Home > Security Appliances > Site-to-site VPN > Site-to-Site VPN Troubleshooting > 站点到站点 VPN 故障排除

站点到站点 VPN 故障排除

To view this article in English, click here.

 

通过 Meraki 站点到站点 VPN 可轻松连接远程网络和共享网络资源。当 VPN 发生故障或网络资源不可访问时,查看“控制面板”中的多个位置可快速解决大多数问题。本文将概述常见的站点到站点 VPN 问题和推荐的故障排除步骤。

故障排除

如果 VPN 出现问题,请首先查看安全设备 > 监控 > VPN 状态页面,检查设备与 VPN 注册表和其他对等点之间的连接的运行状况。如果某个特定隧道有问题,则检查每个对等点的网络的状态页面可能有所帮助(如果其中一个,也许有对等点网络处于离线状态或从注册表断开):

以下部分概述了使用站点到站点 VPN 的常见问题和推荐的故障排除步骤:

无法 ping 通或访问其他网络上的网络资源

如果您无法从您的站点连接到其他网络上的设备,则检查以下事项:

  • 是否双方设备均在线且连接到注册表?
    • 如上所述,请务必为检查每端设备的“控制面板”网络的检查安全设备 > 监控 > VPN 状态页面。
  • 您尝试连接的子网是否已通过 VPN 通告?
    • 在远程端的“控制面板”网络上,导航至安全设备 > 配置 > 站点到站点 VPN。在本地网络下,确保对于您尝试连接的子网,使用 VPN 开关已为设置为您还应检查本地站点的“控制面板”网络上的这些设置,确保作为连接来源的子网也已通告作为连接来源的子网。
  • 网络上是否有防火墙阻止此流量?
    • 除了检查网络上可能阻止此流量的任何非 Meraki 防火墙(包括可能在您尝试访问的设备上启用的防火墙)外,还应检查安全设备 > 配置 > 站点到站点 VPN > 组织范围的设置部分,确定是否有任何站点到站点入站或出站防火墙规则。
  • 连接到非 VPN 对等点是否存在任何问题?
    • 尝试发送 ping 或 traceroute 到公共 IP(例如 8.8.8.8),或访问公共网站,确定问题是否完全与 VPN 相关。
    • 尝试从您的本地网络 ping 其他 MX 的公共 IP。如果此操作失败,但普通互联网连接似乎良好,则可能存在上游 ISP 路由问题,并由此阻止了两个站点直接通信(即使它们都拥有互联网访问权限且已连接到 VPN 注册表)。
  • 两端是否已配置指向远程子网的路由?
    • 如果 MX 不是网络中的唯一网关(例如 MX 已通过其本身的直接连接网络连接到第 3 层交换机或路由器),则不将该 MX 用作网关的任何设备都需要将流量路由到 MX 才能通过 VPN 发送流量。请确保网络上的任何其他路由设备都具有路由,允许其通过 MX 的本地 IP 地址访问远程 VPN 子网。
    • 有关将 MX 部署为 VPN 集中器的更多详细信息,请参阅我们的 VPN 集中器部署指南
  • 这些设备是否在非重叠子网上
    • 如果每端的设备都在一个与另一端重叠的子网上,则 MX 将无法将流量路由到另一端,因为它会认为流量以本地网络为目标。建议在每个网络上连接到 VPN 的网络上设置不重叠的唯一子网应唯一,不要重叠。
    • 如果隧道的两端需要相同网络,则您可能需要启用 VPN 子网转换。请注意:此功能不允许在子网之间存在部分重叠,且当前不支持用于非 Meraki VPN 对等点。

VPN 状态页面报告存在不友好 NAT 或已从 VPN 注册表断开

如果给定网络的安全设备 > 监控 > VPN 状态页面报告存在“NAT 类型:不友好”或“VPN 注册表:已断开连接”,则可能该站点的 MX 的上游设备阻止 AutoVPN 正常运行。

  • NAT 类型:不友好表示上游 NAT 不允许 MX 使用 UDP 打洞形成隧道。建议将 NAT 遍历穿透设置为手动端口转发以绕过此问题。
  • VPN 注册表:已断开连接表示上游设备不允许 MX 与 VPN 注册表通信。建议将任何上游防火墙配置为允许在“控制面板”下的帮助 > 防火墙信息中列出的流量。

有关这两个错误消息和 VPN 注册表常规故障排除的一般详细信息信息,请参阅我们有关适用于 Meraki Auto-VPN 的故障排除 VPN 注册对 Meraki Auto-VPN 的 VPN 注册进行故障排除的文档。

Meraki MX/Z1 与非 Meraki 对等点之间的 VPN 出现问题

如果有非 Meraki VPN 连接问题,且上述故障排除提示未能解决问题,请参阅我们有关非 Meraki 站点对到站点 VPN 对等点故障排除的文档。

Last modified

Tags

Classifications

This page has no classifications.

Explore the Product

Click to Learn More

Article ID

ID: 6044

Explore Meraki

You can find out more about Cisco Meraki on our main site, including information on products, contacting sales and finding a vendor.

Explore Meraki

Contact Support

Most questions can be answered by reviewing our documentation, but if you need more help, Cisco Meraki Support is ready to work with you.

Open a Case

Ask the Community

In the Meraki Community, you can keep track of the latest announcements, find answers provided by fellow Meraki users and ask questions of your own.

Visit the Community