Мы пытаемся настроить межсетевой VPN на Azure. Проблема в том, что у нас есть большая виртуальная сеть su bnet, скажем, 10.0.0.0/16, и VPN должна иметь доступ только к 10.0.1.0/24 в этом диапазоне. Мы установили соединение, и оно перестало работать из-за «Несоответствия селектора Traffi c».
Я установил соединение из PowerShell следующим образом:
$ResourceGroup = [SomeResourceGroup]
$Location = [SomeLocation]
$OnsitePublicIp = [onsite public ip]
$OnsiteSubnet = [onsite accessable subnet]
$LocalNetworkGatewayName = [SomeNetworkGatewayName]
$ConnectionName = [SomeConnectionName]
$AzureAddressRange = "10.0.1.0/24"
$VirtualNetworkGatewayName = [SomeVirtualNetworkGatewayName]
$IpSecPolicy = New-AzIpsecPolicy XXXXXXXXXXXXX
$LocalNetworkGateway = New-AzLocalNetworkGateway -Name $LocalNetworkGatewayName -ResourceGroupName $ResourceGroup -Location $Location -GatewayIpAddress $OnsitePublicIp -AddressPrefix $OnsiteSubnet
$IpsecTrafficSelectorPolicies = New-AzIpsecTrafficSelectorPolicy -LocalAddressRange $AzureAddressRange -RemoteAddressRange $OnsiteSubnet
$VirtualNetworkGateway = Get-AzVirtualNetworkGateway -Name $VirtualNetworkGatewayName -ResourceGroupName $ResourceGroup
New-AzVirtualNetworkGatewayConnection -Name $ConnectionName -ResourceGroupName $ResourceGroup -VirtualNetworkGateway1 $VirtualNetworkGateway -LocalNetworkGateway2 $LocalNetworkGateway -Location $Location -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $IpSecPolicy -SharedKey $SharedKey -TrafficSelectorPolicy $IpsecTrafficSelectorPolicies
Соединение по-прежнему отклонено и после выполнения устранения неполадок в соединении я вижу, что на полный диапазон все еще ссылаются.
Proposed Traffic Selector payload will be- [Tsid 4e4 , ]Number of TSIs 1: StartAddress 10.0.0.0 EndAddress 10.0.255.255 ......
У нас есть несколько установок на устройстве шлюза, и они работают как положено, однако эта не работает из-за "Traffi" c Несоответствие селектора ".
Если Политика селектора Traffi c не отфильтровала опубликованный диапазон до 10.0.1.0 до 10.0.1.255?
Буду признателен за любую помощь, чтобы получить это разобрались. Я неправильно подхожу к этому вопросу? Есть ли лучший способ сделать это?