Rozwiązywanie problemów z VPN LAN-LAN

Spis treści:

I. Brak połączenia VPN
Logi
Dostęp do Vigora

II. Problemy z transmisją danych przez VPN
Firewall na komputerze/serwerze
Adresacja na komputerze/serwerze
Przypisz IP do MAC na Vigor
Firewall na Vigor
MTU/MSS na Vigor
Polityka tras na Vigor

III. Rozłączanie połączenia VPN
Restart routera
Awaria WAN
Czas nieaktywności
Ping do podtrzymania
Podsieć zdalna

I. Brak połączenia VPN

Zwróć uwagę na maksymalną liczbę wspieranych tuneli.
Vigor 2120/2133 wspiera do 2 jednoczesnych tuneli VPN.
Vigor 2760/2762 wspiera do 2 jednoczesnych tuneli VPN.
Vigor 2912/2915 wspiera do 16 jednoczesnych tuneli VPN.
Vigor 2860/2862 wspiera do 32 jednoczesnych tuneli VPN.
Vigor 2925/2926 wspiera do 50 jednoczesnych tuneli VPN.
Vigor 2952/3220 wspiera do 200 jednoczesnych tuneli VPN.
Vigor 2960 wspiera do 200 jednoczesnych tuneli VPN.
Vigor 3900/3910 wspiera do 500 jednoczesnych tuneli VPN.

Przejdź do zakładki  VPN and Remote Access >> Connection Management, aby zweryfikować status tunelu.
Jeśli status jest nieprawidłowy (tunel nieaktywny) to zapoznaj się z dostępnymi przykładami VPN Site-to-Site, aby zweryfikować poprawność konfiguracji.

Logi

Na obu routerach prawdź logi VPN podczas nieudanych prób zestawienia połączenia VPN.
Zapoznaj się z przykładem Jak zapisać SysLog

Dostęp do Vigora

Jeśli na routerze, który pełni rolę serwera VPN nie pojawiają się logi VPN to przejdź do zakładki Dashboard lub Online Status >> Physical Connection.
Sprawdź adres IP interfejsu WAN do którego chcesz zestawić połączenie VPN.

Jeśli w statusie WAN jest adres IP z poniższej puli to znaczy, że nie posiadasz publicznego IP:
– 10.0.0.0/8 czyli 10.0.0.0~10.255.255.255
– 172.16.0.0/12 czyli 172.16.0.0~172.31.255.255
– 192.168.0.0/16 czyli 192.168.0.0~192.168.255.255
– 100.64.0.0/10 czyli 100.64.0.0~100.127.255.255

Jeśli router posiada publiczny IP to przejdź do zakładki System Maintenance >> Management, włącz odpowiadanie na ping z Internetu i z komputera po stronie routera inicjującego tunel wykonaj weryfikację dostępności serwera VPN z użyciem narzędzia „ping”.
Brak odpowiedzi ping może świadczyć o nieprawidłowościach w routingu lub blokowaniu ruchu.

II. Problemy z transmisją danych przez VPN

Przejdź do zakładki  VPN and Remote Access >> Connection Management, aby zweryfikować status tunelu.
Jeśli pomimo prawidłowego statusu (tunel aktywny)  masz problemy z transmisją danych to zapoznaj się z poniższymi przyczynami.

Firewall na komputerze/serwerze

Na serwerze/komputerze wyłącz testowo na chwilę zaporę systemu Windows, oprogramowanie Firewall/Anti-Virus (np. Kaspersky, Nod32).
Jeśli problem ustąpi to dodaj odpowiednie wyjątki do zapory Windows, oprogramowania Firewall/Anti-Virus i włącz ponownie te zabezpieczenia

Adresacja na komputerze/serwerze

Jeśli serwer/komputer lub inne urządzenie docelowe ma aktywną jedną kartę sieciową:
– z adresacją manualną to upewnij się, że została wprowadzona właściwa maska (np. 255.255.255.0) oraz brama domyślna kierującą do routera Vigor (np. 192.168.1.1)
– z adresacją uzyskiwaną automatycznie to upewnij się, że serwer DHCP przydziela właściwą maskę (np. 255.255.255.0) oraz bramę domyślną (np. 192.168.1.1). Zapoznaj się z przykładem Serwer DHCP

Jeśli serwer/komputer lub inne urządzenie docelowe ma aktywne dwie karty sieciowe z różnymi adresacjami to upewnij się, że brama domyślna kierująca ruch do routera Vigor (np. 192.168.1.1) ma lepszą(niższą) metrykę.

