W tym artykule wyjaśniono, jak rozwiązywać problemy z siecią VPN typu site-to-site, takie jak rozłączenia VPN, brak ruchu w tunelu po ustanowieniu VPN, VPN nie jest ustanawiany ponownie po rozłączeniu. Wyjaśniono, jak ustawić czas życia SA zarówno w fazie 1, jak i fazie 2, ustawić sprawdzanie łączności, aby zapewnić stałą łączność w tunelu, jak zezwolić na ruch ESP, jeśli w tunelu nie ma ruchu, ale tunel jest ustanowiony i jak sprawdzić, czy istnieją jakieś nakładki podsieci lub trasy zasad, które zakłócają ruch VPN.

Spis treści

1) Rozłączenia VPN

2) Niepowodzenie ponownego nawiązania połączenia VPN po rozłączeniu

3) Ustanowiony tunel, ale brak ruchu w tunelu

3.1 Zezwól na ESP z WAN do Zywall

3.2 Trasy zasad / trasy statyczne

3.3 Nakładanie się podsieci

1) Rozłączenia VPN

Jeśli tunel VPN często się rozłącza, może to wskazywać na problem z ponownym kluczowaniem. Aby rozwiązać ten problem, należy upewnić się, że wartość "SA Life Time" jest spójna zarówno w konfiguracji Fazy 1, jak i Fazy 2 po obu stronach tunelu VPN. Dopasowując te wartości, można zapobiec rozbieżnościom w ponownym kluczowaniu, które mogą prowadzić do częstych rozłączeń.

Jeśli problem nadal występuje, można spróbować włączyć sprawdzanie łączności w menu "Połączenie VPN". Skonfiguruj opcję "Sprawdź te adresy" na 8.8.8.8 (serwer DNS Google) i włącz sprawdzanie łączności. Ten krok pomaga monitorować kondycję połączenia VPN i identyfikować potencjalne problemy z łącznością.

2) Brak ponownego nawiązania połączenia VPN po rozłączeniu

W niektórych przypadkach połączenia VPN nie są automatycznie przywracane po rozłączeniu. Problem ten można rozwiązać, włączając funkcję "Nailed-Up" w ustawieniach "VPN Connection" w menu VPN. Włączenie tej opcji zapewnia, że połączenie VPN automatycznie podejmie próbę ponownego połączenia po zakłóceniu, minimalizując ręczną interwencję.

Uwaga! Należy włączyć funkcję nailed-up tylko po jednej stronie, ponieważ może to prowadzić do problemów z połączeniem, jeśli obie zapory sieciowe zaczną próbować zainicjować połączenie.

3) Tunel ustanowiony, ale brak ruchu w tunelu

3.1 Zezwól na ESP z WAN do Zywall

Jeśli tunel VPN jest ustanowiony, ale nie przechodzi przez niego żaden ruch, istnieje kilka potencjalnych przyczyn, które należy wziąć pod uwagę. Po pierwsze, należy sprawdzić, czy reguły zapory zezwalają na ruch ESP (Encapsulating Security Payload) z sieci WAN do urządzenia Zywall. Bez odpowiedniej konfiguracji, firewall może blokować ruch ESP, uniemożliwiając odszyfrowanie zaszyfrowanych pakietów.

3.2 Trasy zasad / trasy statyczne

Jeśli ruch ESP jest dozwolony z sieci WAN do urządzenia Zywall, przejrzyj trasy zasad powiązane zarówno z lokalną podsiecią VPN, jak i zdalną podsiecią po drugiej stronie tunelu VPN. Ta weryfikacja pomoże zidentyfikować wszelkie błędne konfiguracje lub sprzeczne reguły routingu, które mogą powodować brak ruchu w tunelu.

Dodatkowo należy sprawdzić wszelkie trasy zasad lub trasy statyczne, które mogą zakłócać ruch routingu do tunelu VPN. Trasy te mogą przekierowywać ruch w inne miejsce, uniemożliwiając mu wejście do tunelu VPN.

3.3 Nakładanie się podsieci

Inną możliwością jest nakładanie się podsieci, w którym ruch VPN jest nieumyślnie kierowany wewnętrznie zamiast przez tunel VPN. Upewnij się, że ruch VPN jest prawidłowo skierowany do tunelu, aby uniknąć takich problemów.

Sprawdź interfejsy Ethernet, sieci VLAN i inne podsieci VPN, które są używane, aby upewnić się, że nie ma nakładania się podsieci w zaporze.

Najprostszym sposobem na to jest przejście do:

Następnie przejrzyj wszystkie trasy od lewej do prawej, aby sprawdzić, czy masz jakieś podsieci, które nakładają się i powodują zakłócenia w bieżącej konfiguracji VPN.