IPsec VPN 為何在同一秒會UP/Down

▲一、環境說明
總部:兩部FortiGate 100E v5.6.11 做HA (Active-Passive), ▲WAN1:Static IP
外點:WoMaster WR-312R ,▲WAN:LTE-4G
 
FortiGate 上建立DailUP IPsecVPN,讓WoMaster撥上後,與總部建立IPsecVPN Tunnel
 -----------------------------------
▲二、FortiGate 100E上,DailUP IPsecVPN設定如下:
config vpn ipsec phase1-interface
    edit "4G_10.1.7.0"
        set type dynamic
        set interface "wan1"
        set mode aggressive
        set peertype one
        set proposal aes256-sha1
        set dhgrp 2
        set nattraversal forced
        set peerid "ID10.1.7.0"
        set psksecret ENC K68cQ71K6H5DW/kxGJZA==
    next
end
config vpn ipsec phase2-interface
    edit "4G_10.1.7.0_P2"
        set phase1name "4G_10.1.7.0"
        set proposal aes256-sha1
        set dhgrp 2
        set src-subnet 192.168.199.0 255.255.255.0
        set dst-subnet 10.1.7.0 255.255.255.0
    next
end
-----------------------------------
▲三、問題點:
目前在FortiGate 100E上「日誌與報表」→「系統事件」會發現建立的Tunnel在『同一秒』會斷線再連線。
但是在「日誌與報表」→「VPN事件」那看不出詳細為什麼會斷線或連線
  
※我後來,再Console中,下diagnose debug application ike 255→diagnose debug enable
有觀察到好像是關鍵的訊息!
ike 0:4G_10.1.7.0_0: twin connections detected
※完整的Deug訊息,請參閱附件PuttyDebug.rar

 
可以麻煩大大解惑、指點迷津一下,感謝。
 
感謝各位!
01.png 02.png 03.png 04.png
已邀请:

kmliu - Fortinet-TAC

赞同来自: jimmyhiyawu

问题很明显:
ike 0:4G_10.1.7.0:74908: remote port change 58404 -> 58373
ike 0:4G_10.1.7.0: adding new dynamic tunnel for 23.45.67.89:58373
ike 0:4G_10.1.7.0_0: added new dynamic tunnel for 23.45.67.89:58373
ike 0:4G_10.1.7.0_0:74908: established IKE SA 9e4f22fffd2fa860/7826563b93658052
ike 0:4G_10.1.7.0_0: twin connections detected
ike 0:4G_10.1.7.0_1: deleting
ike 0:4G_10.1.7.0_1: flushing 
 
运营商的那个的NAT设备,NAT会话发送了变化,因此公网IP的SNAT 端口从58373端口变成了58404端口,因此总部的FGT会检测到另外一条冲突的VPN连接,因此会将旧的连接中断,以便新的连接进行建立。
 
NAT会话发送变化,分支的FGT可以做的事情就是,一直发送探测报文,让运营商的设备NAT会话持续的保持不变,这样可以避免问题,一般运营商的NAT设备如果是防火墙则问题不大。
 
可以优化的配置:
在分支防火墙敲:
config vpn ipsec phase1-interface
    edit "TO_HUB"
        set interface "port1"
        set dpd on-idle    // 定期发送DPD报文
        set keepalive 15  //定期发送keepalive报文(让NAT会话保持的)
    next
end
 
一般UDP的NAT会话 120秒或180秒超时更新,只要一直发送探测报文,理论上运营商NAT设备的UDP会话会一直保持。
 
如果运营商的NAT设备NAT会话保持机制是正常的逻辑,则一般不会出现问题。

jimmyhiyawu

赞同来自:

感謝大大的回覆,受教了。
 
感謝您!

要回复问题请先登录注册