [TCP Retransmission] 3389 → 58666 [SYN, ACK, ECE] Seq=0 Ack=1 Win=64000 Len=0 MSS=1460 WS=1 SACK_PERM

4 2.992182 X.X.X.1 X.X.X.2 TCP 66 [TCP Retransmission] 58666 → 3389 [SYN, ECE, CWR] Seq=0 Win=8192 Len=0 MSS=1310 WS=256 SACK_PERM

5 3.019063 X.X.X.2 X.X.X.1 TCP 66 [TCP Retransmission] 3389 → 58666 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1460 WS=1 SACK_PERM

6 7.021760 X.X.X.2 X.X.X.1 TCP 66 [TCP Retransmission] 3389 → 58666 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1460 WS=1 SACK_PERM

7 8.998200 X.X.X.1 X.X.X.2 TCP 62 [TCP Retransmission] 58666 → 3389 [SYN] Seq=0 Win=8192 Len=0 MSS=1310 SACK_PERM

8 15.029679 X.X.X.2 X.X.X.1 TCP 66 [TCP Retransmission] 3389 → 58666 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1460 WS=1 SACK_PERM"

MarcelvanE · June 12, 2025, 4:17am

Concordo, sembra un problema di routing.

Prestigious_Ad9697 · June 12, 2025, 4:17am

Corretto. Vedo che lascia il firewall, ma non fa mai il viaggio di ritorno.