Denna artikel förklarar hur du felsöker problem med site-to-site-VPN, såsom VPN-avbrott, ingen trafik i tunneln när VPN är upprättat och att VPN inte upprättas igen efter ett avbrott. Den förklarar hur du ställer in SA-livslängden för både fas 1 och fas 2, ställer in anslutningskontroll för att säkerställa en konstant anslutning i tunneln, hur du tillåter ESP-trafik om det inte finns någon trafik i tunneln men tunneln är upprättad och hur du kontrollerar om det finns några subnätöverlappningar eller policyrutter som stör VPN-trafiken.

1) VPN-avbrott

Om din VPN-tunnel ofta kopplas bort kan det tyda på ett problem med nyckelgenerering. För att lösa detta problem ska du se till att värdet för ”SA-livslängd” är konsekvent i både fas 1- och fas 2-konfigurationerna på båda sidor av VPN-tunneln. Genom att matcha dessa värden kan du förhindra avvikelser i nyckelgenereringen som kan leda till frekventa frånkopplingar.

Om problemet kvarstår kan du försöka aktivera en anslutningskontroll under menyn ”VPN-anslutning”. Konfigurera alternativet ”Kontrollera dessa adresser” till 8.8.8.8 (Googles DNS-server) och aktivera anslutningskontrollen. Detta steg hjälper till att övervaka VPN-anslutningens hälsa och identifierar potentiella anslutningsproblem.

2) VPN-anslutningen återupprättas inte efter avbrott

I vissa fall återupprättas inte VPN-anslutningen automatiskt efter en frånkoppling. Detta problem kan lösas genom att aktivera funktionen "Nailed-Up" i inställningarna för "VPN-anslutning" i VPN-menyn. Om du aktiverar detta alternativ säkerställer du att VPN-anslutningen automatiskt försöker återansluta efter ett avbrott, vilket minimerar behovet av manuella ingrepp.

Obs! Aktivera endast Nailed-Up på ena sidan, eftersom det kan leda till anslutningsproblem om båda brandväggarna börjar försöka initiera anslutningen.

3) Tunnel upprättad, men ingen trafik i tunneln

3.1 Tillåt ESP från WAN till Zywall

Om din VPN-tunnel är upprättad men ingen trafik passerar finns det några möjliga orsaker att överväga. Kontrollera först att brandväggsreglerna tillåter ESP-trafik (Encapsulating Security Payload) från WAN till Zywall-enheten. Utan korrekt konfiguration kan brandväggen blockera ESP-trafik, vilket gör det omöjligt för brandväggen att dekryptera inkapslade paket.

3.2 Policy-rutter / Statiska rutter

Om ESP-trafik tillåts från WAN till Zywall-enheten, granska de policyrutter som är associerade med både det lokala subnätet för VPN och det fjärranslutna subnätet på andra sidan av VPN-tunneln. Denna kontroll hjälper till att identifiera eventuella felkonfigurationer eller motstridiga routningsregler som kan orsaka avsaknaden av trafik i tunneln.

Kontrollera dessutom om det finns några policyrutter eller statiska rutter som kan störa routingen av trafik till VPN-tunneln. Dessa rutter kan omdirigera trafiken någon annanstans, vilket förhindrar att den kommer in i VPN-tunneln.

3.3 Överlappande subnät

En annan möjlighet är en subnätöverlappning, där VPN-trafiken oavsiktligt dirigeras internt istället för genom VPN-tunneln. Se till att VPN-trafiken dirigeras korrekt mot tunneln för att undvika sådana problem.

Kontrollera dina Ethernet-gränssnitt, VLAN och andra VPN-subnät som används för att säkerställa att du inte har några överlappningar av subnät i din brandvägg. 

Det enklaste sättet att göra detta är att navigera till:

Maintenance -> Packet Flow Explore -> Routing Status

Gå sedan igenom alla rutter från vänster till höger för att se om du har några subnät som överlappar varandra och orsakar störningar i din nuvarande VPN-konfiguration.