Какво да направим ако трафикът не преминава през VPN тунел?
Тази статия описва стъпките, които трябва да следвате ако имате свързана и активна IPsec връзка, но трафикът не преминава успешо през VPN тунела. Възможната причина за това може да е неправилна конфигурация на IPsec връзките, правилата на защитните стени, VPN или други причини.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
Какво трябва да направите
Проверете конфигурацията на IPsec връзката
Отворете секцията VPN > IPsec Connections изберете връзката, за да проверите дали е конфигурирана правилно и по-конкретно дали Local Subnet и Remote LAN Network са с правилни конфигурации.
(кликнете върху изображението за пълен размер)
Уверете се, че създадените правила на защитната стена позволяват VPN трафик
Отворете секцията Firewall и се уверете, че има създадени две правила на защитната стена позволяващи трафик от LAN към VPN и обратно. Тези правила трябва да бъдат поставени на първо място в горната част на списъка с правила на защитната стена - Firewall Rule
(кликнете върху изображението за пълен размер)
Проверете приоритета на VPN и статичните маршрути
По подразбиране VPN маршрутите имат по-виско приоритет от статичните маршрути. Ако статичните маршрути са конфигурирани да имат по-виско приоритет, променете тези настройки и преконфигурирайте приоритетите.
Проверете приоритетите на маршрутите, като следвате стъпките по-долу:
1.Влезте в command line interface (CLI), използвайки SSH. Също така можете да получите достъп до CLI от GUI, като отидете на Admin → Console в горния десен ъгъл.
2.Изберете опция 4.Device Console
3.Изпълнете следната команда, за да видите приоритета на маршрутизиране по подразбиране:system route_precedence show
(кликнете върху изображението за пълен размер)
4.Ако статичните маршрути имат по-висок приоритет от VPN маршрутите, променете приоритета на маршрута, като изпълните следната команда:system route_precedence set policyroute vpn static
(кликнете върху изображението за пълен размер)
Уверете се, че трафикът от LAN хостове преминава през защитната стена Sophos XG
VPN трафикът, произхождащ от LAN хостовете, трябва да достигне защитната стена Sophos XG, така че да може да бъде препратен през VPN тунела. Ако това не се случва, проверете маршрута в локалната мрежа и се уверете, че няма routing loops.
Моля, проверете под Diagnostics → Packet Capture дали трафикът идва и излиза през IPsec тунела или не. Според движението на трафика, може да бъде идентифициран проблема. Вижте следният пример:
(кликнете върху изображението за пълен размер)
Ръководство на анлийски език: Sophos XG Firewall: Troubleshooting steps when traffic is not passing through the VPN tunnel