Có khá nhiều nguyên nhân khác nhau dẫn đến việc traffic không đi qua VPN tunnel sau khi cấu hình, có thể bao gồm các vấn đề như cấu hình sai kết nối IPsec, Firewall rule, VPN và ưu tiên về static routes.

Bài viết sẽ hướng dẫn các bước để khắc phục sự cố khi kết nối IPsec đã là Active và Connected nhưng lưu lượng truy cập không đi qua đường hầm VPN.

Hướng dẫn.

1. Check lại cấu hình IPSec.

Đi tới VPN > IPsec connections. Chọn kết nối VPN bạn muốn để xác minh cấu hình của nó. Cụ thể, hãy xác minh xem Local Subnet và Remote LAN Network có được cấu hình chính xác hay không.

2.Check firewall rule Allows traffic VPN.

Đi tới Firewall rule và đảm bảo rằng đã tạo hai quy tắc tường lửa cho phép lưu lượng truy cập từ LAN sang VPN và ngược lại. Các quy tắc tường lửa này phải nằm trên đầu danh sách Firewall rule.

3.Chek độ ưu tiên của VPN và Static routes.

Theo mặc định, các VPN routes có mức độ ưu tiên cao hơn các Static routes. Nếu các Static routes đã được định cấu hình để có mức độ ưu tiên cao hơn, hãy cấu hình lại các mức độ ưu tiên.

Xác minh mức độ ưu tiên của các routes, bạn thực hiện theo các bước bên dưới:

Mở giao diện dòng lệnh (CLI) bằng SSH. Bạn cũng có thể truy cập CLI từ GUI dành cho quản trị viên bằng cách đi tới  Admin > Console ở góc trên bên phải.

Chọn tùy chọn 4. Device Console.

Chạy lệnh sau để xem mức độ ưu tiên định tuyến mặc định: system route_precedence show

Nếu các Static routes có mức độ ưu tiên cao hơn các tuyến VPN, hãy thay đổi mức độ ưu tiên của tuyến bằng cách thực hiện lệnh sau: system route_precedence set vpn static sdwan

Xác minh mức độ ưu tiên định tuyến mới bằng cách chạy lệnh: system route_precedence show

4.Check traffic từ LAN đi qua Sophos Firewall

Lưu lượng VPN bắt nguồn từ các máy mạng LAN phải đến được tường lửa Sophos để nó có thể được chuyển tiếp qua đường hầm VPN. Hãy kiểm tra định tuyến trong mạng cục bộ và đảm bảo rằng không có vòng lặp định tuyến nào.

Đi đến Diagnostics > Packet Capture xem lưu lượng truy cập có đi vào và đi ra qua đường hầm IPsec hay không.

5. Check IPSec tunnel giữa 2 Sophos Firewall

• XG1 (version16) & XG2 (version 17) với thuật toán mã hóa IPsec SHA2 và IKEv1

Lưu ý: XG (version 16) chỉ hoạt động trên IKEv1, hãy đảm bảo sử dụng IKEv1 IPsec Profile trên XG2 (version 17).

Trên XG (version 16) sử dụng SHA2 with 96-bit truncation theo mặc định vì nó sử dụng Openswan. Trong khi trên XG (version 17) sử dụng SHA2 with 128-bit truncation theo mặc định vì nó sử dụng Strongswan. Trong các điều kiện trên, đường hầm sẽ được thiết lập nhưng lưu lượng sẽ không đi qua do thuật toán băm auth-hmac không khớp.

Nếu bạn có một đường hầm giữa XG1 (version 16) và XG2 (version 17), thì hãy đảm bảo rằng trên XG2 (version 17), bạn đã chọn tùy chọn SHA2 with 96-bit truncation trong cấu hình IPsec đang được sử dụng.

• XG1 (version 17) & XG2 (version 17) với thuật toán mã hóa IPsec SHA2 và IKEv1

Như đã đề cập ở trên, XG (version 17) sử dụng SHA2 with 128-bit truncation theo mặc định.

Vui lòng đảm bảo rằng cấu hình IPsec giống nhau hoặc khớp với tùy chọn SHA2 with 96-bit truncation có bật hoặc tắt tính năng này ở cả hai đầu.

Nếu một bên SHA2 with 96-bit truncation được bật và bên kia tắt tính năng này, thì đường hầm sẽ không hiển thị lưu lượng, traffic sẽ không đi qua do thuật toán băm auth-hmac không khớp.