300c与40c的 ipsec vpn 经常无故自动断开,而且短时间内手动连接不上??


TIM截图20171230221255.png

各位大佬们好,玩转飞塔设备不久,有问题如下,如果知道解决办法的话,希望可以帮我回答一下,谢谢
问题如下:
总部300c(版本v5.0,build0318)的飞塔、分布40c(版本v5.2.12,build760)的飞塔,两边做了ipsec vpn,总部是固定ip,分部是adsl(已经用飞塔自带ddns做了绑定),这条vpn极度不稳定,经常用一两天莫名其妙自动断开,然后不管我怎么点击重新启动vpn都启动不了,需等个一两小时或者更长时间,然后再次连接即可连上,检查日志文件显示是阶段一失败,详细如图。



300.png


301.png


40.png


41.png


42.png


43.png

 
已邀请:

weihunter - 90啊啊啊

赞同来自:

有大神可以帮我解答一下吗?这个问题困扰了好久。

kmliu - Fortinet-TAC

赞同来自:

双方的设备的软件版本是多少?

kmliu - Fortinet-TAC

赞同来自:

已看到版本

总部300c(版本v5.0,build0318)的飞塔、分布40c(版本v5.2.12,build760)


断开的原因有没有可能是域名解析出来的地址不一致?

PPPOE更换了IP地址

分支40C使用新的IP地址发起IPsec 连接请求

但是总部300C的域名还是记录的老的IP,因此连接不会成功

故障的时候,抓包或看日志确认一下情况。

如果情况属实:
1.DPD开启定期发送
2.把总部防火墙的域名TTL时间缩短为60s
FG # config system dns
FG (dns) # set  dns-cache-ttl 60
FG (dns) # end

最好的解决办法应该是:
总部的防火墙使用拨号方式的VPN接入
分布的防火墙使用静态IP方式的VPN

这个办法可以解决动态DDNS解析的非对称现象

kmliu - Fortinet-TAC

赞同来自:

@weihunter:最好不要用”我觉的”来做判断吧,断开的时候去确认一下具体情况,截图的那个日志我不清楚当时各个设备的公网IP都多少,ddns的IP多少,做不了什么判断。
另外我说的不是策略模式的IPsec VPN,是动态的IPsec VPN,HUB AND SPOKE方式的部署。

要回复问题请先登录注册