站点到站点 VPN 故障排除
To view this article in English, click here.
通过 Meraki 站点到站点 VPN 可轻松连接远程网络和共享网络资源。当 VPN 发生故障或网络资源不可访问时,查看“控制面板”中的多个位置可快速解决大多数问题。本文将概述常见的站点到站点 VPN 问题和推荐的故障排除步骤。
故障排除
如果 VPN 出现问题,请首先查看安全设备 > 监控 > VPN 状态页面,检查设备与 VPN 注册表和其他对等点之间的连接的运行状况。如果某个特定隧道有问题,则检查每个对等点的网络的状态页面可能有所帮助(如果其中一个,也许有对等点网络处于离线状态或从注册表断开):
以下部分概述了使用站点到站点 VPN 的常见问题和推荐的故障排除步骤:
无法 ping 通或访问其他网络上的网络资源
如果您无法从您的站点连接到其他网络上的设备,则检查以下事项:
- 是否双方设备均在线且连接到注册表?
- 如上所述,请务必为检查每端设备的“控制面板”网络的检查安全设备 > 监控 > VPN 状态页面。
- 您尝试连接的子网是否已通过 VPN 通告?
- 在远程端的“控制面板”网络上,导航至安全设备 > 配置 > 站点到站点 VPN。在本地网络下,确保对于您尝试连接的子网,使用 VPN 开关已为设置为是。您还应检查本地站点的“控制面板”网络上的这些设置,确保作为连接来源的子网也已通告作为连接来源的子网。
- 网络上是否有防火墙阻止此流量?
- 除了检查网络上可能阻止此流量的任何非 Meraki 防火墙(包括可能在您尝试访问的设备上启用的防火墙)外,还应检查安全设备 > 配置 > 站点到站点 VPN > 组织范围的设置部分,确定是否有任何站点到站点入站或出站防火墙规则。
- 连接到非 VPN 对等点是否存在任何问题?
- 尝试发送 ping 或 traceroute 到公共 IP(例如 8.8.8.8),或访问公共网站,确定问题是否完全与 VPN 相关。
- 尝试从您的本地网络 ping 其他 MX 的公共 IP。如果此操作失败,但普通互联网连接似乎良好,则可能存在上游 ISP 路由问题,并由此阻止了两个站点直接通信(即使它们都拥有互联网访问权限且已连接到 VPN 注册表)。
- 两端是否已配置指向远程子网的路由?
- 这些设备是否在非重叠子网上?
- 如果每端的设备都在一个与另一端重叠的子网上,则 MX 将无法将流量路由到另一端,因为它会认为流量以本地网络为目标。建议在每个网络上连接到 VPN 的网络上设置不重叠的唯一子网应唯一,不要重叠。
- 如果隧道的两端需要相同网络,则您可能需要启用 VPN 子网转换。请注意:此功能不允许在子网之间存在部分重叠,且当前不支持用于非 Meraki VPN 对等点。
VPN 状态页面报告存在不友好 NAT 或已从 VPN 注册表断开
如果给定网络的安全设备 > 监控 > VPN 状态页面报告存在“NAT 类型:不友好”或“VPN 注册表:已断开连接”,则可能该站点的 MX 的上游设备阻止 AutoVPN 正常运行。
- NAT 类型:不友好表示上游 NAT 不允许 MX 使用 UDP 打洞形成隧道。建议将 NAT 遍历穿透设置为手动端口转发以绕过此问题。
- VPN 注册表:已断开连接表示上游设备不允许 MX 与 VPN 注册表通信。建议将任何上游防火墙配置为允许在“控制面板”下的帮助 > 防火墙信息中列出的流量。
有关这两个错误消息和 VPN 注册表常规故障排除的一般详细信息信息,请参阅我们有关适用于 Meraki Auto-VPN 的故障排除 VPN 注册对 Meraki Auto-VPN 的 VPN 注册进行故障排除的文档。
Meraki MX/Z1 与非 Meraki 对等点之间的 VPN 出现问题
如果有非 Meraki VPN 连接问题,且上述故障排除提示未能解决问题,请参阅我们有关非 Meraki 站点对到站点 VPN 对等点故障排除的文档。