Re: [Case] VPN连Azure问题

楼主: xxoo1122 (一个连IE6都能相容的男人)   2017-04-09 00:49:03
大大你好,最近我遇到不少类似您这样的用户,把网站或系统通通搬到Aws or Azure后才发现台湾到香港或东京塞的你嫑嫑的,VPN三不五时就断线或是掉封包,大部分的用户实在受不了这么塞所以另外再租了一段台湾到Aws or Azure的专线,Aws是direct connect ,Azure是express route,大大也提到断线会影响公司营运,我想公司应该会舍得花这笔专线费用,如果有需要可以跟我联系,我可以提供你NTT或Global Cloud Xchange的业务联系方式给你。
※ 引述《nksp (Tu m'aimes?)》之铭言:
: [硬件资讯]
: 1. Fortigate 70D
: [软or韧体版本资讯]
: v5.2.8,build727
: [问题描述]
: 请问板友是否有遇过跟Azure架设S2S VPN总是不定时断线的问题?小弟已经被此问题困扰
: 已久,Call过微软与SI厂商都无法解决此问题。
: 小弟的公司有三个点,各点之间透过VPN联系,台中与台南透过台北与Azure的主机连线
: 架构图: http://i.imgur.com/BZm5IAq.png
: 各点之间的VPN连线都没有问题,问题就出在台中或台南点,常常不定时断线,
: (台北较无问题)
: 我看log断线的时间不一定,且出现的讯息不太会解读,似乎是VPN建立连线过时就有问题
: http://i.imgur.com/8QpDdf8.png
: 我检查过Azure与Fortigate的VPN设定(都是按照原厂建议设定),也发了Ticket给微软
: ,微软
: 检查设定也是正常,可能要进一步封包才能确认问题,但蒐集封包有其他条件限制,
: 所以暂时无法执行。
: 找SI厂商来,看过设定也说没什么问题,应该是微软端的问题,如果要测试也可能会
: 多次断线,会影响公司系统运作(营运无法停机)
: 故现在暂时解决的办法是,只要公司回报一断线无法走VPN连Azure VM,我就必须立刻将
: Fortigate VPN在Phase 2的“Enable Replay Detection”选项勾选或取消
: (不管维持勾选与否都会不定时断线)
: 然后ping连线都立即恢复正常了,只是过了一段时间(无特定周期)就可能又再度断线
: 然后继续重复以上动作解决,无法彻底根治。
: 因此了小弟发文想请教板友,是否有使用过Fortigate连Azure有出现过类似问题?
: 经过多次反复又无法擅自更动设定测试的情况下,小弟暂时想出以下方法:
: 1. 修改SA KeyLifetime值
: 并非“Enable Relay....”选项问题,而是Forti与Azure之间的SA Lifetime值问题
: SA time似乎是VPN二端建立加密连线的周期时间,周期时间一到就会更换密钥并且
: 重新建立连线(这是我的理解,有错请指教)
: 诡异的是Azure的原厂文件设定值与Forti官方设定值都不同,Google许多文章所填入
: 的加密认证选项与SA值也都不尽相同,因有风险存在故小弟不敢随意乱填入测试
: 目前Phase 1设定10800,Phase 2的subnet值设定3600,有必须要设定特定的值吗?
: 或是要更改Encryption & Authenticaiton 组合?(感觉问题不大)
: 2. VPN架构问题
: [已尝试过的方法]
: 经过多次反复又无法擅自更动设定测试的情况下,小弟暂时想出以下方法:
: 1. 修改SA KeyLifetime值
: 并非“Enable Relay....”选项问题,而是Forti与Azure之间的SA Lifetime值问题
: SA time似乎是VPN二端建立加密连线的周期时间,周期时间一到就会更换密钥并且
: 重新建立连线(这是我的理解,有错请指教)
: 诡异的是Azure的原厂文件设定值与Forti官方设定值都不同,Google许多文章所填入
: 的加密认证选项与SA值也都不尽相同,因有风险存在故小弟不敢随意乱填入测试
: 目前Phase 1设定10800,Phase 2的subnet值设定3600,有必须要设定特定的值吗?
: 或是要更改Encryption & Authenticaiton 组合?(感觉问题不大)
: 2. VPN架构问题
: 如上所提供连结,台中与台南往Azure都是先连到台北,再从台北转到Azure上。
: 而断线时Trace Route皆发现只有在台北往Azure这段断线,台中&台南至台北这段都是
: 正常。
: 于是我怀疑这样的架构是否容易造成断线?(会这样设置原因是这样管理较方便)
: 故需要将VPN架构由经台北连云端,改成各点直连,不过还没测试过不清楚能否建立
: (VNet-VNet?)
: [其他线索]
: 1. 各点VPN只有从台北连Azure会断线,从该点连台北正常
: 2. VPN Log出现esp_error and negotiate错误
: 3. 使用IKE v2, Key Lifetime改成28800,到期后会断线且勾选选项也无法连通,
: 现只能用10800暂时维持连线正常。
: 以上,还请各位先进协助,小弟感激不尽!
作者: shiyeh (shiyeh)   2017-04-09 11:40:00
果然是业务单位 不错不错
楼主: xxoo1122 (一个连IE6都能相容的男人)   2017-04-09 12:05:00
哈哈,小弟是技术人员非业务单位,只是有些人脉可以介绍给有需要的朋友,节省大家去找这些资源的时间。
作者: nksp (Tu m'aimes?)   2017-04-09 16:40:00
平常与Azure连线的情况大多是ping值变高,偶尔掉封包,最常见的就是VPN直接给你断线 我一直怀疑是forti的问题说....
作者: deadwood (T_T)   2017-04-09 17:29:00
透过internet见的VPN就是这样,永远无法保证会顺畅运作
作者: king1412 (Roscoe)   2017-05-14 15:52:00
遇之前测试AWS VPN跟Fortigate断线,重新启用也失败,只能重建一次AWS VPN设定档

Links booklink

Contact Us: admin [ a t ] ucptt.com