Questo articolo spiega come risolvere i problemi relativi alle VPN site-to-site, quali disconnessioni della VPN, assenza di traffico nel tunnel quando la VPN è attiva e impossibilità di ristabilire la VPN dopo una disconnessione. Spiega come impostare la durata della SA sia nella fase 1 che nella fase 2, come impostare il controllo di connettività per garantire una connettività costante nel tunnel, come consentire il traffico ESP se non c'è traffico nel tunnel ma il tunnel è stabilito e come verificare se ci sono sovrapposizioni di sottoreti o percorsi di policy che interferiscono con il traffico VPN.

1) Disconnessioni VPN

Se il tunnel VPN si disconnette frequentemente, ciò potrebbe indicare un problema di re-key. Per risolvere questo problema, assicurarsi che il valore "Durata SA" sia coerente nelle configurazioni sia della Fase 1 che della Fase 2 su entrambi i lati del tunnel VPN. Allineando questi valori, è possibile prevenire discrepanze di re-keying che potrebbero portare a frequenti disconnessioni.

Se il problema persiste, puoi provare ad abilitare un controllo di connettività nel menu "VPN Connection". Configura l'opzione "Check these Addresses" su 8.8.8.8 (il server DNS di Google) e abilita il controllo di connettività. Questo passaggio aiuta a monitorare lo stato della connessione VPN e a identificare potenziali problemi di connettività.

2) Impossibilità di ristabilire la connessione VPN dopo la disconnessione

In alcuni casi, le connessioni VPN non si ristabiliscono automaticamente dopo una disconnessione. Questo problema può essere risolto abilitando la funzione "Nailed-Up" nelle impostazioni "Connessione VPN" all'interno del menu VPN. L'abilitazione di questa opzione garantisce che la connessione VPN tenti automaticamente di riconnettersi dopo un'interruzione, riducendo al minimo l'intervento manuale.

Nota! Abilitare la funzione "Nailed-Up" solo su un lato, poiché potrebbe causare problemi di connessione se entrambi i firewall tentassero di avviare la connessione.

3) Tunnel stabilito, ma nessun traffico nel tunnel

3.1 Consentire ESP da WAN a Zywall

Se il tunnel VPN è stato stabilito, ma non passa traffico, ci sono alcune possibili cause da considerare. Innanzitutto, verifica che le regole del firewall consentano il traffico ESP (Encapsulating Security Payload) dalla WAN al dispositivo Zywall. Senza una configurazione adeguata, il firewall potrebbe bloccare il traffico ESP, rendendo impossibile per il firewall decriptare i pacchetti incapsulati.

3.2 Percorsi di policy / Percorsi statici

Se il traffico ESP è consentito dalla WAN al dispositivo Zywall, controlla le rotte di policy associate sia alla sottorete locale della VPN sia alla sottorete remota dall'altra parte del tunnel VPN. Questa verifica ti aiuterà a identificare eventuali configurazioni errate o regole di routing in conflitto che potrebbero causare l'assenza di traffico nel tunnel.

Inoltre, verificare la presenza di eventuali percorsi di policy o percorsi statici che potrebbero interferire con l'instradamento del traffico nel tunnel VPN. Questi percorsi potrebbero deviare il traffico altrove, impedendogli di entrare nel tunnel VPN.

3.3 Sovrapposizione di sottoreti

Un'altra possibilità è la sovrapposizione di sottoreti, in cui il traffico VPN viene involontariamente instradato internamente invece che attraverso il tunnel VPN. Assicurarsi che il traffico VPN sia correttamente indirizzato verso il tunnel per evitare tali problemi.

Controlla le tue interfacce Ethernet, le VLAN e le altre sottoreti VPN utilizzate per assicurarti che non vi siano sovrapposizioni di sottoreti nel tuo firewall. 

Il modo più semplice per farlo è andare su:

Maintenance -> Packet Flow Explore -> Routing Status

Quindi esaminare tutti i percorsi da sinistra a destra per verificare se sono presenti sottoreti che si sovrappongono e causano interferenze con l'attuale configurazione VPN.