В этой статье объясняется, как устранять неполадки VPN «сайт-сайт», такие как отключения VPN, отсутствие трафика в туннеле при установленном VPN, невозможность повторного установления VPN после отключения. В ней объясняется, как настроить время жизни SA как на фазе 1, так и на фазе 2, настроить проверку подключения для обеспечения постоянного подключения в туннеле, как разрешить трафик ESP, если в туннеле нет трафика, но туннель установлен, и как проверить, нет ли пересечений подсетей или маршрутов политики, которые мешают трафику VPN.

1) Отключения VPN

Если ваш VPN-туннель часто отключается, это может указывать на проблему с перегенерацией ключей. Чтобы решить эту проблему, убедитесь, что значение «SA Life Time» одинаково в конфигурациях как фазы 1, так и фазы 2 на обеих сторонах VPN-туннеля. Согласовав эти значения, вы сможете предотвратить несоответствия при перегенерации ключей, которые могут привести к частым отключениям.

Если проблема не устраняется, можно попробовать включить проверку подключения в меню «VPN Connection». Установите для параметра «Check these Addresses» значение 8.8.8.8 (DNS-сервер Google) и включите проверку подключения. Этот шаг помогает отслеживать работоспособность VPN-соединения и выявлять потенциальные проблемы с подключением.

2) Невозможность восстановления VPN-соединения после разрыва

В некоторых случаях VPN-соединения не восстанавливаются автоматически после разрыва. Эту проблему можно решить, включив функцию «Nailed-Up» в настройках «VPN-соединение» в меню VPN. Включение этой опции гарантирует, что VPN-соединение будет автоматически пытаться восстановиться после сбоя, сводя к минимуму необходимость ручного вмешательства.

Внимание! Пожалуйста, включайте функцию Nailed-Up только на одной стороне, так как это может привести к проблемам с подключением, если оба брандмауэра начнут пытаться инициировать соединение.

3) Туннель установлен, но в туннеле нет трафика

3.1 Разрешить ESP из WAN в Zywall

Если ваш VPN-туннель установлен, но трафик через него не проходит, следует рассмотреть несколько возможных причин. Во-первых, убедитесь, что правила брандмауэра разрешают трафик ESP (Encapsulating Security Payload) из WAN на устройство Zywall. Без надлежащей настройки брандмауэр может блокировать трафик ESP, в результате чего брандмауэр не сможет расшифровать инкапсулированные пакеты.

3.2 Маршруты политики / Статические маршруты

Если трафик ESP разрешен из WAN на устройство Zywall, проверьте маршруты политики, связанные как с локальной подсетью VPN, так и с удаленной подсетью на другой стороне VPN-туннеля. Эта проверка поможет выявить любые ошибки в настройках или конфликтующие правила маршрутизации, которые могут быть причиной отсутствия трафика в туннеле.

Кроме того, проверьте наличие маршрутов по правилам или статических маршрутов, которые могут препятствовать маршрутизации трафика в туннель VPN. Эти маршруты могут перенаправлять трафик в другое место, не позволяя ему войти в туннель VPN.

3.3 Пересечение подсетей

Еще одной возможностью является перекрытие подсетей, при котором трафик VPN непреднамеренно маршрутизируется внутри сети, а не через туннель VPN. Убедитесь, что трафик VPN правильно направляется в туннель, чтобы избежать таких проблем.

Проверьте свои интерфейсы Ethernet, VLAN и другие VPN-подсети, которые используются, чтобы убедиться, что в вашем брандмауэре нет пересечений подсетей. 

Самый простой способ сделать это — перейти в:

Maintenance -> Packet Flow Explore -> Routing Status

Затем просмотрите все маршруты слева направо, чтобы проверить, нет ли подсетей, которые перекрываются и создают помехи для вашей текущей настройки VPN.