Przypisz IP do MAC na Vigor

Pomiń ten krok jeśli opcja Bind IP to MAC jest wyłączona.
Jeśli serwer/komputer lub inne urządzenie docelowe nie może pingować lokalnego adresu IP Vigora (np. 192.168.1.1) to wyłącz testowo na chwilę opcję przypisz IP do MAC w LAN>>Bind IP to MAC.
Jeśli problem ustąpi to zweryfikuj obecne ustawienia powiązań IP-MAC i włącz ponownie Bind IP to MAC.
Zapoznaj się z przykładem Przypisz IP do MAC

Firewall na Vigor

Pomiń ten krok jeśli nie zmieniałeś domyślnych ustawień Firewall.
Przejdź do Firewall>>General Setup i wyłącz testowo na chwilę filtr danych Data Filter.
Jeśli problem ustąpi to dodaj odpowiednie reguły przepuszczające ruch dla kierunku LAN/VPN->LAN/VPN i włącz ponownie Firewall.
Zapoznaj się z przykładem Filtrowanie ruchu VPN LAN-LAN

MTU/MSS na Vigor

Przejdź do zakładki WAN >> Internet Access.
Wykryj MTU.
Zapoznaj się z przykładem Jak wyznaczyć wartość MTU
Jeśli uzyskasz niską wartość to zredukuj również ustawienia MSS dla VPN za pomocą polecenia „vpn mss set”.
Zapoznaj się z przykładem Wiersz poleceń CLI

Polityka tras na Vigor

Pomiń ten krok jeśli nie konfigurowałeś polityki tras.
Przejdź do zakładki Routing >> LoadBalance/RoutePolicy.
Sprawdź priorytet reguł.
Domyślny priorytet wynosi 200.
Użycie priorytetu poniżej 150 nadaje pierwszeństwo względem Tabeli Routingu

Zapoznaj się z przykładem Algorytm działania Load Balance / Route Policy

III. Rozłączanie połączenia VPN

Przejdź do zakładki  VPN and Remote Access >> Connection Management, aby zweryfikować status tunelu.
Jeśli czas pracy tunelu biegnie od początku to zapoznaj się z poniższymi przyczynami.

Restart routera

Przejdź do zakładki Dashboard lub Online Status >> Physical Connection.
Sprawdź czas pracy systemu.
Jeśli czas pracy systemu biegnie od początku to może to być spowodowane:
– manualnym restartem
– zaplanowanym automatycznym restartem
– restartem wymaganym po wprowadzeniu ustawień
– aktualizacją firmware
– zanikiem prądu
– samoczynny restart urządzenia spowodowany przez niespójną konfigurację lub błąd firmware

Awaria WAN

Przejdź do zakładki Dashboard lub Online Status >> Physical Connection.
Sprawdź czas pracy WANu.
Jeśli czas pracy WANu biegnie od początku to może to być spowodowane awarią WAN.

Czas nieaktywności

Przejdź do zakładki VPN and Remote Access >> LAN-to-LAN.
W ustawieniach profilu VPN sprawdź idle timeout.
Wartość 0 oznacza, że Vigor ma pozostawić połączenie aktywne pomimo braku ruchu.

Ping do podtrzymania

Przejdź do zakładki VPN and Remote Access >> LAN-to-LAN.
W ustawieniach profilu VPN sprawdź Enable Ping to keep alive.
Jeśli opcja jest włączona to upewnij się, że można pingować wprowadzony adres IP.
Jeśli adres jest nieosiągalny to może dochodzić do rozłączania tunelu.

Podsieć zdalna

Przejdź do zakładki Diagnostics >> Routing table.
Upewnij się, że podsieć zdalna znajduje się w tabeli routingu i jest powiązana z interfejsem VPN.
Jeśli adresacja podsieci zdalnej jest powiązana z interfejsem LAN to znaczy, że podsieć jest już wykorzystywana i należy zmienić adresację.