Tässä artikkelissa selitetään, miten voit selvittää sivustojen välisten VPN-ongelmia, kuten VPN-yhteyden katkeamista, liikenteen puuttumista tunnelista VPN-yhteyden ollessa muodostettuna tai VPN-yhteyden muodostumattomuutta katkeamisen jälkeen. Siinä selitetään, miten SA-elinaika asetetaan sekä vaiheessa 1 että vaiheessa 2, miten yhteyden tarkistus asetetaan varmistamaan jatkuva yhteys tunnelissa, miten ESP-liikenne sallitaan, jos tunnelissa ei ole liikennettä mutta tunneli on muodostettu, ja miten tarkistetaan, onko aliverkkopäällekkäisyyksiä tai reittisääntöjä, jotka häiritsevät VPN-liikennettä.

1) VPN-yhteyden katkeamiset

Jos VPN-tunneli katkeaa usein, se voi viitata avaimen uusimisongelmaan. Voit ratkaista tämän ongelman varmistamalla, että "SA Life Time" -arvo on sama sekä vaiheen 1 että vaiheen 2 määrityksissä VPN-tunnelin molemmilla puolilla. Sovittamalla nämä arvot yhteen voit estää avaimen uusimiseen liittyvät ristiriidat, jotka voivat johtaa toistuviin yhteyden katkeamisiin.

Jos ongelma jatkuu, voit yrittää ottaa yhteyden tarkistuksen käyttöön "VPN-yhteys" -valikosta. Määritä "Tarkista nämä osoitteet" -asetukseksi 8.8.8.8 (Googlen DNS-palvelin) ja ota yhteyden tarkistus käyttöön. Tämä vaihe auttaa seuraamaan VPN-yhteyden tilaa ja tunnistamaan mahdolliset yhteysongelmat.

2) VPN-yhteyden palauttaminen katkeamisen jälkeen epäonnistuu

Joissakin tapauksissa VPN-yhteyttä ei saada palautettua automaattisesti yhteyden katkeamisen jälkeen. Tämä ongelma voidaan ratkaista ottamalla käyttöön "Nailed-Up"-ominaisuus VPN-valikon "VPN-yhteys"-asetuksissa. Tämän vaihtoehdon ottaminen käyttöön varmistaa, että VPN-yhteys yrittää automaattisesti muodostaa yhteyden uudelleen katkeamisen jälkeen, mikä minimoi manuaalisen puuttumisen.

Huom! Ota Nailed-Up-ominaisuus käyttöön vain toisella puolella, koska se voi aiheuttaa yhteysongelmia, jos molemmat palomuurit yrittävät aloittaa yhteyden.

3) Tunneli on muodostettu, mutta tunnelissa ei ole liikennettä

3.1 Salli ESP WAN:sta Zywalliin

Jos VPN-tunneli on muodostettu, mutta liikennettä ei kulje sen läpi, on olemassa muutamia mahdollisia syitä, jotka on syytä ottaa huomioon. Varmista ensin, että palomuurisäännöt sallivat ESP-liikenteen (Encapsulating Security Payload) WAN:sta Zywall-laitteeseen. Ilman asianmukaista konfiguraatiota palomuuri saattaa estää ESP-liikenteen, minkä seurauksena palomuuri ei pysty purkamaan kapseloituja paketteja.

3.2 Politiikkareitit / Staattiset reitit

Jos ESP-liikenne on sallittu WAN:sta Zywall-laitteeseen, tarkista sekä VPN:n paikalliseen aliverkkoon että VPN-tunnelin toisella puolella olevaan etäverkkoon liittyvät reittisäännöt. Tämä tarkistus auttaa tunnistamaan mahdolliset virheelliset määritykset tai ristiriitaiset reitityssäännöt, jotka saattavat aiheuttaa liikenteen puuttumisen tunnelista.

Tarkista lisäksi, onko olemassa reitityssääntöjä tai staattisia reittejä, jotka saattavat häiritä liikenteen reititystä VPN-tunneliin. Nämä reitit saattavat ohjata liikenteen muualle, estäen sen pääsyn VPN-tunneliin.

3.3 Aliverkkojen päällekkäisyys

Toinen mahdollisuus on aliverkkojen päällekkäisyys, jossa VPN-liikenne reititetään tahattomasti sisäisesti VPN-tunnelin sijaan. Varmista, että VPN-liikenne ohjataan oikein tunneliin tällaisten ongelmien välttämiseksi.

Tarkista Ethernet-liitännät, VLAN-verkot ja muut käytetyt VPN-aliverkot varmistaaksesi, ettei palomuurissasi ole aliverkkojen päällekkäisyyksiä. 

Helpoin tapa tehdä tämä on siirtyä kohtaan:

Maintenance -> Packet Flow Explore -> Routing Status

Tarkista sitten kaikki reitit vasemmalta oikealle ja katso, onko sinulla aliverkkoja, jotka ovat päällekkäisiä ja aiheuttavat häiriöitä nykyisessä VPN-asetuksessasi.