网关负载均衡器无法访问Office365
【以下的问题经过翻译处理】 你好,我们设置了一个网关负载均衡器作为中央VPC中多个防火墙设备的入口,来检查所有从所有从分支 VPC 和通过 S2S VPN 连接的几个云下远程位置的流量。 我们注意到有些客户端无法访问解析为 (13.107.6.156) 的 Microsoft Office365 终端点 https://www.office.com。
此外,我们已经检查过,我们的客户端可以访问分支 VPC 中的资源,并没有任何问题。 我们向防火墙供应商咨询,他们确认防火墙能够看到通过互联网出口的数据包,没有被阻止。 为了理解这个问题的原因,我们已经打开了 VPC 流日志,但是我们无法确定能够访问 Office365 的客户端和不能访问的客户端之间的关系。 我们的设置是:
远程办事处 <....> S2S VPN <....> 中转网关 <....> 网关负载均衡器 <....> 防火墙 <....> 互联网
顺便提一下,我们以前在分支 VPC 中的一些随机客户端遇到了类似的问题,但通过启用中转网关的应用程序模式解决了。然而,我们不确定是否与当前问题有关,因为我们尝试再次禁用它,但没有改变任何东西。
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 感谢提供输出。
根据无法正常工作的机器的traceroute结果,到达最终目的地[13.107.6.156]需要17个跳跃才能成功,而在工作的机器上,需要19个跳跃才能成功,并且有一个目的地的条目。
显然,要到达[13.107.6.156],需要超过17个跳跃。考虑到将包和序列号:2805856178与VPN路由器中看到的包以及防火墙中的相同包[在geneve封装下的内部包]相关联,可以看到TTL是17,这不足以到达最终目的地。
请问客户端当前使用的默认TTL值是多少?
您可以通过运行以下命令或在客户端本身运行数据包捕捉并查看IP头来检查:
sudo sysctl -a | grep "net.ipv4.ip_default_ttl"
显然,您需要查看网络中的TTL并确保它足够大以到达目的地。
在某些旧内核中,它可能被设置为64,并且可以通过运行以下命令将其增加到255:
sudo sysctl -w "net.ipv4.ip_default_ttl=255"
在大多数情况下,当TTL达到零时,您应该在报文捕获中看到ICMP-超时。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 2 年前
- AWS 官方已更新 6 个月前