Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

网关负载均衡器无法访问Office365

0

【以下的问题经过翻译处理】 你好,我们设置了一个网关负载均衡器作为中央VPC中多个防火墙设备的入口,来检查所有从所有从分支 VPC 和通过 S2S VPN 连接的几个云下远程位置的流量。 我们注意到有些客户端无法访问解析为 (13.107.6.156) 的 Microsoft Office365 终端点 https://www.office.com

此外,我们已经检查过,我们的客户端可以访问分支 VPC 中的资源,并没有任何问题。 我们向防火墙供应商咨询,他们确认防火墙能够看到通过互联网出口的数据包,没有被阻止。 为了理解这个问题的原因,我们已经打开了 VPC 流日志,但是我们无法确定能够访问 Office365 的客户端和不能访问的客户端之间的关系。 我们的设置是:

远程办事处 <....> S2S VPN <....> 中转网关 <....> 网关负载均衡器 <....> 防火墙 <....> 互联网

顺便提一下,我们以前在分支 VPC 中的一些随机客户端遇到了类似的问题,但通过启用中转网关的应用程序模式解决了。然而,我们不确定是否与当前问题有关,因为我们尝试再次禁用它,但没有改变任何东西。

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon VPCGateway Load BalancerVPC-Flow-Protokolle
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten45 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 感谢提供输出。

根据无法正常工作的机器的traceroute结果,到达最终目的地[13.107.6.156]需要17个跳跃才能成功,而在工作的机器上,需要19个跳跃才能成功,并且有一个目的地的条目。

显然,要到达[13.107.6.156],需要超过17个跳跃。考虑到将包和序列号:2805856178与VPN路由器中看到的包以及防火墙中的相同包[在geneve封装下的内部包]相关联,可以看到TTL是17,这不足以到达最终目的地。

请问客户端当前使用的默认TTL值是多少?

您可以通过运行以下命令或在客户端本身运行数据包捕捉并查看IP头来检查:

sudo sysctl -a | grep "net.ipv4.ip_default_ttl"

显然,您需要查看网络中的TTL并确保它足够大以到达目的地。

在某些旧内核中,它可能被设置为64,并且可以通过运行以下命令将其增加到255:

sudo sysctl -w "net.ipv4.ip_default_ttl=255"

在大多数情况下,当TTL达到零时,您应该在报文捕获中看到ICMP-超时。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt