Denne artikel forklarer, hvordan du løser problemer med site-to-site VPN, såsom afbrydelser af VPN-forbindelsen, ingen trafik i tunnelen, når VPN er oprettet, eller at VPN ikke oprettes igen efter en afbrydelse. Den forklarer, hvordan du indstiller SA-levetiden i både fase 1 og fase 2, indstiller forbindelseskontrol for at sikre en konstant forbindelse i tunnelen, hvordan du tillader ESP-trafik, hvis der ikke er trafik i tunnelen, men tunnelen er oprettet, og hvordan du kontrollerer, om der er subnet-overlapninger eller policy-ruter, der forstyrrer VPN-trafikken.

1) VPN-afbrydelser

Hvis din VPN-tunnel ofte afbrydes, kan det tyde på et problem med genoprettelse af nøgler. For at løse dette problem skal du sikre dig, at værdien for "SA-levetid" er ens i både fase 1- og fase 2-konfigurationerne på begge sider af VPN-tunnelen. Ved at matche disse værdier kan du forhindre uoverensstemmelser i genoprettelsen af nøgler, som kan føre til hyppige afbrydelser.

Hvis problemet fortsætter, kan du forsøge at aktivere en forbindelseskontrol under menuen "VPN-forbindelse". Konfigurer indstillingen "Check these Addresses" til 8.8.8.8 (Googles DNS-server) og aktiver forbindelseskontrollen. Dette trin hjælper med at overvåge VPN-forbindelsens tilstand og identificerer potentielle forbindelsesproblemer.

2) VPN-forbindelsen kan ikke genoprettes efter afbrydelse

I nogle tilfælde genoprettes VPN-forbindelser ikke automatisk efter en afbrydelse. Dette problem kan løses ved at aktivere "Nailed-Up"-funktionen i indstillingerne for "VPN-forbindelse" i VPN-menuen. Aktivering af denne indstilling sikrer, at VPN-forbindelsen automatisk forsøger at genoprette forbindelsen efter en afbrydelse, hvilket minimerer behovet for manuel indgriben.

Bemærk! Aktivér kun "Nailed-Up" på den ene side, da det kan føre til forbindelsesproblemer, hvis begge firewalls begynder at forsøge at oprette forbindelsen.

3) Tunnel oprettet, men ingen trafik i tunnelen

3.1 Tillad ESP fra WAN til Zywall

Hvis din VPN-tunnel er oprettet, men der ikke passerer trafik igennem, er der et par mulige årsager, du skal overveje. Kontroller først, at firewall-reglerne tillader ESP-trafik (Encapsulating Security Payload) fra WAN til Zywall-enheden. Uden korrekt konfiguration kan firewallen blokere ESP-trafik, hvilket gør det umuligt for firewallen at dekryptere indkapslede pakker.

3.2 Politikruter / Statiske ruter

Hvis ESP-trafik er tilladt fra WAN til Zywall-enheden, skal du gennemgå de policy-ruter, der er knyttet til både det lokale undernet i VPN'en og det fjerne undernet på den anden side af VPN-tunnelen. Denne kontrol vil hjælpe med at identificere eventuelle fejlkonfigurationer eller modstridende routingregler, der kan være årsagen til, at der ikke er trafik i tunnelen.

Kontroller desuden for eventuelle policy-ruter eller statiske ruter, der kan forstyrre routingen af trafik ind i VPN-tunnelen. Disse ruter kan omdirigere trafikken andetsteds, hvilket forhindrer den i at komme ind i VPN-tunnelen.

3.3 Overlapning af undernet

En anden mulighed er en subnet-overlapning, hvor VPN-trafik utilsigtet dirigeres internt i stedet for gennem VPN-tunnelen. Sørg for, at VPN-trafikken dirigeres korrekt mod tunnelen for at undgå sådanne problemer.

Kontroller dine Ethernet-grænseflader, VLAN'er og andre VPN-undernet, der bruges, for at sikre, at du ikke har nogen overlapninger af undernet i din firewall. 

Den nemmeste måde at gøre dette på er at navigere til:

Maintenance -> Packet Flow Explore -> Routing Status

Gennemgå derefter alle ruter fra venstre mod højre for at se, om der er subnet, der overlapper hinanden og forstyrrer din nuværende VPN-opsætning.