Tento článek vysvětluje, jak řešit problémy s VPN mezi lokalitami, jako je odpojení VPN, žádný provoz v tunelu po vytvoření VPN, VPN se po odpojení znovu nenaváže. Vysvětluje, jak nastavit dobu životnosti SA ve fázi 1 i 2, jak nastavit kontrolu konektivity, aby byla zajištěna stálá konektivita v tunelu, jak povolit provoz ESP, pokud v tunelu není žádný provoz, ale tunel je vytvořen, a jak zkontrolovat, zda nedochází k překrývání podsítí nebo tras zásad, které narušují provoz VPN.

Tabulka obsahu

1) Odpojení sítě VPN

2) Neobnovení připojení VPN po odpojení

3) Tunel byl vytvořen, ale v tunelu není žádný provoz

3.1 Povolení ESP z WAN do Zywall

3.2 Směrování podle zásad / statické směrování

3.3 Překrývání podsítí

1) Odpojení VPN

Pokud se váš tunel VPN často odpojuje, může to znamenat problém s opakovaným klíčem. Chcete-li tento problém vyřešit, zajistěte, aby hodnota "SA Life Time" (Doba životnosti SA) byla konzistentní v konfiguracích fáze 1 i fáze 2 na obou stranách tunelu VPN. Shodou těchto hodnot můžete předejít nesrovnalostem při opakovaném zadávání klíčů, které mohou vést k častému odpojování.

Pokud problém přetrvává, můžete se pokusit zapnout kontrolu připojení v nabídce "Připojení VPN". Nakonfigurujte možnost "Zkontrolovat tyto adresy" na 8.8.8.8 (server DNS společnosti Google) a povolte kontrolu připojení. Tento krok pomáhá sledovat stav připojení VPN a identifikovat případné problémy s připojením.

2) Neobnovení připojení VPN po odpojení

V některých případech se připojení VPN po odpojení automaticky neobnoví. Tento problém lze vyřešit povolením funkce "Nailed-Up" v nastavení "VPN Connection" v nabídce VPN. Povolením této možnosti zajistíte, že se připojení VPN po přerušení automaticky pokusí znovu připojit, čímž se minimalizují ruční zásahy.

Poznámka! Povolte funkci "nailed-up" pouze na jedné straně, protože by mohla vést k problémům s připojením, pokud by se oba firewally začaly pokoušet o navázání spojení.

3) Tunel je vytvořen, ale v tunelu není žádný provoz

3.1 Povolení ESP z WAN do Zywall

Pokud je tunel VPN vytvořen, ale neprochází jím žádný provoz, je třeba zvážit několik možných příčin. Nejprve ověřte, zda pravidla brány firewall povolují provoz ESP (Encapsulating Security Payload) z WAN do zařízení Zywall. Bez správné konfigurace může brána firewall blokovat provoz ESP, což vede k tomu, že brána firewall nemůže dešifrovat zapouzdřené pakety.

3.2 Směrování podle zásad / Statické směry

Pokud je povolen provoz ESP z WAN do zařízení Zywall, zkontrolujte trasy zásad přiřazené k místní podsíti VPN i vzdálené podsíti druhé strany tunelu VPN. Toto ověření pomůže identifikovat případné chybné konfigurace nebo konfliktní směrovací pravidla, která mohou způsobovat nepřítomnost provozu v tunelu.

Kromě toho zkontrolujte, zda neexistují žádné trasy zásad nebo statické trasy, které by mohly bránit směrování provozu do tunelu VPN. Tyto trasy mohou přesměrovat provoz jinam a zabránit tak jeho vstupu do tunelu VPN.

3.3 Překrývání podsítí

Další možností je překrytí podsítě, kdy je provoz VPN neúmyslně směrován dovnitř sítě místo přes tunel VPN. Zajistěte, aby byl provoz VPN správně směrován do tunelu, a předejděte takovým problémům.

Zkontrolujte svá ethernetová rozhraní, sítě VLAN a další používané podsítě VPN a ujistěte se, že nedochází k překrývání podsítí ve vaší bráně firewall.

Nejjednodušší způsob, jak to udělat, je přejít na stránku:

Poté projděte všechny trasy zleva doprava a zjistěte, zda nemáte nějaké podsítě, které se překrývají a způsobují rušení vašeho aktuálního nastavení VPN.