FortiGate-300C无法登录Web界面,SSL VPN无法使用

最近遇到了这样的一个非常蛋疼的问题,一个客户使用咱们的飞塔300C做ssl vpn,客户300C的版本为5.0.5.问题如下:
1、客户无法通过web的方式登录飞塔设备
2、客户的ssl vpn无法正常使用,但是ipsec vpn可以正常使用
3、客户设备通过命令行 execute reboot无法完成重启
关于第一个问题我通过命令行 dia sys kill来杀httpsd的进程的方式后依旧没法通过web的方式登录设备。正好这个问题赶在了“heart bleed”的时候。
最终通过升级来解决问题,将客户的版本升级为5.0.7.目前问题没有重现!不知道是不是这个出血的大心脏引起的0.0!
已邀请:
匿名用户

匿名用户

赞同来自: 蝈蝈

登录设备使用diag sys top命令发现miglogd进程CPU占用率很高。

FG300C3912603899 # dia sys top
Run Time: 2 days, 17 hours and 28 minutes
0U, 25S, 75I; 2020T, 1456F, 107KF
miglogd 53 D **93.6** 0.9
sslvpnd 90 R 1.8 1.0
httpsd 242 S 0.9 0.7
httpsd 280 S 0.9 0.7
...

------分析------
可能是以前开启硬盘日志功能,导致硬盘(这里是flash)读写故障。
目前还有问题,一定试图读取flash,因为读不到,而持续尝试导致CPU高。

建议选择生产任务空闲的时候,重新格式化flash,同时关闭硬盘记录流量日志功能。如果还有问题,走RMA流程。

------格式化flash和硬盘的方法------

1,备份配置文件
2,重启,格式化flash
3,重新烧录对应版本OS
4,exec formatlogdisk
5, 恢复配置文件
6,关闭traffic log
config log disk filter
set traffic disable
end

王涛 - 永不言败

赞同来自: bigpig

这个问题的分析过程和结果可以作为参考,来解决一些fortigate设备web管理界面无法打开,但telnet,ssh,console口可以正常登录问题多谢分享

蝈蝈 - 郭亦剑-上海明途

赞同来自:

现在都不太建议在FGT自带的硬盘上存储日志了(小型号可能会对设备性能上有些影响)

bigpig - 宋泽春

赞同来自:

有的时候客户对自己防火墙上需要放开的策略没有明确的规划,这个时候需要开启日志功能 通过日志的信息来对设备进行策略的增加修改, 有的时候也是被逼的啊

要回复问题请先登录注册