Denne artikel forklarer, hvordan man fejlsøger site-to-site VPN-problemer såsom VPN-afbrydelser, ingen trafik i tunnelen, når VPN er etableret, VPN etableres ikke igen efter afbrydelse. Den forklarer, hvordan man indstiller SA-livstiden på både fase 1 og fase 2, indstiller connectivity check for at sikre en konstant forbindelse i tunnelen, hvordan man tillader ESP-trafik, hvis der ikke er nogen trafik i tunnelen, men tunnelen er etableret, og hvordan man kontrollerer, om der er nogen subnet-overlapninger eller policy-ruter, der forstyrrer VPN-trafikken.

Indholdsfortegnelse

1) VPN-afbrydelser

2) VPN-forbindelse genetableres ikke efter afbrydelse

3) Tunnel etableret, men ingen trafik i tunnelen

3.1 Tillad ESP fra WAN til Zywall

3.2 Politiske ruter / Statiske ruter

3.3 Overlapning af undernet

1) VPN-afbrydelser

Hvis din VPN-tunnel ofte afbrydes, kan det tyde på et problem med en ny nøgle. For at løse dette problem skal du sikre, at "SA Life Time"-værdien er konsistent i både fase 1- og fase 2-konfigurationer på begge sider af VPN-tunnelen. Ved at matche disse værdier kan du forhindre uoverensstemmelser i genindtastning, der kan føre til hyppige afbrydelser.

Hvis problemet fortsætter, kan du forsøge at aktivere et forbindelsestjek under menuen "VPN-forbindelse". Konfigurer indstillingen "Check these Addresses" til 8.8.8.8 (Googles DNS-server), og aktiver forbindelsestjekket. Dette trin hjælper med at overvåge VPN-forbindelsens tilstand og identificerer potentielle forbindelsesproblemer.

2) VPN-forbindelsen genetableres ikke efter afbrydelse

I nogle tilfælde genetableres VPN-forbindelser ikke automatisk efter en afbrydelse. Dette problem kan løses ved at aktivere funktionen "Nailed-Up" i indstillingerne for "VPN-forbindelse" i VPN-menuen. Aktivering af denne indstilling sikrer, at VPN-forbindelsen automatisk vil forsøge at genoprette forbindelsen efter en afbrydelse, hvilket minimerer manuel indgriben.

Bemærk! Aktiver kun nailed-up på den ene side, fordi det kan føre til forbindelsesproblemer, hvis begge firewalls begynder at forsøge at starte forbindelsen.

3) Tunnel etableret, men ingen trafik i tunnelen

3.1 Tillad ESP fra WAN til Zywall

Hvis din VPN-tunnel er etableret, men ingen trafik passerer igennem, er der et par mulige årsager, du skal overveje. Først skal du kontrollere, at firewallreglerne tillader ESP-trafik (Encapsulating Security Payload) fra WAN til Zywall-enheden. Uden korrekt konfiguration kan firewallen blokere ESP-trafik, hvilket resulterer i, at firewallen ikke kan afkryptere indkapslede pakker.

3.2 Politiske ruter / Statiske ruter

Hvis ESP-trafik er tilladt fra WAN til Zywall-enheden, skal du gennemgå de policy-ruter, der er forbundet med både det lokale subnet i VPN'en og det eksterne subnet på den anden side af VPN-tunnelen. Denne verifikation vil hjælpe med at identificere eventuelle fejlkonfigurationer eller modstridende routingregler, der kan være årsag til fraværet af trafik i tunnelen.

Tjek også, om der er policy-ruter eller statiske ruter, der kan forstyrre routingen af trafik ind i VPN-tunnelen. Disse ruter kan omdirigere trafikken et andet sted hen og forhindre den i at komme ind i VPN-tunnelen.

3.3 Overlapning af undernet

En anden mulighed er et subnet-overlap, hvor VPN-trafikken utilsigtet dirigeres internt i stedet for gennem VPN-tunnelen. Sørg for, at VPN-trafikken er rettet korrekt mod tunnelen for at undgå sådanne problemer.

Tjek dine Ethernet-interfaces, VLAN'er og andre VPN-undernet, der bruges, for at sikre, at du ikke har nogen overlapninger af undernet i din firewall.

Den nemmeste måde at gøre dette på er at navigere til:

Kig derefter alle ruter igennem fra venstre mod højre for at se, om du har nogen subnets, der overlapper hinanden og forårsager interferens med din nuværende VPN-opsætning.