В тази статия ще бъде обяснено как да отстранявате проблеми с VPN връзката между сайтове, като например прекъсване на VPN връзката, липса на трафик в тунела при установяване на VPN връзката, VPN връзката не се установява отново след прекъсване. В нея се обяснява как да се зададе времето на живот на SA за фаза 1 и фаза 2, как да се зададе проверка на свързаността, за да се осигури постоянна свързаност в тунела, как да се разреши ESP трафикът, ако в тунела няма трафик, но тунелът е установен, и как да се провери дали има припокриване на подмрежи или маршрути на политиката, които пречат на VPN трафика.

Таблица на съдържанието

1) Прекъсване на VPN връзката

2) Невъзможност за възстановяване на VPN връзката след прекъсване на връзката

3) Установен тунел, но няма трафик в тунела

3.1 Разрешаване на ESP от WAN към Zywall

3.2 Маршрути на политиката / Статични маршрути

3.3 Припокриване на подмрежи

1) Прекъсване на VPN връзката

Ако вашият VPN тунел често прекъсва връзката, това може да означава проблем с повторния ключ. За да се справите с този проблем, уверете се, че стойността на "SA Life Time" (Време на живот на SA) е последователна както за конфигурациите на Фаза 1, така и за Фаза 2 от двете страни на VPN тунела. Чрез съвпадение на тези стойности можете да предотвратите несъответствия в повторното въвеждане на ключове, които могат да доведат до чести прекъсвания на връзката.

Ако проблемът продължава, можете да се опитате да активирате проверка на свързаността в менюто "VPN връзка". Конфигурирайте опцията "Check these Addresses" (Провери тези адреси) на 8.8.8.8 (DNS сървъра на Google) и разрешете проверката на свързаността. Тази стъпка помага да се следи състоянието на VPN връзката и да се идентифицират потенциални проблеми със свързаността.

2) Невъзможност за възстановяване на VPN връзката след прекъсване на връзката

В някои случаи VPN връзките не успяват да се възстановят автоматично след прекъсване на връзката. Този проблем може да бъде разрешен, като се активира функцията "Nailed-Up" в настройките "VPN Connection" (VPN връзка) в менюто VPN. Активирането на тази опция гарантира, че VPN връзката автоматично ще се опита да се свърже отново след прекъсване, като по този начин се свежда до минимум ръчната намеса.

Забележка! Моля, активирайте функцията "прикован-нагоре" само от едната страна, защото тя може да доведе до проблеми с връзката, ако и двете защитни стени започнат да се опитват да инициират връзката.

3) Тунелът е установен, но няма трафик в тунела

3.1 Разрешаване на ESP от WAN към Zywall

Ако VPN тунелът ви е установен, но през него не преминава трафик, има няколко потенциални причини, които трябва да разгледате. Първо, проверете дали правилата на защитната стена позволяват ESP (Encapsulating Security Payload) трафик от WAN към устройството Zywall. Без правилна конфигурация защитната стена може да блокира ESP трафика, което води до невъзможност за защитната стена да декриптира капсулираните пакети.

3.2 Маршрути на политиката / Статични маршрути

Ако ESP трафикът е разрешен от глобалната мрежа към устройството Zywall, прегледайте маршрутите на политиката, свързани както с локалната подмрежа на VPN, така и с отдалечената подмрежа от другата страна на VPN тунела. Тази проверка ще помогне да се идентифицират всички неправилни конфигурации или противоречащи си правила за маршрутизация, които може да са причина за липсата на трафик в тунела.

Освен това проверете за маршрути на политиката или статични маршрути, които биха могли да попречат на маршрутизирането на трафика във VPN тунела. Тези маршрути могат да пренасочат трафика на друго място, като не му позволяват да влезе във VPN тунела.

3.3 Припокриване на подмрежи

Друга възможност е припокриване на подмрежи, при което VPN трафикът неволно се маршрутизира вътрешно, вместо през VPN тунела. Уверете се, че VPN трафикът е правилно насочен към тунела, за да избегнете такива проблеми.

Проверете вашите Ethernet интерфейси, VLAN и други VPN подмрежи, които се използват, за да се уверите, че няма припокриване на подмрежи във вашата защитна стена.

Най-лесният начин да направите това е да преминете към:

Maintenance -> Packet Flow Explore -> Routing Status

След това прегледайте всички маршрути отляво надясно, за да видите дали имате подмрежи, които се припокриват и причиняват смущения в текущата ви VPN настройка.