问题标签 [azure-vpn]

我有以下问题。我有一个带有负载均衡器和 2 个 VM 的 Azure 虚拟网络。它们都具有内部IP（例如10.0.0.1）。我有一个 Azure Point 2 Site VPN 设置来连接到我的虚拟网络。现在第三方想要通过 Azure P2S VPN 连接到 VM 上的 SQL 实例，但是让他们使用与我相同的 VPN 进行访问，他们还获得了（其他 VM 的）所有内部 IP。这会阻止他们自己对这些 IP 的使用，因为他们可能已经在他们的网络中拥有自己对 10.0.0.1 的使用。

他们想使用特定的 IP 地址，并且只连接到该地址，而不是与我的 azure virt 隐式冲突。他们可能正在使用自己的网络 IP。如何在不包括我自己的内部 IP 的情况下通过 VPN 提供访问？

我考虑过创建第二个虚拟网络 + 第二个 VPN，并使用 vnet-to-vnet，但我不确定这是否可行。

azure 应用服务 ASE 中有一个 azure Web 应用。它链接到 Vnet。以及从外部云/本地连接到 Vnet 的笔记本电脑/PC 之间的点对点 VPN，以形成各种混合云设置。我正在尝试查看是否可以从 Web 应用程序（应用程序服务）访问该 Vnet 中 PC/VM 中的网络文件共享/共享文件夹。当我尝试这个时，我得到一个未经授权的异常。我有什么选择？拥有云服务网络角色而不是网络应用程序会有帮助吗？或者在 Vnet 中设置域控制器 + AD 并将 VM 添加到域并尝试以域用户身份访问共享（通过代码模拟）？此外，我不确定是否通过点对站点 VPN 将笔记本电脑/PC 连接到此 Vnet，笔记本电脑/PC 将位于我们创建的域下。

这背后的用例是在 azure PaaS 中运行的 Web 应用程序上显示一些本地媒体（图像、视频等可能更大的尺寸）。

请分享您的想法和意见。

我们有一个 Azure WebJob 在通过点到站点连接连接到 vNET 的应用服务上运行。

然后，同一个 vNET 通过 Site-to-Site VPN 连接连接到本地网络。

路由设置为站点到站点连接，以便从 OnPrem > Azure 发送 Azure vNET (172.27.0.0/24) 的 IP 范围。这可以通过登录到 vNET 内的 VM 以查询本地资源来进行测试 - 这工作正常，并且符合预期。

如果从 WebJob 发送相同的请求（到 REST API），事情就不起作用。

Point-to-Site (172.27.1.144/28) 的 IP 范围与 vNET 的 IP 范围不相交，所以我想知道我们是否还需要将该范围“回传”到 Site-to-Site 连接?

另一种选择是 Azure 中的路由表需要手动输入，不知何故？

任何有关如何排除故障/使其正常工作的提示将不胜感激。

我正在尝试使用 Azure 数据工厂将数据从本地数据库传输到 Azure blob 存储。我知道数据管理网关使用 HTTPS 传输数据，但我们希望以数据管理网关不使用 Internet 将数据从本地数据库传输到 azure blob 的方式配置连接。

这些方法会避免将互联网与数据管理网关一起使用吗？

我们在本地 ftp 服务器上有数据，我需要按计划将其复制到 Azure 数据库。ftp 服务器位于 NAT 之后，可以从我们的本地网络访问。我尝试了几件事来复制数据：

1) 逻辑应用有 ftp 传输选项，但它们不支持数据管理网关？我如何将来自 onprem<->Azure 的 VPN 与逻辑应用程序/功能集成？

2) Azure 数据工厂。这不是最佳选择，因为我想以编程方式添加 ftp 源，但我尝试了此选项以查看它是否有效。我无法使用数据管理网关访问本地 ftp 服务器。可能是因为NAT。

将不胜感激我应该如何进行的所有建议。如果您需要更多信息，请告诉我。

场景是：

编辑：

我仍然声称逻辑应用程序 ftp-plugin 不能与本地数据管理网关一起使用，所以这没有答案。

我尝试将 ftp 服务器安装到我的本地 Windows 机器上，并与文件连接器 + 数据管理网关共享。但是 ftp-server 挂载为网络驱动器，并且不提供文件连接器可以开箱即用的本地驱动器号。有一些黑客如何获取驱动器号，我能够做到这一点，但除了根 ftp 文件夹之外它没有用。

我无论如何都会觉得这是不可扩展的黑客，因为我有几个 ftp 源，将来可能会有更多。我认为目前没有简单的方法可以让 Logic 应用程序/功能与本地 ftp 一起使用。

我想我将尝试在本地制作 VPN 网关并使用虚拟机/Web 作业复制文件。

我知道 FTP 很无聊而且很旧，但 Microsoft imo 仍然应该更好地支持它。还有一件事。如果您想知道为什么是 FTP 而不是其他东西，这些是仅支持 FTP 作为输出的楼宇自动化控制器。所以这是一种物联网案例......

