楼主:
AskaSu (大公司小叮当)
2017-04-10 12:01:08我自己之前用过Fortigate 60及100系列,
与Azure做Site to Site VPN都还蛮正常的,
60系列还曾用旧版的FortiOS 4.x进行连接
分享几个处理及测试方向,给原Po参考了解
希望能帮助原Po及其他有类似问题的朋友
1. 尝试重建Azure VPN Gateway
有可能原Po人品好,遇到那组VPN Gateway资源是有问题的,
透过重建有机会配置到其他正常资源上
请小心注意,是删除重建Gateway,
不需要重建整个Virtual Network
但删除重建会导致VPN中断,
且删除布建有等待时间,及部分设定需要重做,
所以建议至少在离峰时间预留60至90分钟进行
2. 尝试更换Fortigate VPN的连接设定方式
Azure VPN及Fortigate的连接有两种设定方式
静态路由 = 原则式
动态路由 = 路由式
https://goo.gl/98NK9r
或许可以尝试另一种设定方式,
不过我自己都是习惯用路由式
3. 尝试变更连接 Azure VPN的ISP线路
也有可能像其他网友说的,
原ISP连接到Azure的线路是塞得大家不要不要的,
所以相对造成VPN不稳定
另外,自从去年中华电信发生连接微软资源大断线,
加上几次的中华电信出国异常事件,
我就坚持公司至少要有两条不同ISP的线路
避免有类似断线状况再度发生
4. 尝试用Windows Server或其他设备做VPN测试连接
从原文描述,不确定那台70D除了做Azure VPN,同时与其他各点做连接外,
是否还有身兼公司上网出口?
并且同时开了AV/IPS等功能监控?
而且从架构图及描述来看,问题发生当下是否台北到Azure都是正常,
只有台中及台南透过台北端再上Azure才有问题?
还是当下剩各点连接正常,但只有Azure VPN就断了?
如果是,我就会倾向是Fortigatg本身的问题
VPN本身就是一个蛮吃硬件的服务
或许也有可能是那台70D乘载了过多服务及网络封包,
导致与Azure VPN无法即时回应沟通导致连线不稳定
至于为什么跟其他各点正常,跟Azure VPN却会异常断,
我会解读为可能是Azure对于VPN的连接监测较为严苛
建议可以尝试用一台Windows Server对外做VPN Gateway,
与现有Azure Gateway做连接测试,
检测是否还有相同异常断线状况
或者就是用其他设备仅单纯进行VPN连接测试
这个步骤,至少有机会可以分出是不是原设备问题,
如果仍然会断线,就是朝线路方向检测,
再不行就是朝重建Azure VPN Gateway方向测试