Fortigate 100D VNC 策略问题。

服务器上VNC服务都是正常的。
在内网VNC直接连服务器内网IP没任何问题。
或者连服务器另外一条线路IP也是正常的。
唯独连Fortigate作为网关的这个IP就连不上。
显示 Too many security failures

BaiduShurufa_2015-11-19_10-24-49.jpg

Telnet 服务器外网IP 5900端口出现以下提示:

BaiduShurufa_2015-11-19_10-26-47.jpg

服务器的策略如下:

BaiduShurufa_2015-11-19_10-28-3.jpg

 服务器提供smtp pop3 ping 等服务。唯独就VNC连不上。
Fortigate并生成以下日志:

BaiduShurufa_2015-11-19_10-19-0.jpg

发送和接受数据都是固定值。 动作是close
 
期待高手解答
谢谢!
已邀请:

kmliu - Fortinet-TAC

赞同来自: zhoucan bigpig

原因分析:
"too many security failures" 是由于VNC客户端连续5次错误的用户名和密码尝试,导致VNC服务器将该访问的IP加入到黑名单,并提示“too many security failures”。
与FortiGate的策略配置并无关联。相关的策略配置建议:不要在内网接口处开启Snat,防止所有用户访问VNC服务器都共享一个IP,这样很容易产生上述的情况。
 
解决办法:
办法1、勿在短时间内重新连接VNC Server,否则黑名单时间会翻倍,需等待黑名单解除后再次连接。
办法2、最直接简单的办法,重启VNC服务进程。
办法3、换个思路,更换VNC客户端的IP地址。
 
以上3种办法要成功登录都必须满足“使用正确的密码进行连接”。
 
参考文档:
VNC官网support Knowledge base: Error Messages,链接如下:https://support.realvnc.com/kn ... lures
aaa.png

 
日志记录结果为close,应该不是说FGT将会话close了,而是服务器FIN掉了会话,因此FGT会如此记录日志,说明会话已中断。

zhoucan - 一个老IT男

赞同来自:

感谢。
QQ图片20151120114114.png

问题找到了。
就是从外到内的策略开了NAT转换开关。
所有的人连VNC IP都是网关的IP。

要回复问题请先登录注册