W tym artykule wyjaśniono, jak rozwiązywać problemy z VPN typu site-to-site, takie jak rozłączenia VPN, brak ruchu w tunelu po nawiązaniu połączenia VPN oraz brak ponownego nawiązania połączenia VPN po rozłączeniu. Wyjaśnia, jak ustawić czas życia SA zarówno w fazie 1, jak i fazie 2, skonfigurować sprawdzanie łączności w celu zapewnienia stałej łączności w tunelu, jak zezwolić na ruch ESP, jeśli w tunelu nie ma ruchu, ale tunel jest nawiązany, oraz jak sprawdzić, czy występują nakładania się podsieci lub trasy polityki, które zakłócają ruch VPN.

1) Rozłączenia VPN

Jeśli tunel VPN często się rozłącza, może to wskazywać na problem z ponownym generowaniem klucza. Aby rozwiązać ten problem, upewnij się, że wartość „Czas życia SA” jest spójna w konfiguracjach zarówno fazy 1, jak i fazy 2 po obu stronach tunelu VPN. Dopasowując te wartości, można zapobiec rozbieżnościom w ponownym generowaniu klucza, które mogą prowadzić do częstych rozłączeń.

Jeśli problem nadal występuje, możesz spróbować włączyć sprawdzanie łączności w menu „VPN Connection”. Skonfiguruj opcję „Check these Addresses” na 8.8.8.8 (serwer DNS Google) i włącz sprawdzanie łączności. Ten krok pomaga monitorować stan połączenia VPN i identyfikować potencjalne problemy z łącznością.

2) Brak ponownego nawiązania połączenia VPN po rozłączeniu

W niektórych przypadkach połączenia VPN nie udaje się ponownie nawiązać automatycznie po rozłączeniu. Problem ten można rozwiązać, włączając funkcję „Nailed-Up” w ustawieniach „Połączenie VPN” w menu VPN. Włączenie tej opcji gwarantuje, że połączenie VPN automatycznie spróbuje się ponownie nawiązać po zakłóceniu, minimalizując konieczność ręcznej interwencji.

Uwaga! Proszę włączyć funkcję „Nailed-Up” tylko po jednej stronie, ponieważ może to prowadzić do problemów z połączeniem, jeśli obie zapory sieciowe zaczną próbować zainicjować połączenie.

3) Tunel nawiązany, ale brak ruchu w tunelu

3.1 Zezwól na ruch ESP z sieci WAN do urządzenia Zywall

Jeśli tunel VPN został nawiązany, ale nie przepływa przez niego ruch, należy rozważyć kilka potencjalnych przyczyn. Najpierw sprawdź, czy reguły zapory sieciowej zezwalają na ruch ESP (Encapsulating Security Payload) z sieci WAN do urządzenia Zywall. Bez odpowiedniej konfiguracji zapora sieciowa może blokować ruch ESP, co uniemożliwi jej odszyfrowanie pakietów enkapsulowanych.

3.2 Trasy policyjne / trasy statyczne

Jeśli ruch ESP jest dozwolony z sieci WAN do urządzenia Zywall, sprawdź trasy oparte na zasadach powiązane zarówno z lokalną podsiecią VPN, jak i zdalną podsiecią po drugiej stronie tunelu VPN. Ta weryfikacja pomoże zidentyfikować wszelkie nieprawidłowe konfiguracje lub sprzeczne reguły routingu, które mogą powodować brak ruchu w tunelu.

Dodatkowo sprawdź, czy nie ma żadnych tras policyjnych lub statycznych, które mogłyby zakłócać routing ruchu do tunelu VPN. Trasy te mogą przekierowywać ruch gdzie indziej, uniemożliwiając mu wejście do tunelu VPN.

3.3 Nakładanie się podsieci

Inną możliwością jest nakładanie się podsieci, w wyniku czego ruch VPN jest nieumyślnie kierowany wewnętrznie zamiast przez tunel VPN. Aby uniknąć takich problemów, upewnij się, że ruch VPN jest prawidłowo kierowany do tunelu.

Sprawdź interfejsy Ethernet, sieci VLAN i inne podsieci VPN, z których korzystasz, aby upewnić się, że w zaporze nie ma żadnych nakładających się podsieci. 

Najłatwiejszym sposobem jest przejście do:

Maintenance -> Packet Flow Explore -> Routing Status

Następnie przejrzyj wszystkie trasy od lewej do prawej, aby sprawdzić, czy nie ma żadnych podsieci, które się nakładają i powodują zakłócenia w obecnej konfiguracji VPN.