В этой статье рассказывается о том, как устранить такие проблемы VPN-соединений между сайтами, как отключение VPN, отсутствие трафика в туннеле при создании VPN, повторное создание VPN после отключения. Здесь рассказывается о том, как установить время жизни SA для фазы 1 и фазы 2, настроить проверку соединения для обеспечения постоянного соединения в туннеле, как разрешить ESP-трафик, если в туннеле нет трафика, но туннель установлен, и как проверить, нет ли перекрытий подсетей или маршрутов политики, которые мешают VPN-трафику.

Таблица содержания

1) Разъединения VPN

2) Невозможность восстановления VPN-соединения после разъединения

3) Туннель создан, но трафик в туннеле отсутствует

3.1 Разрешить ESP из WAN в Zywall

3.2 Маршруты политики / Статические маршруты

3.3 Перекрытие подсетей

1) Отключения VPN

Если VPN-туннель часто разрывается, это может свидетельствовать о проблеме с переподключением. Чтобы решить эту проблему, убедитесь, что значение "SA Life Time" совпадает в конфигурациях фазы 1 и фазы 2 на обеих сторонах VPN-туннеля. Согласование этих значений позволяет предотвратить расхождения при переподключении, которые могут приводить к частым разъединениям.

Если проблема сохраняется, можно попробовать включить проверку подключения в меню "VPN Connection". Настройте параметр "Check these Addresses" на 8.8.8.8 (DNS-сервер Google) и включите проверку соединения. Этот шаг позволяет контролировать работоспособность VPN-соединения и выявлять возможные проблемы с подключением.

2) Невозможность восстановления VPN-соединения после разрыва связи

В некоторых случаях VPN-соединения не восстанавливаются автоматически после разрыва связи. Эту проблему можно решить, включив функцию "Nailed-Up" в настройках "VPN Connection" в меню VPN. Включение этой опции гарантирует, что VPN-соединение будет автоматически пытаться восстановиться после разрыва связи, сводя к минимуму ручное вмешательство.

Примечание! Пожалуйста, включайте функцию Nailed-Up только с одной стороны, поскольку это может привести к проблемам с подключением, если оба брандмауэра начнут пытаться инициировать соединение.

3) Туннель установлен, но трафик в туннеле отсутствует

3.1 Разрешить ESP из WAN в Zywall

Если VPN-туннель создан, но трафик по нему не проходит, необходимо рассмотреть несколько возможных причин. Во-первых, убедитесь, что правила брандмауэра разрешают передачу трафика ESP (Encapsulating Security Payload) из глобальной сети на устройство Zywall. Без соответствующей настройки брандмауэр может блокировать ESP-трафик, в результате чего брандмауэр не сможет расшифровать инкапсулированные пакеты.

3.2 Маршруты политики / Статические маршруты

Если трафик ESP разрешен из глобальной сети на устройство Zywall, просмотрите маршруты политики, связанные как с локальной подсетью VPN, так и с удаленной подсетью другой стороны VPN-туннеля. Эта проверка поможет выявить любые неправильные конфигурации или конфликтующие правила маршрутизации, которые могут быть причиной отсутствия трафика в туннеле.

Кроме того, проверьте наличие маршрутов политики или статических маршрутов, которые могут препятствовать маршрутизации трафика в VPN-туннель. Эти маршруты могут перенаправлять трафик в другое место, не позволяя ему попасть в VPN-туннель.

3.3 Перекрытие подсетей

Другой возможностью является перекрытие подсетей, когда VPN-трафик непреднамеренно направляется внутрь сети, а не через VPN-туннель. Чтобы избежать подобных проблем, убедитесь, что VPN-трафик правильно направлен в туннель.

Проверьте Ethernet-интерфейсы, VLAN и другие используемые VPN-подсети, чтобы убедиться в отсутствии перекрытия подсетей в межсетевом экране.

Самый простой способ сделать это - перейти по адресу:

Maintenance -> Packet Flow Explore -> Routing Status

Затем просмотрите все маршруты слева направо, чтобы увидеть, есть ли у вас подсети, которые перекрывают друг друга и создают помехи для текущей настройки VPN.