In diesem Artikel wird erläutert, wie Sie Probleme mit Site-to-Site-VPNs beheben können, z. B. VPN-Verbindungsabbrüche, fehlenden Datenverkehr im Tunnel bei bestehender VPN-Verbindung oder das Nicht-Wiederherstellen der VPN-Verbindung nach einem Verbindungsabbruch. Es wird erläutert, wie Sie die SA-Lebensdauer sowohl in Phase 1 als auch in Phase 2 einstellen, die Konnektivitätsprüfung konfigurieren, um eine konstante Verbindung im Tunnel sicherzustellen, wie Sie ESP-Datenverkehr zulassen, wenn kein Datenverkehr im Tunnel vorhanden ist, der Tunnel aber aufgebaut ist, und wie Sie überprüfen, ob es Subnetzüberlappungen oder Policy-Routen gibt, die den VPN-Datenverkehr beeinträchtigen.

1) VPN-Verbindungsabbrüche

Wenn Ihr VPN-Tunnel häufig die Verbindung verliert, kann dies auf ein Problem mit der Schlüsselneugenerierung hindeuten. Um dieses Problem zu beheben, stellen Sie sicher, dass der Wert für die „SA-Lebensdauer“ in den Konfigurationen für Phase 1 und Phase 2 auf beiden Seiten des VPN-Tunnels übereinstimmt. Durch die Angleichung dieser Werte können Sie Diskrepanzen bei der Schlüsselneugenerierung verhindern, die zu häufigen Verbindungsabbrüchen führen können.

Wenn das Problem weiterhin besteht, können Sie versuchen, im Menü „VPN-Verbindung“ eine Verbindungsprüfung zu aktivieren. Konfigurieren Sie die Option „Diese Adressen prüfen“ auf 8.8.8.8 (Googles DNS-Server) und aktivieren Sie die Verbindungsprüfung. Dieser Schritt hilft dabei, den Zustand der VPN-Verbindung zu überwachen und potenzielle Verbindungsprobleme zu identifizieren.

2) VPN-Verbindung lässt sich nach einer Unterbrechung nicht wiederherstellen

In einigen Fällen kann die VPN-Verbindung nach einer Unterbrechung nicht automatisch wiederhergestellt werden. Dieses Problem lässt sich beheben, indem Sie die Funktion „Nailed-Up“ in den „VPN-Verbindung“-Einstellungen im VPN-Menü aktivieren. Durch die Aktivierung dieser Option wird sichergestellt, dass die VPN-Verbindung nach einer Unterbrechung automatisch versucht, die Verbindung wiederherzustellen, wodurch manuelle Eingriffe auf ein Minimum reduziert werden.

Hinweis! Bitte aktivieren Sie „Nailed-Up“ nur auf einer Seite, da es zu Verbindungsproblemen führen kann, wenn beide Firewalls versuchen, die Verbindung herzustellen.

3) Tunnel aufgebaut, aber kein Datenverkehr im Tunnel

3.1 ESP vom WAN zum Zywall zulassen

Wenn Ihr VPN-Tunnel aufgebaut ist, aber kein Datenverkehr durchläuft, gibt es einige mögliche Ursachen, die Sie in Betracht ziehen sollten. Überprüfen Sie zunächst, ob die Firewall-Regeln ESP-Datenverkehr (Encapsulating Security Payload) vom WAN zum Zywall-Gerät zulassen. Ohne die richtige Konfiguration blockiert die Firewall möglicherweise den ESP-Datenverkehr, was dazu führt, dass die Firewall die gekapselten Pakete nicht entschlüsseln kann.

3.2 Policy-Routen / Statische Routen

Wenn ESP-Datenverkehr vom WAN zum Zywall-Gerät zugelassen ist, überprüfen Sie die Policy-Routen, die sowohl mit dem lokalen Subnetz des VPN als auch mit dem Remote-Subnetz auf der anderen Seite des VPN-Tunnels verbunden sind. Diese Überprüfung hilft dabei, Fehlkonfigurationen oder widersprüchliche Routing-Regeln zu identifizieren, die möglicherweise das Ausbleiben von Datenverkehr im Tunnel verursachen.

Überprüfen Sie außerdem, ob Policy-Routen oder statische Routen vorhanden sind, die das Routing des Datenverkehrs in den VPN-Tunnel beeinträchtigen könnten. Diese Routen können den Datenverkehr umleiten und so verhindern, dass er in den VPN-Tunnel gelangt.

3.3 Subnetzüberlappung

Eine weitere Möglichkeit ist eine Subnetzüberlappung, bei der der VPN-Datenverkehr unbeabsichtigt intern statt über den VPN-Tunnel geleitet wird. Stellen Sie sicher, dass der VPN-Datenverkehr korrekt zum Tunnel geleitet wird, um solche Probleme zu vermeiden.

Überprüfen Sie Ihre Ethernet-Schnittstellen, VLANs und andere verwendete VPN-Subnetze, um sicherzustellen, dass es in Ihrer Firewall keine Subnetzüberlappungen gibt. 

Der einfachste Weg, dies zu tun, ist, zu folgendem Pfad zu navigieren:

Maintenance -> Packet Flow Explore -> Routing Status

Sehen Sie sich dann alle Routen von links nach rechts an, um festzustellen, ob Sie Subnetze haben, die sich überschneiden und Störungen bei Ihrer aktuellen VPN-Konfiguration verursachen.