Este artículo explica cómo solucionar problemas de VPN de sitio a sitio, tales como desconexiones de la VPN, ausencia de tráfico en el túnel cuando la VPN está establecida o la imposibilidad de volver a establecer la VPN tras una desconexión. Explica cómo configurar la duración de la SA tanto en la fase 1 como en la fase 2, cómo configurar la comprobación de conectividad para garantizar una conectividad constante en el túnel, cómo permitir el tráfico ESP si no hay tráfico en el túnel pero este está establecido, y cómo comprobar si hay solapamientos de subredes o rutas de políticas que interfieran con el tráfico de la VPN.

1) Desconexiones de la VPN

Si su túnel VPN se desconecta con frecuencia, puede indicar un problema de regeneración de claves. Para solucionar este problema, asegúrese de que el valor de «Duración de la SA» sea coherente en las configuraciones de la fase 1 y la fase 2 en ambos lados del túnel VPN. Al hacer coincidir estos valores, puede evitar discrepancias en la regeneración de claves que puedan provocar desconexiones frecuentes.

Si el problema persiste, puede intentar habilitar una comprobación de conectividad en el menú «VPN Connection». Configure la opción «Check these Addresses» en 8.8.8.8 (el servidor DNS de Google) y habilite la comprobación de conectividad. Este paso ayuda a supervisar el estado de la conexión VPN e identifica posibles problemas de conectividad.

2) La conexión VPN no se restablece tras una desconexión

En algunos casos, las conexiones VPN no se restablecen automáticamente tras una desconexión. Este problema se puede resolver activando la función «Nailed-Up» en la configuración de «Conexión VPN» dentro del menú VPN. Al activar esta opción, se garantiza que la conexión VPN intentará volver a conectarse automáticamente tras una interrupción, minimizando la intervención manual.

¡Atención! Active la función «Nailed-Up» solo en un lado, ya que podría provocar problemas de conexión si ambos cortafuegos intentan iniciar la conexión.

3) Túnel establecido, pero sin tráfico en el túnel

3.1 Permitir ESP desde la WAN a Zywall

Si su túnel VPN está establecido, pero no pasa tráfico, hay varias causas posibles que debe tener en cuenta. En primer lugar, compruebe que las reglas del cortafuegos permiten el tráfico ESP (Encapsulating Security Payload) desde la WAN al dispositivo Zywall. Sin la configuración adecuada, el cortafuegos puede bloquear el tráfico ESP, lo que imposibilita que el cortafuegos descifre los paquetes encapsulados.

3.2 Rutas de política / Rutas estáticas

Si se permite el tráfico ESP desde la WAN al dispositivo Zywall, revise las rutas de política asociadas tanto a la subred local de la VPN como a la subred remota del otro lado del túnel VPN. Esta verificación ayudará a identificar cualquier configuración errónea o reglas de enrutamiento conflictivas que puedan estar causando la ausencia de tráfico en el túnel.

Además, compruebe si hay rutas de política o rutas estáticas que puedan interferir en el enrutamiento del tráfico hacia el túnel VPN. Estas rutas pueden desviar el tráfico a otro lugar, impidiendo que entre en el túnel VPN.

3.3 Superposición de subredes

Otra posibilidad es una superposición de subredes, en la que el tráfico de la VPN se enruta involuntariamente de forma interna en lugar de a través del túnel de la VPN. Asegúrese de que el tráfico de la VPN se dirige correctamente hacia el túnel para evitar este tipo de problemas.

Compruebe sus interfaces Ethernet, VLAN y otras subredes VPN que se utilicen para asegurarse de que no haya solapamientos de subredes en su firewall. 

La forma más sencilla de hacerlo es ir a:

Maintenance -> Packet Flow Explore -> Routing Status

A continuación, revisa todas las rutas de izquierda a derecha para ver si hay alguna subred que se solape y esté causando interferencias con tu configuración actual de VPN.