Re: [Case] VPN連Azure問題
大大你好,最近我遇到不少類似您這樣的用戶,把網站或系統通通搬到Aws or Azure後才發現台灣到香港或東京塞的你嫑嫑的,VPN三不五時就斷線或是掉封包,大部分的用戶實在受不了這麼塞所以另外再租了一段台灣到Aws or Azure的專線,Aws是direct connect ,Azure是express route,大大也提到斷線會影響公司營運,我想公司應該會捨得花這筆專線費用,如果有需要可以跟我聯繫,我可以提供你NTT或Global Cloud Xchange的業務聯繫方式給你。
※ 引述《nksp (Tu m'aimes?)》之銘言:
: [硬體資訊]
: 1. Fortigate 70D
: [軟or韌體版本資訊]
: v5.2.8,build727
: [問題描述]
: 請問板友是否有遇過跟Azure架設S2S VPN總是不定時斷線的問題?小弟已經被此問題困擾
: 已久,Call過微軟與SI廠商都無法解決此問題。
: 小弟的公司有三個點,各點之間透過VPN聯繫,台中與台南透過台北與Azure的主機連線
: 架構圖: http://i.imgur.com/BZm5IAq.png
: 各點之間的VPN連線都沒有問題,問題就出在台中或台南點,常常不定時斷線,
: (台北較無問題)
: 我看log斷線的時間不一定,且出現的訊息不太會解讀,似乎是VPN建立連線過時就有問題
: http://i.imgur.com/8QpDdf8.png
: 我檢查過Azure與Fortigate的VPN設定(都是按照原廠建議設定),也發了Ticket給微軟
: ,微軟
: 檢查設定也是正常,可能要進一步封包才能確認問題,但蒐集封包有其他條件限制,
: 所以暫時無法執行。
: 找SI廠商來,看過設定也說沒什麼問題,應該是微軟端的問題,如果要測試也可能會
: 多次斷線,會影響公司系統運作(營運無法停機)
: 故現在暫時解決的辦法是,只要公司回報一斷線無法走VPN連Azure VM,我就必須立刻將
: Fortigate VPN在Phase 2的「Enable Replay Detection」選項勾選或取消
: (不管維持勾選與否都會不定時斷線)
: 然後ping連線都立即恢復正常了,只是過了一段時間(無特定週期)就可能又再度斷線
: 然後繼續重複以上動作解決,無法徹底根治。
: 因此了小弟發文想請教板友,是否有使用過Fortigate連Azure有出現過類似問題?
: 經過多次反覆又無法擅自更動設定測試的情況下,小弟暫時想出以下方法:
: 1. 修改SA KeyLifetime值
: 並非「Enable Relay....」選項問題,而是Forti與Azure之間的SA Lifetime值問題
: SA time似乎是VPN二端建立加密連線的週期時間,週期時間一到就會更換密鑰並且
: 重新建立連線(這是我的理解,有錯請指教)
: 詭異的是Azure的原廠文件設定值與Forti官方設定值都不同,Google許多文章所填入
: 的加密認證選項與SA值也都不盡相同,因有風險存在故小弟不敢隨意亂填入測試
: 目前Phase 1設定10800,Phase 2的subnet值設定3600,有必須要設定特定的值嗎?
: 或是要更改Encryption & Authenticaiton 組合?(感覺問題不大)
: 2. VPN架構問題
: [已嘗試過的方法]
: 經過多次反覆又無法擅自更動設定測試的情況下,小弟暫時想出以下方法:
: 1. 修改SA KeyLifetime值
: 並非「Enable Relay....」選項問題,而是Forti與Azure之間的SA Lifetime值問題
: SA time似乎是VPN二端建立加密連線的週期時間,週期時間一到就會更換密鑰並且
: 重新建立連線(這是我的理解,有錯請指教)
: 詭異的是Azure的原廠文件設定值與Forti官方設定值都不同,Google許多文章所填入
: 的加密認證選項與SA值也都不盡相同,因有風險存在故小弟不敢隨意亂填入測試
: 目前Phase 1設定10800,Phase 2的subnet值設定3600,有必須要設定特定的值嗎?
: 或是要更改Encryption & Authenticaiton 組合?(感覺問題不大)
: 2. VPN架構問題
: 如上所提供連結,台中與台南往Azure都是先連到台北,再從台北轉到Azure上。
: 而斷線時Trace Route皆發現只有在台北往Azure這段斷線,台中&台南至台北這段都是
: 正常。
: 於是我懷疑這樣的架構是否容易造成斷線?(會這樣設置原因是這樣管理較方便)
: 故需要將VPN架構由經台北連雲端,改成各點直連,不過還沒測試過不清楚能否建立
: (VNet-VNet?)
: [其他線索]
: 1. 各點VPN只有從台北連Azure會斷線,從該點連台北正常
: 2. VPN Log出現esp_error and negotiate錯誤
: 3. 使用IKE v2, Key Lifetime改成28800,到期後會斷線且勾選選項也無法連通,
: 現只能用10800暫時維持連線正常。
: 以上,還請各位先進協助,小弟感激不盡!
-----
Sent from JPTT on my iPhone
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.182.210
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1491670144.A.F6F.html
→
04/09 11:40, , 1F
04/09 11:40, 1F
→
04/09 12:05, , 2F
04/09 12:05, 2F
→
04/09 12:05, , 3F
04/09 12:05, 3F
推
04/09 16:40, , 4F
04/09 16:40, 4F
→
04/09 16:40, , 5F
04/09 16:40, 5F
→
04/09 17:29, , 6F
04/09 17:29, 6F
→
05/14 15:52, , 7F
05/14 15:52, 7F
→
05/14 15:53, , 8F
05/14 15:53, 8F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 4 篇):
MIS 近期熱門文章
PTT職涯區 即時熱門文章
