Denne artikkelen forklarer hvordan du feilsøker problemer med sted-til-sted-VPN, for eksempel VPN-frakoblinger, ingen trafikk i tunnelen når VPN er etablert, VPN etableres ikke igjen etter frakobling. Den forklarer hvordan du angir SA-levetiden for både fase 1 og fase 2, angir tilkoblingskontroll for å sikre konstant tilkobling i tunnelen, hvordan du tillater ESP-trafikk hvis det ikke er trafikk i tunnelen, men tunnelen er etablert, og hvordan du sjekker om det er overlapping av undernett eller policyruter som forstyrrer VPN-trafikken.

Innholdsfortegnelse

1) VPN-frakoblinger

2) VPN-tilkoblingen gjenopprettes ikke etter frakobling

3) Tunnelen er etablert, men ingen trafikk i tunnelen

3.1 Tillat ESP fra WAN til Zywall

3.2 Policyruter / statiske ruter

3.3 Overlapping av undernett

1) VPN-frakoblinger

Hvis VPN-tunnelen din ofte kobles fra, kan det tyde på et problem med en ny nøkkel. For å løse dette problemet må du sørge for at "SA Life Time"-verdien er konsistent i både fase 1- og fase 2-konfigurasjoner på begge sider av VPN-tunnelen. Ved å sørge for at disse verdiene stemmer overens, kan du forhindre uoverensstemmelser som kan føre til hyppige frakoblinger.

Hvis problemet vedvarer, kan du prøve å aktivere en tilkoblingskontroll under menyen "VPN-tilkobling". Konfigurer alternativet "Sjekk disse adressene" til 8.8.8.8.8 (Googles DNS-server) og aktiver tilkoblingskontrollen. Dette trinnet hjelper deg med å overvåke VPN-tilkoblingens tilstand og identifisere potensielle tilkoblingsproblemer.

2) VPN-tilkoblingen gjenopprettes ikke etter frakobling

I noen tilfeller gjenopprettes ikke VPN-tilkoblinger automatisk etter en frakobling. Dette problemet kan løses ved å aktivere "Nailed-Up"-funksjonen i VPN-tilkoblingsinnstillingene i VPN-menyen. Hvis du aktiverer dette alternativet, vil VPN-tilkoblingen automatisk forsøke å koble til igjen etter et avbrudd, noe som minimerer manuell inngripen.

Merk! Aktiver bare "Nailed-up" på én side, da det kan føre til tilkoblingsproblemer hvis begge brannmurene prøver å starte tilkoblingen.

3) Tunnelen er etablert, men ingen trafikk i tunnelen

3.1 Tillate ESP fra WAN til Zywall

Hvis VPN-tunnelen er etablert, men ingen trafikk passerer, er det flere mulige årsaker til dette. Kontroller først at brannmurreglene tillater ESP-trafikk (Encapsulating Security Payload) fra WAN til Zywall-enheten. Uten riktig konfigurasjon kan brannmuren blokkere ESP-trafikk, noe som fører til at brannmuren ikke kan dekryptere innkapslede pakker.

3.2 Policyruter / statiske ruter

Hvis ESP-trafikk er tillatt fra WAN til Zywall-enheten, bør du gå gjennom policyrutene som er knyttet til både det lokale delnettet i VPN-et og det eksterne delnettet på den andre siden av VPN-tunnelen. Denne kontrollen vil bidra til å identifisere eventuelle feilkonfigurasjoner eller motstridende rutingsregler som kan være årsaken til at det ikke er trafikk i tunnelen.

Sjekk også om det finnes policyruter eller statiske ruter som kan forstyrre rutingen av trafikk inn i VPN-tunnelen. Disse rutene kan omdirigere trafikken et annet sted, slik at den ikke kommer inn i VPN-tunnelen.

3.3 Overlapping av undernett

En annen mulighet er overlapping av undernett, der VPN-trafikken utilsiktet rutes internt i stedet for gjennom VPN-tunnelen. Sørg for at VPN-trafikken er riktig dirigert mot tunnelen for å unngå slike problemer.

Sjekk Ethernet-grensesnittene, VLAN-ene og andre VPN-undernett som brukes, for å sikre at du ikke har overlapping av undernett i brannmuren.

Den enkleste måten å gjøre dette på er å navigere til:

Maintenance -> Packet Flow Explore -> Routing Status

Deretter går du gjennom alle ruter fra venstre til høyre for å se om du har noen undernett som overlapper hverandre og forårsaker forstyrrelser i det nåværende VPN-oppsettet.