Ez a cikk elmagyarázza, hogyan lehet elhárítani a helyszíni VPN-problémákat, mint például a VPN-kapcsolat megszakadása, a forgalom hiánya az alagútban a VPN létrehozása után, vagy a VPN-kapcsolat újbóli létrehozásának elmaradása a kapcsolat megszakadása után. Ismerteti, hogyan állítsa be az SA élettartamát mind az 1., mind a 2. fázisban, hogyan állítsa be a kapcsolatellenőrzést az alagút állandó kapcsolatának biztosítása érdekében, hogyan engedélyezze az ESP-forgalmat, ha nincs forgalom az alagútban, de az alagút létrejött, és hogyan ellenőrizze, hogy vannak-e alhálózati átfedések vagy szabályalapú útvonalak, amelyek zavarják a VPN-forgalmat.

1) VPN-kapcsolat megszakadása

Ha a VPN-alagút gyakran szakad meg, az re-key problémára utalhat. A probléma megoldásához győződjön meg arról, hogy az „SA Life Time” érték mind a VPN-alagút mindkét oldalán, mind az 1. fázis, mind a 2. fázis konfigurációjában konzisztens. Ezen értékek összehangolásával megelőzheti a re-key eltéréseket, amelyek gyakori kapcsolatmegszakadásokhoz vezethetnek.

Ha a probléma továbbra is fennáll, megpróbálhatja engedélyezni a kapcsolatellenőrzést a „VPN Connection” menüben. Állítsa be a „Check these Addresses” opciót 8.8.8.8-ra (a Google DNS-kiszolgálója), és engedélyezze a kapcsolatellenőrzést. Ez a lépés segít figyelemmel kísérni a VPN-kapcsolat állapotát, és azonosítja a lehetséges kapcsolati problémákat.

2) A VPN-kapcsolat nem áll helyre a kapcsolat megszakadása után

Bizonyos esetekben a VPN-kapcsolatok nem állnak helyre automatikusan a kapcsolat megszakadása után. Ez a probléma megoldható a VPN menü „VPN-kapcsolat” beállításaiban a „Nailed-Up” funkció engedélyezésével. Ennek az opciónak az engedélyezése biztosítja, hogy a VPN-kapcsolat megszakadás után automatikusan megpróbáljon újra csatlakozni, minimalizálva ezzel a kézi beavatkozás szükségességét.

Megjegyzés! Kérjük, csak az egyik oldalon engedélyezze a Nailed-Up funkciót, mert kapcsolódási problémákhoz vezethet, ha mindkét tűzfal megpróbálja kezdeményezni a kapcsolatot.

3) Alagút létrehozva, de nincs forgalom az alagútban

3.1 Engedélyezze az ESP-t a WAN-tól a Zywall felé

Ha a VPN-alagút létrejött, de nincs forgalom rajta, akkor néhány lehetséges okot érdemes figyelembe venni. Először ellenőrizze, hogy a tűzfal szabályai engedélyezik-e az ESP (Encapsulating Security Payload) forgalmat a WAN-ról a Zywall eszközre. Megfelelő konfiguráció nélkül a tűzfal blokkolhatja az ESP forgalmat, ami azt eredményezi, hogy a tűzfal nem tudja visszafejteni a kapszulázott csomagokat.

3.2 Szabályalapú útvonalak / Statikus útvonalak

Ha az ESP-forgalom engedélyezett a WAN-ról a Zywall eszközre, ellenőrizze a VPN helyi alhálózatához és a VPN-alagút másik oldalán található távoli alhálózathoz tartozó szabályalapú útvonalakat. Ez az ellenőrzés segít azonosítani az esetleges hibás konfigurációkat vagy ütköző útválasztási szabályokat, amelyek az alagútban a forgalom hiányát okozhatják.

Ezenkívül ellenőrizze, hogy vannak-e olyan szabályalapú útvonalak vagy statikus útvonalak, amelyek zavarhatják a forgalom irányítását a VPN-alagútba. Ezek az útvonalak máshová terelhetik a forgalmat, megakadályozva annak belépését a VPN-alagútba.

3.3 Alhálózati átfedés

Egy másik lehetőség az alhálózatok átfedése, amelynek következtében a VPN-forgalom véletlenül belső útvonalon halad át a VPN-alagút helyett. Az ilyen problémák elkerülése érdekében győződjön meg arról, hogy a VPN-forgalom helyesen az alagút felé irányul.

Ellenőrizze az Ethernet-interfészeket, a VLAN-okat és az egyéb használt VPN-alhálózatokat, hogy megbizonyosodjon arról, nincs-e alhálózat-átfedés a tűzfalban. 

A legegyszerűbb módja ennek a következő:

Maintenance -> Packet Flow Explore -> Routing Status

Ezután nézze át az összes útvonalat balról jobbra, hogy van-e olyan alhálózat, amely átfedésben van és zavart okoz a jelenlegi VPN-beállításban.