In dit artikel wordt uitgelegd hoe u problemen met site-to-site VPN's kunt oplossen, zoals VPN-verbindingbreuken, geen verkeer in de tunnel wanneer de VPN is opgezet, of dat de VPN niet opnieuw wordt opgezet na een verbindingbreuk. Er wordt uitgelegd hoe u de SA-levensduur instelt voor zowel fase 1 als fase 2, hoe u de connectiviteitscontrole instelt om een constante verbinding in de tunnel te garanderen, hoe u ESP-verkeer toestaat als er geen verkeer in de tunnel is maar de tunnel wel is opgezet, en hoe u kunt controleren of er subnetoverlappingen of beleidsroutes zijn die het VPN-verkeer verstoren.

1) VPN-verbroken verbindingen

Als uw VPN-tunnel vaak wordt verbroken, kan dit duiden op een probleem met het opnieuw genereren van sleutels. Om dit probleem op te lossen, moet u ervoor zorgen dat de waarde voor de "SA-levensduur" consistent is in zowel de fase 1- als de fase 2-configuraties aan beide zijden van de VPN-tunnel. Door deze waarden op elkaar af te stemmen, kunt u discrepanties bij het opnieuw genereren van sleutels voorkomen die tot frequente verbroken verbindingen kunnen leiden.

Als het probleem zich blijft voordoen, kunt u proberen een connectiviteitscontrole in te schakelen via het menu "VPN-verbinding". Stel de optie "Check these Addresses" in op 8.8.8.8 (de DNS-server van Google) en schakel de connectiviteitscontrole in. Deze stap helpt bij het bewaken van de status van de VPN-verbinding en het identificeren van mogelijke connectiviteitsproblemen.

2) VPN-verbinding kan na verbreking niet opnieuw tot stand worden gebracht

In sommige gevallen kan de VPN-verbinding na een verbroken verbinding niet automatisch opnieuw tot stand worden gebracht. Dit probleem kan worden opgelost door de functie "Nailed-Up" in te schakelen in de instellingen voor "VPN-verbinding" in het VPN-menu. Door deze optie in te schakelen, zorgt u ervoor dat de VPN-verbinding na een onderbreking automatisch opnieuw verbinding probeert te maken, waardoor handmatige tussenkomst tot een minimum wordt beperkt.

Let op! Schakel 'Nailed-Up' alleen aan één kant in, omdat dit tot verbindingsproblemen kan leiden als beide firewalls proberen de verbinding tot stand te brengen.

3) Tunnel tot stand gebracht, maar geen verkeer in de tunnel

3.1 ESP van WAN naar Zywall toestaan

Als uw VPN-tunnel is opgezet, maar er geen verkeer doorheen gaat, zijn er een paar mogelijke oorzaken die u kunt overwegen. Controleer eerst of de firewallregels ESP-verkeer (Encapsulating Security Payload) van het WAN naar het Zywall-apparaat toestaan. Zonder de juiste configuratie kan de firewall ESP-verkeer blokkeren, waardoor de firewall ingekapselde pakketten niet kan ontsleutelen.

3.2 Beleidsroutes / Statische routes

Als ESP-verkeer van het WAN naar het Zywall-apparaat is toegestaan, controleer dan de beleidsroutes die zijn gekoppeld aan zowel het lokale subnet van de VPN als het externe subnet aan de andere kant van de VPN-tunnel. Deze controle helpt bij het opsporen van eventuele verkeerde configuraties of conflicterende routeringsregels die ervoor kunnen zorgen dat er geen verkeer door de tunnel gaat.

Controleer daarnaast of er beleidsroutes of statische routes zijn die het routeren van verkeer naar de VPN-tunnel kunnen verstoren. Deze routes kunnen het verkeer ergens anders naartoe leiden, waardoor het de VPN-tunnel niet kan binnengaan.

3.3 Subnetoverlap

Een andere mogelijkheid is een subnetoverlap, waarbij VPN-verkeer onbedoeld intern wordt gerouteerd in plaats van via de VPN-tunnel. Zorg ervoor dat het VPN-verkeer correct naar de tunnel wordt geleid om dergelijke problemen te voorkomen.

Controleer uw Ethernet-interfaces, VLAN's en andere VPN-subnetten die worden gebruikt om er zeker van te zijn dat er geen overlappingen van subnetten in uw firewall zijn. 

De eenvoudigste manier om dit te doen is door naar het volgende te gaan:

Maintenance -> Packet Flow Explore -> Routing Status

Bekijk vervolgens alle routes van links naar rechts om te zien of er subnetten zijn die elkaar overlappen en interferentie veroorzaken met uw huidige VPN-configuratie.