Jei naudojate Fortigate ugniasienes ir turite nutolusių VPN vartotojų, kurie prisijungia per mobilujį tinklą į vidinius tinklus, o kartais to padaryti nepavyksta. Kad išsiaiskinti prisijungimo problemas pradedame nuo diagnostikos.
Peržiūrime, kokie aktyvūs/neaktyvūs IPSEC tuneliai yra vietoje.
get vpn ipsec tunnel summary
'VPN_USER_0' 188.69.194.63:4500 selectors(total,up): 1/1 rx(pkt,err): 0/0 tx(pkt,err): 0/0
'VPN_USER_1' 188.69.194.184:4500 selectors(total,up): 1/1 rx(pkt,err): 2171/0 tx(pkt,err): 1722/2
Matome, kad šiam vartotojui yra sukurti du IPSEC tuneliai ir vienas iš jų yra neaktyvus. Pagal pradinę konfigūraciją šiam vartotojui yra priskirtas tik vienas vidinis IP adresas ir galimas tik vienas VPN tunelis. Kada vartotojas neatsijungia „tvarkingai” FortiOS palieka neaktyvus IPSEC tunelis ir dėl jo naujo tunelio sukūrimas yra negalimas. Todėl vartotojams nepavyksta prisijungti. Kad panaikinti šiuos visus neaktyvius tunelius galima naudojant komanda:
diagnose vpn tunnel flush
Taip pat galima panaikinti ir specifinį:
diagnose vpn tunnel flush 'VPN_USER_0'
Tačiau yra kita galimybė – nustatytį laiką, per kiek laiko neatkyvūs IPSEC tuneliai būtų panaikinti. Šiuos laikus galima aprašyti kiekvienam VPN tuneliui atskirai. Aprašysime VPN prisijungiui VPN_USER, kad po 10 minučių neaktyvus tunelis būtų sunaikintas.
config vpn ipsec phase1-interface
edit VPN_USER
set idle-timeout enable
set idle-timeoutinterval 10
end
end
