Rozwiązywanie problemów z VPN Host-LAN

Spis treści:

I. Brak połączenia VPN
Logi
Dostęp do Vigora

II. Problemy z transmisją danych przez VPN
Firewall na komputerze/serwerze
Adresacja na komputerze/serwerze
Przypisz IP do MAC na Vigor
Firewall na Vigor
MTU/MSS na Vigor
Podsieć zdalna

III. Rozłączanie połączenia VPN
Restart routera
Awaria WAN
Czas nieaktywności

I. Brak połączenia VPN

Zwróć uwagę na maksymalną liczbę wspieranych tuneli.
Vigor 2120/2133 wspiera do 2 jednoczesnych tuneli VPN.
Vigor 2760/2762 wspiera do 2 jednoczesnych tuneli VPN.
Vigor 2912/2915 wspiera do 16 jednoczesnych tuneli VPN.
Vigor 2860/2862 wspiera do 32 jednoczesnych tuneli VPN.
Vigor 2925/2926 wspiera do 50 jednoczesnych tuneli VPN.
Vigor 2952/3220 wspiera do 200 jednoczesnych tuneli VPN.
Vigor 2960 wspiera do 200 jednoczesnych tuneli VPN.
Vigor 3900/3910 wspiera do 500 jednoczesnych tuneli VPN.

Przejdź do zakładki  VPN and Remote Access >> Connection Management, aby zweryfikować status tunelu.
Jeśli status jest nieprawidłowy (tunel nieaktywny) to :
– zapoznaj się z dostępnymi przykładami VPN Remote User, aby zweryfikować poprawność konfiguracji
– upewnij się, że router posiada odpowiednią liczbę adresów IP, które może przydzielić klientom VPN. Zapoznaj się z przykładem Przydzielanie adresów IP klientom VPN

 

Logi

Na routerze sprawdź logi VPN podczas nieudanych prób zestawienia połączenia VPN.
Zapoznaj się z przykładem Jak zapisać SysLog

Dostęp do Vigora

Jeśli na routerze, który pełni rolę serwera VPN nie pojawiają się logi VPN to przejdź do zakładki Dashboard lub Online Status >> Physical Connection.
Sprawdź adres IP interfejsu WAN do którego chcesz zestawić połączenie VPN.

Jeśli w statusie WAN jest adres IP z poniższej puli to znaczy, że nie posiadasz publicznego IP:
– 10.0.0.0/8 czyli 10.0.0.0~10.255.255.255
– 172.16.0.0/12 czyli 172.16.0.0~172.31.255.255
– 192.168.0.0/16 czyli 192.168.0.0~192.168.255.255
– 100.64.0.0/10 czyli 100.64.0.0~100.127.255.255

Jeśli router posiada publiczny IP to przejdź do zakładki System Maintenance >> Management, włącz odpowiadanie na ping z Internetu i z komputera wykonaj weryfikację dostępności serwera VPN z użyciem narzędzia „ping”.
Brak odpowiedzi ping może świadczyć o nieprawidłowościach w routingu lub blokowaniu ruchu.

II. Problemy z transmisją danych przez VPN

Przejdź do zakładki  VPN and Remote Access >> Connection Management, aby zweryfikować status tunelu.
Jeśli pomimo prawidłowego statusu (tunel aktywny)  masz problemy z transmisją danych to zapoznaj się z poniższymi przyczynami.

Firewall na komputerze/serwerze

Na serwerze/komputerze wyłącz testowo na chwilę zaporę systemu Windows, oprogramowanie Firewall/Anti-Virus (np. Kaspersky, Nod32).
Jeśli problem ustąpi to dodaj odpowiednie wyjątki do zapory Windows, oprogramowania Firewall/Anti-Virus i włącz ponownie te zabezpieczenia

Adresacja na komputerze/serwerze

Jeśli serwer/komputer lub inne urządzenie docelowe ma aktywną jedną kartę sieciową:
– z adresacją manualną to upewnij się, że została wprowadzona właściwa maska (np. 255.255.255.0) oraz brama domyślna kierującą do routera Vigor (np. 192.168.1.1)
– z adresacją uzyskiwaną automatycznie to upewnij się, że serwer DHCP przydziela właściwą maskę (np. 255.255.255.0) oraz bramę domyślną (np. 192.168.1.1). Zapoznaj się z przykładem Serwer DHCP

Jeśli serwer/komputer lub inne urządzenie docelowe ma aktywne dwie karty sieciowe z różnymi adresacjami to upewnij się, że brama domyślna kierująca ruch do routera Vigor (np. 192.168.1.1) ma lepszą(niższą) metrykę.

Przypisz IP do MAC na Vigor

Pomiń ten krok jeśli opcja Bind IP to MAC jest wyłączona.
Jeśli serwer/komputer lub inne urządzenie docelowe nie może pingować lokalnego adresu IP Vigora (np. 192.168.1.1) to wyłącz testowo na chwilę opcję przypisz IP do MAC w LAN>>Bind IP to MAC.
Jeśli problem ustąpi to zweryfikuj obecne ustawienia powiązań IP-MAC i włącz ponownie Bind IP to MAC.
Zapoznaj się z przykładem Przypisz IP do MAC

Firewall na Vigor

Pomiń ten krok jeśli nie zmieniałeś domyślnych ustawień Firewall.
Przejdź do Firewall>>General Setup i wyłącz testowo na chwilę filtr danych Data Filter.
Jeśli problem ustąpi to dodaj odpowiednie reguły przepuszczające ruch dla kierunku LAN/VPN->LAN/VPN i włącz ponownie Firewall.
Zapoznaj się z przykładem Filtrowanie ruchu VPN Host-LAN

MTU/MSS na Vigor

Przejdź do zakładki WAN >> Internet Access.
Wykryj MTU.
Zapoznaj się z przykładem Jak wyznaczyć wartość MTU
Jeśli uzyskasz niską wartość to zredukuj również ustawienia MSS dla VPN za pomocą polecenia „vpn mss set”.
Zapoznaj się z przykładem Wiersz poleceń CLI

Podsieć zdalna

Upewnij się, że adresacja podsieci lokalnej i zdalnej nie jest taka sama.

III. Rozłączanie połączenia VPN

Przejdź do zakładki  VPN and Remote Access >> Connection Management, aby zweryfikować status tunelu.
Jeśli czas pracy tunelu biegnie od początku to zapoznaj się z poniższymi przyczynami.

Restart routera

Przejdź do zakładki Dashboard lub Online Status >> Physical Connection.
Sprawdź czas pracy systemu.
Jeśli czas pracy systemu biegnie od początku to może to być spowodowane:
– manualnym restartem
– zaplanowanym automatycznym restartem
– restartem wymaganym po wprowadzeniu ustawień
– aktualizacją firmware
– zanikiem prądu
– samoczynny restart urządzenia spowodowany przez niespójną konfigurację lub błąd firmware

Awaria WAN

Przejdź do zakładki Dashboard lub Online Status >> Physical Connection.
Sprawdź czas pracy WANu.
Jeśli czas pracy WANu biegnie od początku to może to być spowodowane awarią WAN.

Czas nieaktywności

Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
W ustawieniach profilu VPN sprawdź idle timeout.
Wartość 0 oznacza, że Vigor ma pozostawić połączenie aktywne pomimo braku ruchu.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję