Avviso importante: |
Questo articolo spiega come risolvere i problemi relativi alle VPN site-to-site, quali disconnessioni VPN, assenza di traffico nel tunnel quando la VPN è stata stabilita, mancata creazione della VPN dopo la disconnessione. Spiega come impostare il tempo di vita del SA sia per la fase 1 che per la fase 2, come impostare il controllo della connettività per garantire una connettività costante nel tunnel, come consentire il traffico ESP se non c'è traffico nel tunnel ma il tunnel è stabilito e come verificare se ci sono sovrapposizioni di subnet o percorsi di policy che interferiscono con il traffico VPN.
Tabella dei contenuti
1) Disconnessioni VPN
2) Mancato ripristino della connessione VPN dopo la disconnessione
3) Tunnel stabilito, ma nessun traffico nel tunnel
3.1 Consentire ESP da WAN a Zywall
3.2 Rotte politiche / Rotte statiche
3.3 Sovrapposizione di sottoreti
1) Disconnessioni VPN
Se il tunnel VPN si disconnette frequentemente, ciò potrebbe indicare un problema di ri-chiave. Per risolvere questo problema, assicuratevi che il valore "SA Life Time" sia coerente su entrambe le configurazioni di Fase 1 e Fase 2 su entrambi i lati del tunnel VPN. Facendo corrispondere questi valori, è possibile evitare discrepanze di ri-chiave che possono portare a frequenti disconnessioni.
Se il problema persiste, si può provare ad attivare un controllo della connettività nel menu "Connessione VPN". Configurare l'opzione "Controlla questi indirizzi" su 8.8.8.8 (server DNS di Google) e attivare il controllo della connettività. Questo passaggio consente di monitorare lo stato di salute della connessione VPN e di identificare potenziali problemi di connettività.
2) Mancato ripristino della connessione VPN dopo la disconnessione
In alcuni casi, le connessioni VPN non si ristabiliscono automaticamente dopo una disconnessione. Questo problema può essere risolto abilitando la funzione "Nailed-Up" nelle impostazioni "VPN Connection" del menu VPN. L'attivazione di questa opzione garantisce che la connessione VPN tenti automaticamente di riconnettersi dopo un'interruzione, riducendo al minimo l'intervento manuale.
Nota! Attivare la funzione nailed-up solo da un lato, perché potrebbe causare problemi di connessione se entrambi i firewall tentano di avviare la connessione.
3) Tunnel stabilito, ma nessun traffico nel tunnel
3.1 Consentire ESP da WAN a Zywall
Se il vostro tunnel VPN è stabilito, ma non passa traffico, ci sono alcune cause potenziali da considerare. Innanzitutto, verificate che le regole del firewall consentano il traffico ESP (Encapsulating Security Payload) dalla WAN al dispositivo Zywall. Senza una corretta configurazione, il firewall potrebbe bloccare il traffico ESP, con conseguente impossibilità per il firewall di decodificare i pacchetti incapsulati.
3.2 Rotte politiche / Rotte statiche
Se il traffico ESP è consentito dalla WAN al dispositivo Zywall, verificare le rotte dei criteri associate sia alla subnet locale della VPN che alla subnet remota dell'altro lato del tunnel VPN. Questa verifica aiuterà a identificare eventuali configurazioni errate o regole di routing in conflitto che potrebbero causare l'assenza di traffico nel tunnel.
Inoltre, verificare la presenza di rotte di policy o statiche che potrebbero interferire con l'instradamento del traffico nel tunnel VPN. Queste rotte potrebbero deviare il traffico altrove, impedendogli di entrare nel tunnel VPN.
3.3 Sovrapposizione di sottoreti
Un'altra possibilità è la sovrapposizione di sottoreti, in cui il traffico VPN viene involontariamente instradato internamente invece che attraverso il tunnel VPN. Per evitare tali problemi, assicurarsi che il traffico VPN sia indirizzato correttamente verso il tunnel.
Controllare le interfacce Ethernet, le VLAN e le altre sottoreti VPN utilizzate per assicurarsi che non vi siano sovrapposizioni di sottoreti nel firewall.
Il modo più semplice per farlo è navigare in:
Maintenance -> Packet Flow Explore -> Routing Status
Quindi, esaminare tutte le rotte da sinistra a destra per vedere se ci sono sottoreti che si sovrappongono e causano interferenze con l'attuale configurazione VPN.