V tomto článku vysvetlíme, ako riešiť problémy s VPN typu site-to-site, ako sú odpojenia VPN, žiadny prevádzka v tuneli pri nadviazaní VPN alebo VPN sa po odpojení znovu nenadviaže. Vysvetľuje, ako nastaviť dobu platnosti SA v fáze 1 aj fáze 2, nastaviť kontrolu pripojenia na zabezpečenie neustáleho pripojenia v tuneli, ako povoliť prevádzku ESP, ak v tuneli nie je prevádzka, ale tunel je nadviazaný, a ako skontrolovať, či existujú nejaké prekrývania podsietí alebo smerovacie politiky, ktoré rušia prevádzku VPN.

1) Odpojenia VPN

Ak sa váš tunel VPN často odpojí, môže to znamenať problém s generovaním nového kľúča. Na vyriešenie tohto problému sa uistite, že hodnota „SA Life Time“ je konzistentná v konfiguráciách fázy 1 aj fázy 2 na oboch stranách tunela VPN. Zosúladením týchto hodnôt môžete zabrániť nezrovnalostiam pri generovaní nového kľúča, ktoré môžu viesť k častým odpojeniam.

Ak problém pretrváva, môžete skúsiť povoliť kontrolu pripojenia v ponuke „VPN Connection“. Nastavte možnosť „Check these Addresses“ na 8.8.8.8 (DNS server spoločnosti Google) a povolte kontrolu pripojenia. Tento krok pomáha monitorovať stav pripojenia VPN a identifikovať potenciálne problémy s pripojením.

2) Nepodarilo sa obnoviť pripojenie VPN po odpojení

V niektorých prípadoch sa VPN pripojenia po odpojení nepodarí automaticky obnoviť. Tento problém je možné vyriešiť povolením funkcie „Nailed-Up“ v nastaveniach „VPN Connection“ v ponuke VPN. Povolenie tejto možnosti zabezpečí, že sa VPN pripojenie po prerušení automaticky pokúsi o opätovné pripojenie, čím sa minimalizuje potreba manuálneho zásahu.

Poznámka! Funkciu „Nailed-Up“ aktivujte len na jednej strane, pretože ak sa obe brány firewall pokúsia iniciovať pripojenie, môže to viesť k problémom s pripojením.

3) Tunel je vytvorený, ale v tuneli nie je žiadny prevádzka

3.1 Povoliť ESP z WAN do Zywall

Ak je váš VPN tunel vytvorený, ale neprebieha ním žiadny prevádzka, je potrebné zvážiť niekoľko možných príčin. Najskôr overte, či pravidlá firewallu povoľujú prevádzku ESP (Encapsulating Security Payload) z WAN do zariadenia Zywall. Bez správnej konfigurácie môže firewall blokovať prevádzku ESP, čo má za následok, že firewall nedokáže dešifrovať zapuzdrené pakety.

3.2 Politické trasy / Statické trasy

Ak je prevádzka ESP povolená z WAN do zariadenia Zywall, skontrolujte smerovacie politiky spojené s lokálnou podsieťou VPN aj so vzdialenou podsieťou na druhej strane tunela VPN. Táto kontrola pomôže identifikovať akékoľvek nesprávne konfigurácie alebo konfliktné smerovacie pravidlá, ktoré by mohli spôsobiť absenciu prevádzky v tuneli.

Okrem toho skontrolujte, či neexistujú nejaké smerovacie trasy alebo statické trasy, ktoré by mohli rušiť smerovanie prevádzky do tunela VPN. Tieto trasy môžu presmerovať prevádzku inde, čím zabránia jej vstupu do tunela VPN.

3.3 Prekrývanie podsietí

Ďalšou možnosťou je prekrývanie podsietí, pri ktorom je prevádzka VPN neúmyselne smerovaná interne namiesto cez tunel VPN. Uistite sa, že prevádzka VPN je správne smerovaná do tunela, aby sa predišlo takýmto problémom.

Skontrolujte svoje ethernetové rozhrania, VLAN a ostatné VPN podsiete, ktoré sa používajú, aby ste sa uistili, že vo vašom firewalle nedochádza k prekrývaniu podsietí. 

Najjednoduchší spôsob, ako to urobiť, je prejsť na:

Maintenance -> Packet Flow Explore -> Routing Status

Potom prejdite všetky trasy zľava doprava a skontrolujte, či nemáte nejaké podsiete, ktoré sa prekrývajú a spôsobujú rušenie vášho aktuálneho nastavenia VPN.