วิธีแก้ไข Easy Connect ไม่สามารถเข้าถึง Branch ผ่าน IPSec VPN

บทความนี้อธิบายวิธีแก้ไขปัญหา SSL VPN (Easy Connect) ไม่สามารถเข้าถึง Resource ที่อยู่ฝั่ง Branch ผ่าน IPSec VPN ได้

อาการ

• User เชื่อมต่อ SSL VPN ผ่าน Easy Connect ได้ปกติ และเข้าถึง Resource ที่ HQ ได้
• แต่ ไม่สามารถเข้าถึง Resource ที่อยู่ฝั่ง Branch ซึ่งเชื่อมต่อผ่าน IPSec VPN
• IPSec VPN Tunnel ระหว่าง HQ กับ Branch ใช้งานได้ปกติ

สิ่งที่ต้องตรวจสอบก่อน

• Easy Connect สามารถเข้าถึง Resource ภายใน HQ ได้ปกติ
• IPSec VPN Tunnel ระหว่าง HQ และ Branch มี Status เป็น Normal
• User ที่อยู่ใน LAN ของ HQ สามารถเข้าถึง Branch ผ่าน IPSec ได้ปกติ

สาเหตุ

IPSec VPN Phase 2 ไม่ได้ระบุวง Virtual IP Pool ของ SSL VPN ไว้ใน Protected Subnet ทำให้ IPSec Tunnel ไม่รู้จักวง IP ที่ SSL VPN แจกให้ User และไม่ส่ง Traffic ของ SSL VPN User ผ่าน Tunnel ไปยัง Branch

วิธีแก้ไข

ต้องเพิ่มวง Virtual IP Pool ของ SSL VPN เข้าไปใน IPSec VPN Phase 2 ทั้ง 2 ฝั่ง (HQ และ Branch)

ฝั่ง HQ:

1. ไปที่ Network > IPSec VPN แล้วเปิด Tunnel ที่เชื่อมต่อกับ Branch
2. ในส่วน Phase 2 > Local Subnet — เพิ่มวง Virtual IP Pool ของ SSL VPN (เช่น 2.0.1.0/24)
3. กด Save

ฝั่ง Branch:

1. ไปที่ Network > IPSec VPN แล้วเปิด Tunnel ที่เชื่อมต่อกับ HQ
2. ในส่วน Phase 2 > Remote Subnet — เพิ่มวง Virtual IP Pool ของ SSL VPN ฝั่ง HQ ให้ตรงกัน
3. กด Save

ตั้งค่า SSL VPN Resource:

• ที่ฝั่ง HQ ไปที่ Network > SSL VPN > Resources แล้วเพิ่มวง IP ของ Branch เข้าไปใน Resource ที่ User ใช้งาน

หมายเหตุ

• ต้องเพิ่มวง Virtual IP Pool ใน Phase 2 ทั้ง 2 ฝั่ง ไม่เช่นนั้น Tunnel จะไม่ Match กัน
• หากใช้งาน SSL VPN จากทั้ง 2 ฝั่ง (HQ และ Branch) ให้ระวัง อย่าให้ Virtual IP Pool ของแต่ละสาขาชนกัน (ใช้ Subnet คนละวง)
• หลังแก้ไขแล้ว อาจต้องรอให้ IPSec Tunnel Reconnect หรือกด Reconnect เพื่อให้ Phase 2 ใหม่มีผล