VPN

到了下午17点,两个点公网IP互相Ping不掉包,ipsec vpn跑起来,相互ping内网ip一定掉包丢包率20以上

到了下午17点,两个点公网IP互相Ping不掉包,ipsec vpn跑起来,相互ping内网ip一定掉包丢包率20以上。
公网ip相互ping,说明网络状态良好。但是ipsec vpn起来,就异常了,无论怎么修改加密方式,还是证书加密,都没有办法缓解,公司系统都无法正常使用。
 
fortigate可有什么好办法? 有的防火墙支持 ssl vpn site  to site,这样可以自行变更端口避免干扰。
 
Ipsec VPN ,foritgate支持端口变更吗?
已邀请:

kmliu - Fortinet-TAC

赞同来自: jhhuang

1.是否是移动运营商网络
2. 故障时刻是否有抓包确认,报文走向了何处,比如Ping包是否进入了IPsec VPN隧道里面,还是走了WAN1。可以通过以下抓包确认
# diagnose sniffer packet any "host 192.168.1.100 and icmp" 4

3.确认ESP报文是否在互联网上传输正常,正常应该有IN有OUT
# diagnose sniffer packet any "host X.X.X.X(对方公网IP) and esp 4

确认情况之后,可以根据具体情况给出解决方法。

王强

赞同来自: jhhuang

感谢康明的回复。请jhhuang跟进处理,确定问题先。
谢谢!

jhhuang - 80IT

赞同来自:

好的,感谢楼上的回复。我有机会测试后再反馈

jhhuang - 80IT

赞同来自:

谢谢您的回复,
1、一端在台湾,一端是移动线路,但是台湾这个点连接的大陆2个移动线路,只有一条有这个异常。

2、FG<->FG 如果是ping wan IP,相互都非常稳定,100个ping包,100%正常。
分别对wan ping,还有对 内网ip ping 都抓包测试了,异常发生时,丢包率10%-20%。

3、VPN 联通后,只有在下班17:00之后才出现异常。其他时间断都很正常。
ESP抓包正常,有in 有 out,vpn也一直是联通状态。 不掉线
 
也就说,wan to wan 是不会丢包的,很稳定,无论什么时间断。 而一旦走Ipsec vpn,到了下午17:00之后,ping 就会丢包10-20%多。 此时,wan to wan, ping还是很稳定,不会丢包。 感觉像是vpn被 某某G F W干扰了

kmliu - Fortinet-TAC

赞同来自:

IPsec VPN 文档自行参考一下
http://wen.fortinet.com.cn/article/489

要回复问题请先登录注册