Kan geen verbinding maken met Azure SQL via VPN van het bedrijf

We hebben een Azure SQL-database. Ik werk veel vanuit huis. Wanneer ik op locatie bij de klant ben, kan ik gewoon verbinding maken met de database, maar wanneer ik er buiten ben en via hun bedrijfs-VPN verbonden ben, kan ik geen verbinding maken, hoewel ik wel zonder problemen verbinding kan maken met hun on-premises databases (ja, ik weet dat dat geen invloed heeft op het verbinden met een Azure-resource)

Ik krijg de melding ‘Kan server niet openen. Client met IP-adres ‘24.xxx.xxx.xxx’ mag geen toegang krijgen tot de server.’ Dit is duidelijk een firewall-regelprobleem.

Mijn probleem is dat ik weet dat het 24.xxx IP mijn uitgaande WAN-IP van mijn thuisnetwerk is dat SSMS probeert te gebruiken, en niet de VPN-IP (die begint met 143.xxx). Ik gebruik een verbindingsreeks zoals onzeprojectsql.database.windows.net.

Is er iets dat ik op mijn client-side kan doen om dat DNS-hostnaam via het VPN-IP te laten routeren in plaats van mijn thuis-WAN-IP? Of moet ik een verzoek indienen bij het firewallteam van het bedrijf om dat rechtstreeks te routeren? Hoe zou ik dat verzoek formuleren?

Het lijkt erop dat jullie IT/netsecurity-collega’s de Azure-route aan de VPN moeten toevoegen. We hadden hetzelfde probleem. Op kantoor konden we connecten, maar niet via VPN thuis. Het is gewoon een wijziging in de firewallconfiguratie - ze moeten ervoor zorgen dat de WFH VPN ook toegang heeft tot de Azure VPN. Je kunt hier niets aan doen vanaf jouw kant, als je Azure-configuratie zo is ingesteld dat het alleen bedrijfs-VPN-verkeer toestaat.

Een soort gerelateerde vraag… is er een manier om het verbindingsbeleid van de SQL-server aan te passen voor een specifieke VM? Bijvoorbeeld, als ik wil dat één VM in mijn Azure VNet de “proxy” connectiebeleid gebruikt voor de SQL-server. Ik weet dat het standaard op “redirect” staat als je binnen de Azure-netwerken verbindt

Private Link zou het makkelijkste zijn: https://www.reddit.com/r/AZURE/comments/em6z4q/cant_connect_to_azure_sql_through_corps_vpn/?utm_medium=android_app&utm_source=share

maar het is momenteel in publieke preview. Dit geeft de SQL een private IP-adres endpoint om over het netwerk te routeren.

Alternatief zal je VPN-beheerder de split-routes moeten aanpassen zodat de SQL-IP’s voor de regio’s via de VPN-tunnel worden gestuurd.

Het komt doordat de VPN een split VPN-instelling gebruikt. Om dit op te lossen, moet je het IP van de SQL-server via de VPN routen.

Begin met een nslookup (of het vinden van het publieke IP van de SQL Server VM) en je moet dat over de VPN-interface routeren.

https://superuser.com/questions/12022/how-can-i-make-the-windows-vpn-route-selective-traffic-by-destination-network

Welke IP-bereiken moeten ze aan de VPN-firewall toevoegen? Wij bevinden ons in de USEast-regio.

Ik zag dit artikel:

Zou het toevoegen van de volgende IP’s aan de VPN-firewall het probleem oplossen?

East US 40.121.158.30, 40.79.153.12, 191.238.6.43, 40.78.225.32

OP gebruikt geen SQL Server VM, ze gebruiken Azure SQL-databases, die geen toegankelijk publiek IP-adres hebben. Een nslookup op een Azure SQL DB geeft je een publiek IP-adres, maar je kunt niet met dat IP-adres verbinding maken met de database.

De juiste manier om er toegang toe te krijgen, is via de serversnaam, die in het *.database.windows.net-formaat staat.

Precies. Wanneer je Azure benadert, ga je waarschijnlijk niet via je VPN, maar rechtstreeks via het internet, je moet waarschijnlijk je publieke IP-adres toevoegen aan de Azure SQL ACL, wat een gedoe is en niet echt goede beveiliging.

Ik denk dat Private Link hier de oplossing is, zonder dat blijf je altijd op de publieke interface verbinden, wat, zoals je al zei, geen goede beveiliging is.