公司内网如何访问阿里云内网？

This topic created in 1443 days ago, the information mentioned may be changed or developed.

我们希望公司内网（ 10.0.0.0/8 ）能够访问阿里云内网（ 172.16.0.0/12 ，100.64.0.0/10 ）实现连通。这样可以关闭服务器的外网端口提高网络的安全性。

目前的解决方案是在公司出口路由（命名为 Router01 ），以及某一台云主机（命名为 ECS01 ）上面配置了 Wiregaurd 通过 NAT 方式实现阿里云的访问。

大致的拓扑结构如下

公司内网（ 10.0.0.0/8 ） => Router01 =Wireguard=> ECS01 => 172.16.0.0/12 或 100.64.0.0/10

目前可以做到 10.0.0.0/8 访问 172.16.0.0/12 ，但无法访问 100.64.0.0/10 网段的主机。

已知如下信息：

172.16.0.0/12 为 ECS 主机网段，而 100.64.0.0/10 为阿里云内部服务的网段（比如容器镜像服务，OSS 服务等等）。
我们在配置的时候对二者并没有刻意区分，但一个网段可以访问一个不行。
ECS01 这台接入的主机可以正常访问 100.64.0.0/10 网段，ping 是通的
公司内网主机 ping 100.64.0.0/10 不通，但是在 ECS01 上面 tcpdump 抓包可以看见正常的请求以及响应包

请问可能是什么原因导致的？

Supplement 1 · Jun 1, 2022

感谢各位大佬的帮助，统一回复一下，问题已经找到了。

大致的连接方式如下：
公司内网（ 10.0.0.0/8 ） => Router01 =Wireguard=> ECS01 => 172.16.0.0/12 或 100.64.0.0/10

我们是在 ECS01 上面 SNAT ，因此不需要配置路由表。
根据抓包的结果，100 网段有一部分数据包明确标注禁止分片（ Don't Fragment ），然而 WG 此时会报错 Destination Unreachable （ Fragmentation needed ）。

这就会导致一些诡异的问题，比如有时候 telnet 可以连接，一旦发起 https 请求就失败了。

总结：问题出在 MTU 上面

ecs01

网段

访问

阿里云内网

11 replies • 2022-06-01 19:22:46 +08:00

cpstar

May 31, 2022

不是 ali ，别的网络结构，使用了 GRE 隧道

sujin190

May 31, 2022

路由表都配置了么？公司内网是你们控制的所以可以在网关统一配置路由表，但是阿里云这边不行了，除非你们在每台机器上都设置路由表，否则除了搭建 Wireguard 的机器其他都通不了，ecs 还好，rds 这种就完全不行了

另一种配置就是设置 nat ，源地址重写，Router01 出 Wireguard 网卡时重写来源地址为 Wireguard 网卡 ip ，ECS01 来自 Wireguard 的重写源地址为 ECS01 阿里云给的内网 ip ，这样就可以无需设置路由表就可以从公司访问阿里云所有网段了，从阿里云访问公司内网则倒过来设置即可

另外估计买阿里云提供的 vpn 服务估计就可以靠路由表配置来完成了

rateltalk

May 31, 2022 via iPhone

zerotier 组个网

thehorizon

May 31, 2022 via iPhone

@sujin190 我们就是在 ECS01 上面配置的 NAT 。按照道理只要 ECS01 可以访问 100 的地址，那么隧道也可以访问 rds 。

我们在公司内网 ping oss 内网 ip （ 100 开头的）在 ECS01 上面抓包，看到的现象也是 NAT 成功了

可奇怪的是这个包就是回不到公司内网

sujin190

May 31, 2022 via Android

@thehorizon 那估计还是 nat 配置的问题，否则不大可能回不来，nat 之后 100 的网断也不能知道你来自隧道的吧