Xử lý sự cố SSL VPN troubleshooting trên Fortigate

1. Hiển thị debug
Để hiển thị thông báo debug cho kết nối SSL VPN, bạn sử dụng câu lệnh sau :
diagnose debug application sslvpn -1
diagnose debug enable

2. Xác nhận cấu hình debug
diagnose debug info
debug output: disable
console timestamp: disable
console no user log message: disable
sslvpn debug level: -1 (0xffffffff)
CLI debug level: 3

3. Show debug
Sau khi kết nối SSL VPN trên Fortigate sẽ debug :
FortiGate-VM64 # [132:root:1e]req: /remote/portal?action=2
[132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group= [],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
[132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group=[],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
[132:root:1e]req: /remote/portal?action=2
[132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group= [],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
[132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group=[],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
[132:root:1e]req: /remote/portal?action=2
[132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group=[],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
[132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group= [],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=153387747

4. Kết thúc quá trình debug
Để dừng quá trình hiển thị debug ta sử dụng lệnh sau :
diagnose debug disable
diagnose debug reset

CÁC VẤN ĐỀ GẶP PHẢI
Các gợi ý sau chỉ dùng để tham khảo vì những lỗi phát sinh mà Firewall Fortigate có thể gặp phải, còn tùy thuộc vào mô hình kết nối mạng của bạn

1. Không có phản hồi từ SSL VPN URL
· Vào VPN > SSL-VPN Settings và kiểm tra port sử dụng cho kết nối SSL.
· Vào Policy > IPv4 Policy (or Policy > IPv6 policy) và chắc chắn cấu hình policy chính xác.
· Kiểm tra đường dẫn truy nhập vào kết nối SSL VPN theo cấu trúc
https://<FortiGate IP>:<Port>/remote/login
· Chắc chắn sử dụng đúng port trong URL .
· Sử dụng máy tính trong mạng local để test kết nối.

2. Trường hợp Forticlient không thể kết nối được
Các bạn có thể xuất file debug theo cách sau :
a. Vào File > Settings. Dưới mục Logging , Nhấp vào Export logs.
b. Thiết lập Log Level để Debug và chọn Clear logs.
c . Kết nối tới SSL VPN
d. Sau đó chọn Export logs để xem log .

3. Kết nối SSL VPN bị dừng ở 98%
Upgrade FortiOS lên phiên bản cao hơn để tương thích với forticlient
Thêm vào đó là vì kết nối mạng của bạn chậm vượt quá thời gian timeout mặc định của kết nối trên fortigate. Ở bản FortiOS 5.6.0 và sau này, câu lệnh dung để tăng thời gian kết nối SSL như sau :
config vpn ssl settings
set login-timeout 180 (default is 30)
set dtls-hello-timeout 60 (default is 10)
end

4. Kết nối Tunnel-mode bị dừng sau vài giây
Vấn đề này thường xảy ra khi bạn có nhiều đường WAN vào thiết bị , để xử lý vấn đề này bạn cần phải cho phép đa kết nối vào thiết bị
Câu lệnh cho bản forties 6.0.1 trở lên :
config system interface
edit <name>
set preserve-session-route enable
next
end
Nếu bạn sửu dụng bản 6.0 trờ về trước bạn sử dụng câu lệnh :
config vpn ssl settings
set route-source-interface enable
end

5. Khi nhận được thông báo lỗi : “Unable to logon to the server. Your user name or password may not be configured properly for this connection. (-12).”
· Đảm bảo trình duyệt Web enable cookies
· Nếu sử dụng chứng thực trên server (LDAP, FSSO..) thì bạn phải đảm bảo thiết bị và server phải kết nối được với nhau

6. The tunnel đã kết nối nhưng không giao tiếp được
Đảm bảo rằng có đường static route để chỉ đường cho các gói packet đến đích bằng cách vào Monitor > Routing Monitor. Đồng thời bạn cũng cần kiểm tra bảng routing table trên máy tính. Trên window bạn có thể dùng lệnh route print

7. Kết nối được tới VPN tunnel nhưng không truy cập vào mạng con được
Trên Fortigate các bạn vào Policy & Objects > IPv4 Policy để kiểm tra source/destination addresses, user group, and destination interfaces
Bạn cũng có thể sử dụng câu lệnh diagnose debug flow để nắm được nhiều thông tin hơn về lưu lượng mạng. Các bạn có thể truy cập vào địa chỉ sau để biết được nhiều thông tin dòng lệnh hơn: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33882

8. Users are unable to download the SSL VPN plugin
Vào VPN > SSL-VPN Portals tắt chức năng Limit Users to One SSL-VPN Connection at a Time is disabled. Chức năng này cho phép user kết nối đồng thời trên cả Web base và forticlient.

9. Luồng dữ liệu SSL VPN bị chậm
Có nhiều yếu tố làm chậm kết nối , nhưng bạn hãy thử sử dụng chức năng DTLS (Chức năng này có trên bản 5.4 trở về sau)
Có thể enable chức năng này bằng cách:
config vpn ssl settings
set dtls-tunnel enable
end