В тази статия ще ви обясним как да отстраните проблеми с VPN от тип „сайт към сайт“, като например прекъсване на VPN връзката, липса на трафик в тунела при установена VPN връзка, както и невъзможност за възстановяване на VPN връзката след прекъсване. В нея се обяснява как да настроите времето за живот на SA както във фаза 1, така и във фаза 2, как да настроите проверка на свързаността, за да гарантирате постоянна свързаност в тунела, как да разрешите ESP трафик, ако няма трафик в тунела, но тунелът е установен, и как да проверите дали има припокривания на подмрежи или маршрути на политики, които пречат на VPN трафика.

1) Прекъсвания на VPN

Ако VPN тунелът ви често се прекъсва, това може да е признак за проблем с прегенерирането на ключ. За да разрешите този проблем, уверете се, че стойността на „SA Life Time“ е еднаква в конфигурациите на фаза 1 и фаза 2 от двете страни на VPN тунела. Чрез съгласуване на тези стойности можете да предотвратите несъответствия при прегенерирането на ключ, които могат да доведат до чести прекъсвания.

Ако проблемът продължава, можете да опитате да активирате проверка на свързаността в менюто „VPN Connection“. Конфигурирайте опцията „Check these Addresses“ на 8.8.8.8 (DNS сървърът на Google) и активирайте проверката на свързаността. Тази стъпка помага за наблюдение на състоянието на VPN връзката и идентифицира потенциални проблеми със свързаността.

2) Неуспешно възстановяване на VPN връзката след прекъсване

В някои случаи VPN връзките не се възстановяват автоматично след прекъсване. Този проблем може да бъде решен чрез активиране на функцията „Nailed-Up“ в настройките „VPN връзка“ в менюто на VPN. Активирането на тази опция гарантира, че VPN връзката автоматично ще се опита да се свърже отново след прекъсване, като се сведе до минимум ръчната намеса.

Забележка! Моля, активирайте „Nailed-Up“ само от едната страна, тъй като това може да доведе до проблеми с връзката, ако и двете защитни стени започнат да се опитват да инициират връзката.

3) Тунелът е установен, но няма трафик в тунела

3.1 Разрешете ESP от WAN към Zywall

Ако VPN тунелът ви е установен, но през него не преминава трафик, има няколко възможни причини, които трябва да вземете под внимание. Първо, проверете дали правилата на защитната стена позволяват ESP (Encapsulating Security Payload) трафик от WAN към устройството Zywall. Без подходяща конфигурация защитната стена може да блокира ESP трафика, което води до невъзможност защитната стена да декриптира капсулираните пакети.

3.2 Маршрути на политиките / Статични маршрути

Ако ESP трафикът е разрешен от WAN към устройството Zywall, прегледайте маршрутите по политика, свързани както с локалната подмрежа на VPN, така и с отдалечената подмрежа от другата страна на VPN тунела. Тази проверка ще помогне да се идентифицират евентуални грешки в конфигурацията или конфликтни правила за маршрутизация, които биха могли да причинят липсата на трафик в тунела.

Освен това проверете за маршрути по политика или статични маршрути, които биха могли да пречат на маршрутизирането на трафика към VPN тунела. Тези маршрути могат да отклонят трафика другаде, като по този начин попречат на влизането му в VPN тунела.

3.3 Припокриване на подмрежи

Друга възможност е припокриване на подмрежи, при което VPN трафикът неволно се маршрутизира вътрешно, вместо през VPN тунела. Уверете се, че VPN трафикът е правилно насочен към тунела, за да избегнете такива проблеми.

Проверете вашите Ethernet интерфейси, VLAN и други VPN подмрежи, които се използват, за да се уверите, че нямате припокриване на подмрежи във вашата защитна стена. 

Най-лесният начин да направите това е да отидете на:

Maintenance -> Packet Flow Explore -> Routing Status

След това прегледайте всички маршрути от ляво на дясно, за да видите дали имате подмрежи, които се припокриват и причиняват смущения в текущата ви VPN настройка.