我有一台 FortiGate 60E,我成功地用它创建了到 Azure 虚拟网络的 VPN(请参阅这里)。它有6.0.4固件。
最近,我将 Fortigate 固件更新至 6.2.0,VPN 正常运行,但几天后,它开始无法路由任何内容。VPN 在两端仍处于运行状态,但我看不到任何内容。重新启动 Fortigate 没有任何效果。
因此,我删除了 Azure 上的所有 VPN 对象,并从头开始重新创建了所有内容。它又恢复了运行……但只运行了一段时间。
因此,我决定将 Fortigate 降级到 6.0.5(几天前发布),而不对 Azure 进行任何更改。它又可以正常工作了……大约 15 个小时。现在它坏了。
我会尝试再次降级到 6.0.4,但我开始认为可能不是这样。当我在 Azure 中重做一切时,它又恢复了。第二次我在 Azure 中什么也没做,它又恢复了。所以我开始认为是 Fortigate 方面出了问题,它启动了 VPN,但后来搞砸了。
在另一台较旧的 Fortigate 上,我有完全相同的设置(但固件为 5.6.8),并且它已经完美运行了数周。
- 编辑 -
经过进一步检查,我查看了日志并发现了一个死对等检测错误:
之前的 tunnel_stats 事件显示发送和接收的字节(双向),但 dpd_failure 之后的所有 tunnel_stats 事件仅显示发送的字节,而接收的字节始终为零。
-- 结束编辑 --
-- 编辑 2 --
昨晚我降级到 6.0.4,但 VPN 没有恢复。
我仔细查看了日志,发现每天都会在同一时间(上午 11 点后)出现相同的 DPD 错误。碰巧的是,昨天的 DPD 错误彻底关闭了隧道。
-- 结束编辑 2 --
欢迎任何想法!
答案1
在Azure端,您部署的是Policy based gateway还是Route based gateway?
以下是 Azure VPN 网关配置的参数列表:https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices#ipsec
请检查并尝试将其与本地设备匹配。
问候,Msrini