公司内网如何访问阿里云内网？

我们希望公司内网（ 10.0.0.0/8 ）能够访问阿里云内网（ 172.16.0.0/12 ，100.64.0.0/10 ）实现连通。这样可以关闭服务器的外网端口提高网络的安全性。

目前的解决方案是在公司出口路由（命名为 Router01 ），以及某一台云主机（命名为 ECS01 ）上面配置了 Wiregaurd 通过 NAT 方式实现阿里云的访问。

大致的拓扑结构如下

公司内网（ 10.0.0.0/8 ） => Router01 =Wireguard=> ECS01 => 172.16.0.0/12 或 100.64.0.0/10

目前可以做到 10.0.0.0/8 访问 172.16.0.0/12 ，但无法访问 100.64.0.0/10 网段的主机。

已知如下信息：

172.16.0.0/12 为 ECS 主机网段，而 100.64.0.0/10 为阿里云内部服务的网段（比如容器镜像服务，OSS 服务等等）。
我们在配置的时候对二者并没有刻意区分，但一个网段可以访问一个不行。
ECS01 这台接入的主机可以正常访问 100.64.0.0/10 网段，ping 是通的
公司内网主机 ping 100.64.0.0/10 不通，但是在 ECS01 上面 tcpdump 抓包可以看见正常的请求以及响应包

请问可能是什么原因导致的？

sujin190

2022-05-31 20:53:05 +08:00

路由表都配置了么？公司内网是你们控制的所以可以在网关统一配置路由表，但是阿里云这边不行了，除非你们在每台机器上都设置路由表，否则除了搭建 Wireguard 的机器其他都通不了，ecs 还好，rds 这种就完全不行了

另一种配置就是设置 nat ，源地址重写，Router01 出 Wireguard 网卡时重写来源地址为 Wireguard 网卡 ip ，ECS01 来自 Wireguard 的重写源地址为 ECS01 阿里云给的内网 ip ，这样就可以无需设置路由表就可以从公司访问阿里云所有网段了，从阿里云访问公司内网则倒过来设置即可

另外估计买阿里云提供的 vpn 服务估计就可以靠路由表配置来完成了

thehorizon

2022-05-31 22:05:00 +08:00

@sujin190 我们就是在 ECS01 上面配置的 NAT 。按照道理只要 ECS01 可以访问 100 的地址，那么隧道也可以访问 rds 。

我们在公司内网 ping oss 内网 ip （ 100 开头的）在 ECS01 上面抓包，看到的现象也是 NAT 成功了

可奇怪的是这个包就是回不到公司内网

luoshengdu

2022-05-31 22:54:39 +08:00

@thehorizon 你可以反过来试试， [100.64.0.0/10 为阿里云内部服务的网段（比如容器镜像服务，OSS 服务等等） ] 这些机器上面 ping 到你的公司内网

我感觉是 100.64 的远端（阿里）那边收到了 ping 包，回不来。就是远端的过来公司的路由有问题

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/856537

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.