Xử lý sự cố SSL VPN troubleshooting trên Fortigate

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi huunhanntt, 10/8/18.

  1. huunhanntt

    huunhanntt Member

    1. Hiển thị debug
    Để hiển thị thông báo debug cho kết nối SSL VPN, bạn sử dụng câu lệnh sau :
    diagnose debug application sslvpn -1
    diagnose debug enable


    2. Xác nhận cấu hình debug
    diagnose debug info
    debug output: disable
    console timestamp: disable
    console no user log message: disable
    sslvpn debug level: -1 (0xffffffff)
    CLI debug level: 3


    3. Show debug
    Sau khi kết nối SSL VPN trên Fortigate sẽ debug :
    FortiGate-VM64 # [132:root:1e]req: /remote/portal?action=2
    [132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group= [],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
    [132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group=[],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
    [132:root:1e]req: /remote/portal?action=2
    [132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group= [],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
    [132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group=[],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
    [132:root:1e]req: /remote/portal?action=2
    [132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group=[],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=1533877476
    [132:root:1e]deconstruct_session_id:363 decode session id ok, user=[vpn],group= [],portal=[portal],host=[192.168.1.13],realm=[],idx=0,auth=1,sid=31bf68ea, login=1533877476, access=153387747


    4. Kết thúc quá trình debug
    Để dừng quá trình hiển thị debug ta sử dụng lệnh sau :
    diagnose debug disable
    diagnose debug reset


    CÁC VẤN ĐỀ GẶP PHẢI
    Các gợi ý sau chỉ dùng để tham khảo vì những lỗi phát sinh mà Firewall Fortigate có thể gặp phải, còn tùy thuộc vào mô hình kết nối mạng của bạn

    1. Không có phản hồi từ SSL VPN URL
    · Vào VPN > SSL-VPN Settings và kiểm tra port sử dụng cho kết nối SSL.
    · Vào Policy > IPv4 Policy (or Policy > IPv6 policy) và chắc chắn cấu hình policy chính xác.
    · Kiểm tra đường dẫn truy nhập vào kết nối SSL VPN theo cấu trúc
    https://<FortiGate IP>:<Port>/remote/login
    · Chắc chắn sử dụng đúng port trong URL .
    · Sử dụng máy tính trong mạng local để test kết nối.

    2. Trường hợp Forticlient không thể kết nối được
    Các bạn có thể xuất file debug theo cách sau :
    a. Vào File > Settings. Dưới mục Logging , Nhấp vào Export logs.
    b. Thiết lập Log Level để Debug và chọn Clear logs.
    c . Kết nối tới SSL VPN
    d. Sau đó chọn Export logs để xem log .

    3. Kết nối SSL VPN bị dừng ở 98%
    Upgrade FortiOS lên phiên bản cao hơn để tương thích với forticlient
    Thêm vào đó là vì kết nối mạng của bạn chậm vượt quá thời gian timeout mặc định của kết nối trên fortigate. Ở bản FortiOS 5.6.0 và sau này, câu lệnh dung để tăng thời gian kết nối SSL như sau :
    config vpn ssl settings
    set login-timeout 180 (default is 30)
    set dtls-hello-timeout 60 (default is 10)
    end


    4. Kết nối Tunnel-mode bị dừng sau vài giây
    Vấn đề này thường xảy ra khi bạn có nhiều đường WAN vào thiết bị , để xử lý vấn đề này bạn cần phải cho phép đa kết nối vào thiết bị
    Câu lệnh cho bản forties 6.0.1 trở lên :
    config system interface
    edit <name>
    set preserve-session-route enable
    next
    end

    Nếu bạn sửu dụng bản 6.0 trờ về trước bạn sử dụng câu lệnh :
    config vpn ssl settings
    set route-source-interface enable
    end


    5. Khi nhận được thông báo lỗi : “Unable to logon to the server. Your user name or password may not be configured properly for this connection. (-12).
    · Đảm bảo trình duyệt Web enable cookies
    · Nếu sử dụng chứng thực trên server (LDAP, FSSO..) thì bạn phải đảm bảo thiết bị và server phải kết nối được với nhau

    6. The tunnel đã kết nối nhưng không giao tiếp được
    Đảm bảo rằng có đường static route để chỉ đường cho các gói packet đến đích bằng cách vào Monitor > Routing Monitor. Đồng thời bạn cũng cần kiểm tra bảng routing table trên máy tính. Trên window bạn có thể dùng lệnh route print

    7. Kết nối được tới VPN tunnel nhưng không truy cập vào mạng con được
    Trên Fortigate các bạn vào Policy & Objects > IPv4 Policy để kiểm tra source/destination addresses, user group, and destination interfaces
    Bạn cũng có thể sử dụng câu lệnh diagnose debug flow để nắm được nhiều thông tin hơn về lưu lượng mạng. Các bạn có thể truy cập vào địa chỉ sau để biết được nhiều thông tin dòng lệnh hơn: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33882

    8. Users are unable to download the SSL VPN plugin
    Vào VPN > SSL-VPN Portals tắt chức năng Limit Users to One SSL-VPN Connection at a Time is disabled. Chức năng này cho phép user kết nối đồng thời trên cả Web base và forticlient.

    9. Luồng dữ liệu SSL VPN bị chậm
    Có nhiều yếu tố làm chậm kết nối , nhưng bạn hãy thử sử dụng chức năng DTLS (Chức năng này có trên bản 5.4 trở về sau)
    Có thể enable chức năng này bằng cách:
    config vpn ssl settings
    set dtls-tunnel enable
    end
     

trang này