[硬件资讯]
1. Fortigate 70D
[软or韧体版本资讯]
v5.2.8,build727
[问题描述]
请问板友是否有遇过跟Azure架设S2S VPN总是不定时断线的问题?小弟已经被此问题困扰
已久,Call过微软与SI厂商都无法解决此问题。
小弟的公司有三个点,各点之间透过VPN联系,台中与台南透过台北与Azure的主机连线
架构图: http://i.imgur.com/BZm5IAq.png
各点之间的VPN连线都没有问题,问题就出在台中或台南点,常常不定时断线,
(台北较无问题)
我看log断线的时间不一定,且出现的讯息不太会解读,似乎是VPN建立连线过时就有问题
http://i.imgur.com/8QpDdf8.png
我检查过Azure与Fortigate的VPN设定(都是按照原厂建议设定),也发了Ticket给微软,微软
检查设定也是正常,可能要进一步封包才能确认问题,但蒐集封包有其他条件限制,
所以暂时无法执行。
找SI厂商来,看过设定也说没什么问题,应该是微软端的问题,如果要测试也可能会
多次断线,会影响公司系统运作(营运无法停机)
故现在暂时解决的办法是,只要公司回报一断线无法走VPN连Azure VM,我就必须立刻将
Fortigate VPN在Phase 2的“Enable Replay Detection”选项勾选或取消
(不管维持勾选与否都会不定时断线)
然后ping连线都立即恢复正常了,只是过了一段时间(无特定周期)就可能又再度断线
然后继续重复以上动作解决,无法彻底根治。
因此了小弟发文想请教板友,是否有使用过Fortigate连Azure有出现过类似问题?
经过多次反复又无法擅自更动设定测试的情况下,小弟暂时想出以下方法:
1. 修改SA KeyLifetime值
并非“Enable Relay....”选项问题,而是Forti与Azure之间的SA Lifetime值问题
SA time似乎是VPN二端建立加密连线的周期时间,周期时间一到就会更换密钥并且
重新建立连线(这是我的理解,有错请指教)
诡异的是Azure的原厂文件设定值与Forti官方设定值都不同,Google许多文章所填入
的加密认证选项与SA值也都不尽相同,因有风险存在故小弟不敢随意乱填入测试
目前Phase 1设定10800,Phase 2的subnet值设定3600,有必须要设定特定的值吗?
或是要更改Encryption & Authenticaiton 组合?(感觉问题不大)
2. VPN架构问题
[已尝试过的方法]
经过多次反复又无法擅自更动设定测试的情况下,小弟暂时想出以下方法:
1. 修改SA KeyLifetime值
并非“Enable Relay....”选项问题,而是Forti与Azure之间的SA Lifetime值问题
SA time似乎是VPN二端建立加密连线的周期时间,周期时间一到就会更换密钥并且
重新建立连线(这是我的理解,有错请指教)
诡异的是Azure的原厂文件设定值与Forti官方设定值都不同,Google许多文章所填入
的加密认证选项与SA值也都不尽相同,因有风险存在故小弟不敢随意乱填入测试
目前Phase 1设定10800,Phase 2的subnet值设定3600,有必须要设定特定的值吗?
或是要更改Encryption & Authenticaiton 组合?(感觉问题不大)
2. VPN架构问题
如上所提供连结,台中与台南往Azure都是先连到台北,再从台北转到Azure上。
而断线时Trace Route皆发现只有在台北往Azure这段断线,台中&台南至台北这段都是
正常。
于是我怀疑这样的架构是否容易造成断线?(会这样设置原因是这样管理较方便)
故需要将VPN架构由经台北连云端,改成各点直连,不过还没测试过不清楚能否建立
(VNet-VNet?)
[其他线索]
1. 各点VPN只有从台北连Azure会断线,从该点连台北正常
2. VPN Log出现esp_error and negotiate错误
3. 使用IKE v2, Key Lifetime改成28800,到期后会断线且勾选选项也无法连通,
现只能用10800暂时维持连线正常。
以上,还请各位先进协助,小弟感激不尽!