Denne artikkelen forklarer hvordan du feilsøker problemer med site-to-site VPN, for eksempel VPN-frakoblinger, ingen trafikk i tunnelen når VPN er opprettet, eller at VPN ikke opprettes igjen etter frakobling. Den forklarer hvordan du angir SA-levetid i både fase 1 og fase 2, angir tilkoblingskontroll for å sikre konstant tilkobling i tunnelen, hvordan du tillater ESP-trafikk hvis det ikke er trafikk i tunnelen, men tunnelen er opprettet, og hvordan du sjekker om det er noen subnett-overlappinger eller policy-ruter som forstyrrer VPN-trafikken.

1) VPN-avbrudd

Hvis VPN-tunnelen din ofte kobles fra, kan det tyde på et problem med nøkkelgenerering. For å løse dette problemet må du sørge for at verdien for «SA-levetid» er konsistent i både fase 1- og fase 2-konfigurasjonene på begge sider av VPN-tunnelen. Ved å samkjøre disse verdiene kan du forhindre avvik i nøkkelgenereringen som kan føre til hyppige frakoblinger.

Hvis problemet vedvarer, kan du prøve å aktivere en tilkoblingskontroll under «VPN Connection»-menyen. Konfigurer alternativet «Check these Addresses» til 8.8.8.8 (Googles DNS-server) og aktiver tilkoblingskontrollen. Dette trinnet hjelper med å overvåke tilstanden til VPN-tilkoblingen og identifiserer potensielle tilkoblingsproblemer.

2) VPN-tilkoblingen gjenopprettes ikke etter frakobling

I noen tilfeller klarer ikke VPN-tilkoblinger å gjenopprette seg automatisk etter en frakobling. Dette problemet kan løses ved å aktivere «Nailed-Up»-funksjonen i «VPN-tilkobling»-innstillingene i VPN-menyen. Å aktivere dette alternativet sikrer at VPN-tilkoblingen automatisk vil forsøke å koble seg til igjen etter en forstyrrelse, noe som minimerer manuell inngripen.

Merk! Aktiver kun «Nailed-Up» på én side, da det kan føre til tilkoblingsproblemer hvis begge brannmurene prøver å opprette tilkoblingen.

3) Tunnel opprettet, men ingen trafikk i tunnelen

3.1 Tillat ESP fra WAN til Zywall

Hvis VPN-tunnelen er opprettet, men det ikke går trafikk gjennom den, er det noen mulige årsaker å vurdere. Kontroller først at brannmurreglene tillater ESP-trafikk (Encapsulating Security Payload) fra WAN til Zywall-enheten. Uten riktig konfigurasjon kan brannmuren blokkere ESP-trafikk, noe som gjør det umulig for brannmuren å dekryptere innkapslede pakker.

3.2 Policy-ruter / statiske ruter

Hvis ESP-trafikk er tillatt fra WAN til Zywall-enheten, må du gjennomgå policy-rutene knyttet til både det lokale subnettet til VPN-en og det eksterne subnettet på den andre siden av VPN-tunnelen. Denne kontrollen vil bidra til å identifisere eventuelle feilkonfigurasjoner eller motstridende rutingsregler som kan være årsaken til at det ikke er trafikk i tunnelen.

Sjekk i tillegg om det finnes policy-ruter eller statiske ruter som kan forstyrre rutingen av trafikk inn i VPN-tunnelen. Disse rutene kan omdirigere trafikken til et annet sted, slik at den ikke kommer inn i VPN-tunnelen.

3.3 Overlappende undernett

En annen mulighet er en subnett-overlapping, der VPN-trafikk utilsiktet blir rutet internt i stedet for gjennom VPN-tunnelen. Sørg for at VPN-trafikken blir riktig dirigert mot tunnelen for å unngå slike problemer.

Sjekk Ethernet-grensesnittene, VLAN-ene og andre VPN-undernett som brukes for å sikre at du ikke har noen overlappinger av undernett i brannmuren. 

Den enkleste måten å gjøre dette på er å navigere til:

Maintenance -> Packet Flow Explore -> Routing Status

Gå deretter gjennom alle rutene fra venstre til høyre for å se om du har noen subnett som overlapper hverandre og forårsaker forstyrrelser i ditt nåværende VPN-oppsett.