[Case] VPN連Azure問題

看板MIS (IT資訊人員)作者 (Tu m'aimes?)時間7年前 (2017/04/08 19:31), 編輯推噓0(008)
留言8則, 5人參與, 最新討論串1/4 (看更多)
[硬體資訊] 1. Fortigate 70D [軟or韌體版本資訊] v5.2.8,build727 [問題描述] 請問板友是否有遇過跟Azure架設S2S VPN總是不定時斷線的問題?小弟已經被此問題困擾 已久,Call過微軟與SI廠商都無法解決此問題。 小弟的公司有三個點,各點之間透過VPN聯繫,台中與台南透過台北與Azure的主機連線 架構圖: http://i.imgur.com/BZm5IAq.png
各點之間的VPN連線都沒有問題,問題就出在台中或台南點,常常不定時斷線, (台北較無問題) 我看log斷線的時間不一定,且出現的訊息不太會解讀,似乎是VPN建立連線過時就有問題 http://i.imgur.com/8QpDdf8.png
我檢查過Azure與Fortigate的VPN設定(都是按照原廠建議設定),也發了Ticket給微軟,微軟 檢查設定也是正常,可能要進一步封包才能確認問題,但蒐集封包有其他條件限制, 所以暫時無法執行。 找SI廠商來,看過設定也說沒什麼問題,應該是微軟端的問題,如果要測試也可能會 多次斷線,會影響公司系統運作(營運無法停機) 故現在暫時解決的辦法是,只要公司回報一斷線無法走VPN連Azure VM,我就必須立刻將 Fortigate VPN在Phase 2的「Enable Replay Detection」選項勾選或取消 (不管維持勾選與否都會不定時斷線) 然後ping連線都立即恢復正常了,只是過了一段時間(無特定週期)就可能又再度斷線 然後繼續重複以上動作解決,無法徹底根治。 因此了小弟發文想請教板友,是否有使用過Fortigate連Azure有出現過類似問題? 經過多次反覆又無法擅自更動設定測試的情況下,小弟暫時想出以下方法: 1. 修改SA KeyLifetime值 並非「Enable Relay....」選項問題,而是Forti與Azure之間的SA Lifetime值問題 SA time似乎是VPN二端建立加密連線的週期時間,週期時間一到就會更換密鑰並且 重新建立連線(這是我的理解,有錯請指教) 詭異的是Azure的原廠文件設定值與Forti官方設定值都不同,Google許多文章所填入 的加密認證選項與SA值也都不盡相同,因有風險存在故小弟不敢隨意亂填入測試 目前Phase 1設定10800,Phase 2的subnet值設定3600,有必須要設定特定的值嗎? 或是要更改Encryption & Authenticaiton 組合?(感覺問題不大) 2. VPN架構問題 [已嘗試過的方法] 經過多次反覆又無法擅自更動設定測試的情況下,小弟暫時想出以下方法: 1. 修改SA KeyLifetime值 並非「Enable Relay....」選項問題,而是Forti與Azure之間的SA Lifetime值問題 SA time似乎是VPN二端建立加密連線的週期時間,週期時間一到就會更換密鑰並且 重新建立連線(這是我的理解,有錯請指教) 詭異的是Azure的原廠文件設定值與Forti官方設定值都不同,Google許多文章所填入 的加密認證選項與SA值也都不盡相同,因有風險存在故小弟不敢隨意亂填入測試 目前Phase 1設定10800,Phase 2的subnet值設定3600,有必須要設定特定的值嗎? 或是要更改Encryption & Authenticaiton 組合?(感覺問題不大) 2. VPN架構問題 如上所提供連結,台中與台南往Azure都是先連到台北,再從台北轉到Azure上。 而斷線時Trace Route皆發現只有在台北往Azure這段斷線,台中&台南至台北這段都是 正常。 於是我懷疑這樣的架構是否容易造成斷線?(會這樣設置原因是這樣管理較方便) 故需要將VPN架構由經台北連雲端,改成各點直連,不過還沒測試過不清楚能否建立 (VNet-VNet?) [其他線索] 1. 各點VPN只有從台北連Azure會斷線,從該點連台北正常 2. VPN Log出現esp_error and negotiate錯誤 3. 使用IKE v2, Key Lifetime改成28800,到期後會斷線且勾選選項也無法連通, 現只能用10800暫時維持連線正常。 以上,還請各位先進協助,小弟感激不盡! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.249.30 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1491651093.A.235.html

04/08 20:18, , 1F
call azure客服確定下 之前我們也遇過最後是azure那邊偷動
04/08 20:18, 1F

04/08 22:03, , 2F
微軟很愛偷動東西...
04/08 22:03, 2F

04/09 11:51, , 3F
fortios-v5.2.10-release-notes.pdf
04/09 11:51, 3F

04/09 11:51, , 4F
fortios-v5.2.9-release-notes.pdf
04/09 11:51, 4F

04/09 17:31, , 5F
在台北fortigate上建立一個link-monitor持續自動ping
04/09 17:31, 5F

04/09 17:32, , 6F
Azure的IP如何? 無法解決問題但是或許可以讓VPN斷掉後
04/09 17:32, 6F

04/09 17:32, , 7F
還會重新連線?
04/09 17:32, 7F

04/18 22:22, , 8F
Fortigate500D連Azure正常使用中 ...
04/18 22:22, 8F
文章代碼(AID): #1OwCeL8r (MIS)
文章代碼(AID): #1OwCeL8r (MIS)