Acest articol explică modul de depanare a problemelor VPN site-to-site, cum ar fi deconectările VPN, lipsa traficului în tunel atunci când VPN-ul este stabilit, VPN-ul nu se restabilește după deconectare. Acesta explică cum se setează durata de viață a SA atât în faza 1, cât și în faza 2, cum se setează verificarea conectivității pentru a asigura o conectivitate constantă în tunel, cum se permite traficul ESP dacă nu există trafic în tunel, dar tunelul este stabilit și cum se verifică dacă există suprapuneri de subrețele sau rute de politică care interferează cu traficul VPN.

1) Deconectări VPN

Dacă tunelul VPN se deconectează frecvent, acest lucru poate indica o problemă de regenerare a cheii. Pentru a remedia această problemă, asigurați-vă că valoarea „Durata de viață SA” este consistentă atât în configurațiile fazei 1, cât și în cele ale fazei 2, pe ambele părți ale tunelului VPN. Prin potrivirea acestor valori, puteți preveni discrepanțele de regenerare a cheii care pot duce la deconectări frecvente.

Dacă problema persistă, puteți încerca să activați o verificare a conectivității din meniul „VPN Connection”. Configurați opțiunea „Check these Addresses” la 8.8.8.8 (serverul DNS al Google) și activați verificarea conectivității. Acest pas ajută la monitorizarea stării conexiunii VPN și identifică potențialele probleme de conectivitate.

2) Eșecul restabilirii conexiunii VPN după deconectare

În unele cazuri, conexiunile VPN nu se restabilesc automat după o deconectare. Această problemă poate fi rezolvată prin activarea funcției „Nailed-Up” din setările „Conexiune VPN” din meniul VPN. Activarea acestei opțiuni asigură că conexiunea VPN va încerca automat să se reconecteze după o întrerupere, minimizând intervenția manuală.

Notă! Vă rugăm să activați funcția „Nailed-Up” doar pe o parte, deoarece ar putea duce la probleme de conexiune dacă ambele firewall-uri încep să încerce să inițieze conexiunea.

3) Tunel stabilit, dar fără trafic în tunel

3.1 Permiteți ESP de la WAN către Zywall

Dacă tunelul VPN este stabilit, dar nu trece niciun trafic, există câteva cauze potențiale de luat în considerare. Mai întâi, verificați dacă regulile firewall-ului permit traficul ESP (Encapsulating Security Payload) de la WAN către dispozitivul Zywall. Fără o configurare corespunzătoare, firewall-ul poate bloca traficul ESP, ceea ce face imposibilă decriptarea pachetelor încapsulate de către firewall.

3.2 Rute de politică / Rute statice

Dacă traficul ESP este permis de la WAN către dispozitivul Zywall, verificați rutele de politică asociate atât cu subrețeaua locală a VPN-ului, cât și cu subrețeaua la distanță de cealaltă parte a tunelului VPN. Această verificare va ajuta la identificarea oricăror configurări greșite sau reguli de rutare conflictuale care ar putea cauza absența traficului în tunel.

În plus, verificați dacă există rute de politică sau rute statice care ar putea interfera cu rutarea traficului în tunelul VPN. Aceste rute pot devia traficul în altă parte, împiedicându-l să intre în tunelul VPN.

3.3 Suprapunerea subrețelelor

O altă posibilitate este suprapunerea subrețelelor, în care traficul VPN este rutate în mod neintenționat intern, în loc să treacă prin tunelul VPN. Asigurați-vă că traficul VPN este direcționat corect către tunel pentru a evita astfel de probleme.

Verificați interfețele Ethernet, VLAN-urile și alte subrețele VPN utilizate pentru a vă asigura că nu există suprapuneri de subrețele în firewall. 

Cea mai simplă modalitate de a face acest lucru este să navigați la:

Maintenance -> Packet Flow Explore -> Routing Status

Apoi, parcurgeți toate rutele de la stânga la dreapta pentru a vedea dacă aveți subrețele care se suprapun și cauzează interferențe cu configurația actuală a VPN-ului.