У меня есть FortiGate 60E, который я успешно использовал для создания VPN в виртуальной сети Azure (см. Вот). Была прошивка 6.0.4.
Недавно я обновил прошивку Fortigate до версии 6.2.0, и VPN работал правильно, но через несколько дней он начал ничего не маршрутизировать. VPN по-прежнему работал с обеих сторон, но я ничего не видел. Перезагрузка Fortigate не дала никакого эффекта.
Поэтому я удалил все объекты VPN в Azure и воссоздал все с нуля. Это снова сработало ... какое-то время.
Поэтому я решил понизить версию Fortigate до 6.0.5 (выпущенной несколько дней назад), ничего не меняя в Azure. Он снова работал ... около 15 часов. А теперь он упал.
Я снова попробую понизить версию до 6.0.4, но начинаю думать, что это может быть не так. Когда я переделал все в Azure, все вернулось. Во второй раз я ничего не сделал в Azure, и он вернулся. Так что я начинаю думать, что что-то на стороне Fortigate запускает VPN, но потом портится.
На другом, более старом Fortigate, у меня точно такая же настройка (но прошивка 5.6.8), и она работает безупречно в течение нескольких недель.
-- РЕДАКТИРОВАТЬ --
При дальнейшем осмотре я просмотрел журналы и обнаружил ошибку обнаружения мертвого узла:
События tunnel_stats перед этим показывают отправленные и полученные байты (двунаправленные), но все события tunnel_stats после dpd_failure показывают только отправленные байты, но полученные байты всегда равны нулю.
- КОНЕЦ РЕДАКТИРОВАНИЯ -
- РЕДАКТИРОВАТЬ 2 -
Вчера вечером я понизил версию до 6.0.4, и VPN больше не работает.
Я внимательно просмотрел журналы и обнаружил одну и ту же ошибку DPD каждый день в одно и то же время, сразу после 11 часов утра. Так уж случилось, что вчерашняя ошибка DPD закрыла туннель навсегда.
- КОНЕЦ РЕДАКТИРОВАНИЯ 2 -
Любые идеи приветствуются!
В конце концов, вы развернули шлюз на основе политик или шлюз на основе маршрутов?
Вот список параметров, с которыми настроен VPN-шлюз Azure: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices#ipsec
Пожалуйста, проверьте это и попробуйте сопоставить его с локальным устройством.
С уважением, Мсрини