我可以使用连接到 Vnet 中的后端

https://docs.microsoft.com/en-us/azure/api-management/api-management-using-with-vnet

但是，我找不到如何连接到驻留在 VPN 中的后端。

我可以这样做吗

1. 创建网络
2. 使用 IPsec VPN 隧道将 Vnet 连接到我的 VPN

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways#site-to-site-and-multi-site-ipsecike-vpn-tunnel

3. 将 APIm 连接到子网 IP 地址（我的假设是这会将请求中继到位于我的 VPN 中的后端）

我正在尝试在 Azure 门户中配置 VPN 设置，该门户连接来自 Service Fabric 群集的本地服务器。我已按照以下文章完成任务。

在 Azure 门户中创建站点到站点连接

本地 VPN 对等互连 IP：106.62.121.242（示例 IP）
Azure VPN 对等互连 IP：105.50.59.124（示例 IP）

本地 - 使用 VPN 的主机（加密域）：106.62.127.196（示例 IP）
Azure - 使用 VPN 的主机（Service Fabric 负载均衡器 IP）：62.166.19.229（示例 IP）

配置好预共享密钥后，我可以看到连接已成功建立。但流量并非来自 Azure Service Fabric VM。当我尝试检查来自其中一个 Service Fabric VM 的流量时出现以下错误。

PS C:> Test-NetConnection -Port 443 devapi.example.com
警告：TCP 连接到 devapi.example.com:443 失败
警告：对 devapi.example.com 的 Ping 失败 -- 状态：超时

ComputerName：devapi.example.com
RemoteAddress：106.62.127.196（示例 IP）
RemotePort：443
InterfaceAlias：Ethernet 2
SourceAddress：10.0.0.4
PingSucceeded：False
PingReplyDetails (RTT)：0 ms
TcpTestSucceeded：False

我被告知 SourceAddress 应该是用于发送和接收流量的 Service Fabric 负载均衡器 IP。请帮忙。

我想从 azure 中的虚拟网络创建点到站点 vpn。对于我想使用证书的身份验证，根证书是在 azure key vault 中生成的。我不想使用 rootCertificate.pfx 而是使用 clientCertificate.pfx 进行身份验证。

要求是

1. 我不使用外部证书提供程序。
2. 我尽可能多地使用powershell

我们按照此文档在密钥保管库中创建自签名证书。

https://blogs.technet.microsoft.com/kv/2016/09/26/get-started-with-azure-key-vault-certificates/

创建根证书后，它被放置在密钥保管库中。（秘密中的公共部分，密钥中的私人部分）

接下来我们复制/粘贴虚拟网络网关中的公共部分（Base64） -> 点到站点配置 -> 根证书

然后我使用这个 powershell 脚本从我们之前创建的 rootCertificate 生成一个 clientCertificate。我们将其导出到本地硬盘。

之后我们安装“Point To Site VPN Client.pfx”

公共根证书安装在受信任的根证书颁发机构中。在我的客户端证书的信任链中，根证书显示以下“此证书对所选用途无效”。

现在我想使用客户端证书连接到 vpn。

他说收到的消息出乎意料或格式错误。

我的猜测是，当我们想从密钥库（上面的脚本）生成客户端证书时会出现问题。

信任链和连接错误

我按照此链接https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-rm-ps#Certificates在 Azure 中创建了一个 VPN。所以，

1. 我创建了一个根证书并上传到管理门户。
2. 使用 PS 脚本创建 VPN
3. 创建客户端证书并安装 VPN 客户端包。

我的 VPN 按预期工作。我的问题是现在我可以从管理存储中删除此证书吗？是否必须将证书上传到管理存储才能创建此 VPN？在这种情况下，身份验证如何工作？

所以我在 Azure 上创建了一个 VM Win Server 2016。我在 Azure VM（即 AD DC）和测试 Windows 机器之间创建了一个 VPN 连接。我可以 ping AD IP（但不是域，只有 IP）、RDP 到机器等。但是当我尝试加入域时它无法识别。所以这可能是 Azure 上的 DNS 问题，但我一直无法解决？该怎么办？如何进行？这个想法是能够通过点到站点 VPN 将远程计算机连接到 Azure 上的 AD DC。谢谢