Cet article explique comment résoudre les problèmes liés aux VPN site à site, tels que les déconnexions VPN, l'absence de trafic dans le tunnel lorsque le VPN est établi, ou l'impossibilité de rétablir la connexion VPN après une déconnexion. Il explique comment définir la durée de vie de la SA (Session Association) en phase 1 et en phase 2, configurer la vérification de connectivité pour garantir une connectivité constante dans le tunnel, comment autoriser le trafic ESP s'il n'y a pas de trafic dans le tunnel mais que celui-ci est établi, et comment vérifier s'il existe des chevauchements de sous-réseaux ou des routes de stratégie qui interfèrent avec le trafic VPN.

1) Déconnexions VPN

Si votre tunnel VPN se déconnecte fréquemment, cela peut indiquer un problème de renouvellement de clé. Pour résoudre ce problème, assurez-vous que la valeur « Durée de vie de la SA » est cohérente dans les configurations de phase 1 et de phase 2 des deux côtés du tunnel VPN. En faisant correspondre ces valeurs, vous pouvez éviter les divergences de renouvellement de clé susceptibles d'entraîner des déconnexions fréquentes.

Si le problème persiste, vous pouvez essayer d'activer une vérification de connectivité dans le menu « VPN Connection ». Configurez l'option « Check these Addresses » sur 8.8.8.8 (serveur DNS de Google) et activez la vérification de connectivité. Cette étape permet de surveiller l'état de la connexion VPN et d'identifier d'éventuels problèmes de connectivité.

2) Échec de rétablissement de la connexion VPN après une déconnexion

Dans certains cas, les connexions VPN ne se rétablissent pas automatiquement après une déconnexion. Ce problème peut être résolu en activant la fonctionnalité « Nailed-Up » dans les paramètres « Connexion VPN » du menu VPN. L'activation de cette option garantit que la connexion VPN tentera automatiquement de se reconnecter après une interruption, minimisant ainsi les interventions manuelles.

Remarque ! Veuillez n'activer la fonction « Nailed-Up » que d'un seul côté, car cela pourrait entraîner des problèmes de connexion si les deux pare-feu tentent d'établir la connexion.

3) Tunnel établi, mais aucun trafic dans le tunnel

3.1 Autoriser le trafic ESP du WAN vers le Zywall

Si votre tunnel VPN est établi mais qu'aucun trafic ne le traverse, plusieurs causes potentielles sont à envisager. Tout d'abord, vérifiez que les règles du pare-feu autorisent le trafic ESP (Encapsulating Security Payload) du WAN vers le dispositif Zywall. Sans configuration appropriée, le pare-feu peut bloquer le trafic ESP, ce qui l'empêche de déchiffrer les paquets encapsulés.

3.2 Routes de politique / Routes statiques

Si le trafic ESP est autorisé depuis le WAN vers le dispositif Zywall, vérifiez les routes de politique associées à la fois au sous-réseau local du VPN et au sous-réseau distant de l'autre côté du tunnel VPN. Cette vérification permettra d'identifier toute erreur de configuration ou règle de routage conflictuelle susceptible d'être à l'origine de l'absence de trafic dans le tunnel.

De plus, vérifiez s'il existe des routes de politique ou des routes statiques susceptibles d'interférer avec le routage du trafic vers le tunnel VPN. Ces routes peuvent détourner le trafic vers un autre endroit, l'empêchant ainsi d'entrer dans le tunnel VPN.

3.3 Chevauchement de sous-réseaux

Une autre possibilité est un chevauchement de sous-réseaux, où le trafic VPN est involontairement acheminé en interne au lieu de passer par le tunnel VPN. Assurez-vous que le trafic VPN est correctement dirigé vers le tunnel pour éviter de tels problèmes.

Vérifiez vos interfaces Ethernet, vos VLAN et les autres sous-réseaux VPN utilisés pour vous assurer qu'il n'y a pas de chevauchement de sous-réseaux dans votre pare-feu. 

La manière la plus simple de procéder est d'accéder à :

Maintenance -> Packet Flow Explore -> Routing Status

Parcourez ensuite toutes les routes de gauche à droite pour voir si certains sous-réseaux se chevauchent et interfèrent avec votre configuration VPN actuelle.