Назад | Перейти на главную страницу

Fortigate to Azure - работающий VPN внезапно перестает работать

У меня есть FortiGate 60E, который я успешно использовал для создания VPN в виртуальной сети Azure (см. Вот). Была прошивка 6.0.4.

Недавно я обновил прошивку Fortigate до версии 6.2.0, и VPN работал правильно, но через несколько дней он начал ничего не маршрутизировать. VPN по-прежнему работал с обеих сторон, но я ничего не видел. Перезагрузка Fortigate не дала никакого эффекта.

Поэтому я удалил все объекты VPN в Azure и воссоздал все с нуля. Это снова сработало ... какое-то время.

Поэтому я решил понизить версию Fortigate до 6.0.5 (выпущенной несколько дней назад), ничего не меняя в Azure. Он снова работал ... около 15 часов. А теперь он упал.

Я снова попробую понизить версию до 6.0.4, но начинаю думать, что это может быть не так. Когда я переделал все в Azure, все вернулось. Во второй раз я ничего не сделал в Azure, и он вернулся. Так что я начинаю думать, что что-то на стороне Fortigate запускает VPN, но потом портится.

На другом, более старом Fortigate, у меня точно такая же настройка (но прошивка 5.6.8), и она работает безупречно в течение нескольких недель.

-- РЕДАКТИРОВАТЬ --

При дальнейшем осмотре я просмотрел журналы и обнаружил ошибку обнаружения мертвого узла:

События tunnel_stats перед этим показывают отправленные и полученные байты (двунаправленные), но все события tunnel_stats после dpd_failure показывают только отправленные байты, но полученные байты всегда равны нулю.

- КОНЕЦ РЕДАКТИРОВАНИЯ -

- РЕДАКТИРОВАТЬ 2 -

Вчера вечером я понизил версию до 6.0.4, и VPN больше не работает.

Я внимательно просмотрел журналы и обнаружил одну и ту же ошибку DPD каждый день в одно и то же время, сразу после 11 часов утра. Так уж случилось, что вчерашняя ошибка DPD закрыла туннель навсегда.

- КОНЕЦ РЕДАКТИРОВАНИЯ 2 -

Любые идеи приветствуются!

В конце концов, вы развернули шлюз на основе политик или шлюз на основе маршрутов?

Вот список параметров, с которыми настроен VPN-шлюз Azure: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices#ipsec

Пожалуйста, проверьте это и попробуйте сопоставить его с локальным устройством.

С уважением, Мсрини