Aviso importante: |
En este artículo se explica cómo solucionar problemas de VPN de sitio a sitio, tales como desconexiones de VPN, no hay tráfico en el túnel cuando se establece VPN, VPN no se establece de nuevo después de la desconexión. Se explica cómo establecer el tiempo de vida SA tanto en la fase 1 como en la fase 2, establecer la comprobación de conectividad para garantizar una conectividad constante en el túnel, cómo permitir el tráfico ESP si no hay tráfico en el túnel pero el túnel está establecido y cómo comprobar si hay solapamientos de subred o rutas de política que interfieran con el tráfico VPN.
Tabla de contenido
1) Desconexiones VPN
2) La conexión VPN no se restablece tras una desconexión
3) Túnel establecido, pero no hay tráfico en el túnel
3.1 Permitir ESP de WAN a Zywall
3.2 Rutas de política / Rutas estáticas
1) Desconexiones VPN
Si su túnel VPN se desconecta con frecuencia, puede indicar un problema de re-clave. Para solucionar este problema, asegúrese de que el valor "SA Life Time" es coherente en las configuraciones de Fase 1 y Fase 2 a ambos lados del túnel VPN. Al igualar estos valores, puede evitar las discrepancias de re-clave que pueden provocar desconexiones frecuentes.
Si el problema persiste, puedes intentar activar una comprobación de conectividad en el menú "Conexión VPN". Configure la opción "Comprobar estas direcciones" en 8.8.8.8 (servidor DNS de Google) y active la comprobación de conectividad. Este paso ayuda a supervisar la salud de la conexión VPN e identifica posibles problemas de conectividad.
2) La conexión VPN no se restablece tras una desconexión
En algunos casos, las conexiones VPN no se restablecen automáticamente tras una desconexión. Este problema puede resolverse activando la función "Nailed-Up" en la configuración de "Conexión VPN" dentro del menú VPN. Activar esta opción garantiza que la conexión VPN intentará reconectarse automáticamente tras una interrupción, minimizando la intervención manual.
Nota. Por favor, habilite la función "Nailed-Up" sólo en un lado, ya que podría dar lugar a problemas de conexión si ambos cortafuegos empiezan a intentar iniciar la conexión.
3) Túnel establecido, pero no hay tráfico en el túnel
3.1 Permitir ESP de WAN a Zywall
Si tu túnel VPN está establecido, pero no pasa tráfico, hay algunas causas potenciales a considerar. En primer lugar, compruebe que las reglas del cortafuegos permiten el tráfico ESP (Encapsulating Security Payload) desde la WAN al dispositivo Zywall. Sin la configuración adecuada, el cortafuegos puede bloquear el tráfico ESP, lo que hace imposible que el cortafuegos desencripte los paquetes encapsulados.
3.2 Rutas de política / Rutas estáticas
Si se permite el tráfico ESP desde la WAN al dispositivo Zywall, revise las rutas de política asociadas tanto a la subred local de la VPN como a la subred remota del otro lado del túnel VPN. Esta verificación ayudará a identificar cualquier error de configuración o reglas de enrutamiento conflictivas que puedan estar causando la ausencia de tráfico en el túnel.
Además, compruebe si hay rutas de política o rutas estáticas que puedan interferir con el enrutamiento del tráfico en el túnel VPN. Estas rutas pueden desviar el tráfico a otro lugar, impidiendo que entre en el túnel VPN.
3.3 Solapamiento de subredes
Otra posibilidad es un solapamiento de subred, en el que el tráfico VPN se enruta involuntariamente de forma interna en lugar de a través del túnel VPN. Asegúrese de que el tráfico VPN se dirige correctamente hacia el túnel para evitar estos problemas.
Compruebe sus interfaces Ethernet, VLAN y otras subredes VPN utilizadas para asegurarse de que no hay solapamientos de subredes en su cortafuegos.
La forma más fácil de hacer esto es navegar a:
Maintenance -> Packet Flow Explore -> Routing Status
Luego mire a través de todas las rutas de izquierda a derecha para ver si tiene alguna subred que se esté superponiendo y causando interferencia con su configuración VPN actual.