Re: [Case] VPN連Azure問題

看板MIS (IT資訊人員)作者AskaSu (大公司小叮噹)時間7年前 (2017/04/10 12:01)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串4/4 (看更多)

我自己之前用過Fortigate 60及100系列，與Azure做Site to Site VPN都還蠻正常的， 60系列還曾用舊版的FortiOS 4.x進行連接分享幾個處理及測試方向，給原Po參考瞭解希望能幫助原Po及其他有類似問題的朋友 1. 嘗試重建Azure VPN Gateway 有可能原Po人品好，遇到那組VPN Gateway資源是有問題的，透過重建有機會配置到其他正常資源上請小心注意，是刪除重建Gateway，不需要重建整個Virtual Network 但刪除重建會導致VPN中斷，且刪除佈建有等待時間，及部分設定需要重做，所以建議至少在離峰時間預留60至90分鐘進行 2. 嘗試更換Fortigate VPN的連接設定方式 Azure VPN及Fortigate的連接有兩種設定方式靜態路由 = 原則式動態路由 = 路由式 https://goo.gl/98NK9r 或許可以嘗試另一種設定方式，不過我自己都是習慣用路由式 3. 嘗試變更連接 Azure VPN的ISP線路也有可能像其他網友說的，原ISP連接到Azure的線路是塞得大家不要不要的，所以相對造成VPN不穩定另外，自從去年中華電信發生連接微軟資源大斷線，加上幾次的中華電信出國異常事件，我就堅持公司至少要有兩條不同ISP的線路避免有類似斷線狀況再度發生 4. 嘗試用Windows Server或其他設備做VPN測試連接從原文描述，不確定那台70D除了做Azure VPN，同時與其他各點做連接外，是否還有身兼公司上網出口? 並且同時開了AV/IPS等功能監控? 而且從架構圖及描述來看，問題發生當下是否台北到Azure都是正常，只有台中及台南透過台北端再上Azure才有問題？還是當下剩各點連接正常，但只有Azure VPN就斷了？如果是，我就會傾向是Fortigatg本身的問題 VPN本身就是一個蠻吃硬體的服務或許也有可能是那台70D乘載了過多服務及網路封包，導致與Azure VPN無法即時回應溝通導致連線不穩定至於為什麼跟其他各點正常，跟Azure VPN卻會異常斷，我會解讀為可能是Azure對於VPN的連接監測較為嚴苛建議可以嘗試用一台Windows Server對外做VPN Gateway，與現有Azure Gateway做連接測試，檢測是否還有相同異常斷線狀況或者就是用其他設備僅單純進行VPN連接測試這個步驟，至少有機會可以分出是不是原設備問題，如果仍然會斷線，就是朝線路方向檢測，再不行就是朝重建Azure VPN Gateway方向測試 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.128.109.88 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1491796871.A.34E.html ※ 編輯: AskaSu (123.51.167.88), 04/10/2017 13:16:51