こんにちは,
昨日の夜、私たちの中央のFortiGateユニット(ハブ)をFortiOS 7.0.13にパッチしました。数秒または数分後に、すべてのダイヤルアップVPNがダウンしたことを確認しました。
phase2-down
リモートのピアは依然としてFortiOS 7.0.12(スピーク)を実行しています。
時々、トンネル内にいくつかのパケット(例えばSLAリクエスト)を見かけます。VPNは一瞬だけ接続し、その後ほぼすぐに切断されるようです。
誰かこれらの間の互換性の問題を知っていますか?または最新リリースでのVPNの変更点はありますか?…
アップデート1: 一つのリモートサイトをFortiOSバージョン7.0.13に複数のスターリンクでアップデートしたところ、そのサイトのダイヤルアップVPNがすべてダウンしました…どこかにバグがあるようです…
アップデート2: 原因を見つけました。私たちのVPNの動的設定が正しくありませんでした(サーバー側に複数の動的VPNがありましたが、一つのリンクで十分です)。FortiOS 7.0.13はこれに対してあまり寛容でないようなので、それを修正し、正常に動作しています。そして、「set add-route disable」を追加しました。
私は過去1日で約10台のFortiGateをパッチしました、ただしスピーク側です。今のところ問題ありません。これからハブ側も含めて65台ほど行う予定です。すべてIPsecですが、4つを除いてダイヤルアップを使用しています。
私も同じ問題に直面しました。さまざまなリモートサイトのために複数のダイヤルアップトンネルがあります。「set add-route disable」を単純に追加しただけで問題は解決しましたか、それとも複数のダイヤルアップトンネルを持つことができませんでしたか?
set add-route disableを追加することで私たちも問題が解決しました。とにかくサポートに問い合わせているので、それがバグの可能性があります。素晴らしいサポート担当者を得ましたので、もし誰かこれに直面し、チケット番号を知りたい場合は教えてください。
このリンクのステップ2と3を行う必要がありました。
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Dialup-IPSEC-issues-after-upgrading-7-2-6-7-0-13/ta-p/283504
フェーズ1
set add-route disable
フェーズ2
set route-overlap allow
重複したSAを削除する方法はありませんでした。私は、遠隔端末がすべて10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16のSAを取得し、ipsecポリシーを使用してトンネルを制御する必要があります。
質問ですが、アップグレード前はVPNの再起動/切断対策はしていましたか?
この変更を適用し、機能しました(サブネットとして0.0.0.0/0を使用の場合)。しかし、ハブ側から見ると、冗長性のために複数のVPNを稼働させることは不可能でした。静的ルートとSD-WANルールの間の競合のためです。ルートベース対ポリシーベース。
そのため、私は設計を完全に見直しました。これはこの種の動的VPNにとって良くないものでした。SD-WANにBGP+ADVPNとECMPを導入し、はるかに良くなり、すべて正常に動作しています。これで、動的ルーティングとSD-WANルールを複数のStarlinkリンクとともに組み合わせることができました。
私の設定が必要なら教えます。
次のステップは、リモートサイト間のショートカットパスを実装/有効にすることです。