Tento článek vysvětluje, jak řešit problémy s VPN typu site-to-site, jako jsou odpojení VPN, absence provozu v tunelu při navázání VPN nebo neschopnost VPN znovu se připojit po odpojení. Vysvětluje, jak nastavit dobu platnosti SA ve fázi 1 i ve fázi 2, nastavit kontrolu připojení k zajištění stálého připojení v tunelu, jak povolit provoz ESP, pokud v tunelu není žádný provoz, ale tunel je navázán, a jak zkontrolovat, zda nedochází k překrývání podsítí nebo zda neexistují trasy zásad, které narušují provoz VPN.

1) Odpojení VPN

Pokud se váš tunel VPN často odpojuje, může to znamenat problém s generováním nového klíče. Chcete-li tento problém vyřešit, ujistěte se, že hodnota „SA Life Time“ je konzistentní v konfiguracích fáze 1 i fáze 2 na obou stranách tunelu VPN. Sladěním těchto hodnot můžete zabránit nesrovnalostem při generování nového klíče, které mohou vést k častým odpojením.

Pokud problém přetrvává, můžete zkusit povolit kontrolu připojení v nabídce „VPN Connection“. Nastavte možnost „Check these Addresses“ na 8.8.8.8 (DNS server Google) a povolte kontrolu připojení. Tento krok pomáhá sledovat stav připojení VPN a identifikuje potenciální problémy s připojením.

2) Selhání obnovení připojení VPN po odpojení

V některých případech se VPN připojení po odpojení nepodaří automaticky obnovit. Tento problém lze vyřešit povolením funkce „Nailed-Up“ v nastavení „VPN Connection“ v nabídce VPN. Povolení této možnosti zajistí, že se VPN připojení po přerušení automaticky pokusí o opětovné připojení, čímž se minimalizuje ruční zásah.

Poznámka! Funkci „Nailed-Up“ povolte pouze na jedné straně, protože by mohlo dojít k problémům s připojením, pokud by se oba firewally pokusily navázat připojení.

3) Tunel je navázán, ale v tunelu není žádný provoz

3.1 Povolit ESP z WAN do Zywall

Pokud je váš VPN tunel navázán, ale neprochází jím žádný provoz, je třeba zvážit několik možných příčin. Nejprve ověřte, zda pravidla firewallu povolují provoz ESP (Encapsulating Security Payload) z WAN do zařízení Zywall. Bez správné konfigurace může firewall blokovat provoz ESP, což má za následek, že firewall nemůže dešifrovat zapouzdřené pakety.

3.2 Směrování podle zásad / Statické trasy

Pokud je provoz ESP z WAN do zařízení Zywall povolen, zkontrolujte trasy založené na zásadách spojené jak s místní podsíťí VPN, tak se vzdálenou podsíťí na druhé straně tunelu VPN. Tato kontrola pomůže identifikovat případné nesprávné konfigurace nebo konfliktní pravidla směrování, která by mohla způsobovat absenci provozu v tunelu.

Dále zkontrolujte, zda neexistují nějaké trasy založené na pravidlech nebo statické trasy, které by mohly narušovat směrování provozu do tunelu VPN. Tyto trasy mohou odklonit provoz jinam a zabránit mu tak ve vstupu do tunelu VPN.

3.3 Překrývání podsítí

Další možností je překrývání podsítí, kdy je provoz VPN neúmyslně směrován interně namísto přes tunel VPN. Abyste se těmto problémům vyhnuli, ujistěte se, že je provoz VPN správně směrován do tunelu.

Zkontrolujte své ethernetové rozhraní, VLAN a další používané VPN podsítě, abyste se ujistili, že ve vašem firewallu nedochází k žádnému překrývání podsítí. 

Nejjednodušší způsob, jak to provést, je přejít na:

Maintenance -> Packet Flow Explore -> Routing Status

Poté projděte všechny trasy zleva doprava a zkontrolujte, zda nemáte nějaké podsítě, které se překrývají a způsobují rušení vašeho aktuálního nastavení VPN.