Xử lý sự cố (Troubleshoot) VPN Site to Site trên Firewall Fortigate

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi tranganhsao, 28/4/21.

  1. tranganhsao

    tranganhsao Member

    Bài viết sau sẽ hướng dẫn các bạn cách kiểm tra và khắc phục một số lỗi IPsec VPN site-to-site thường gặp trên Firewall Fortigate, mô hình thực hiện hình bên dưới.

    [​IMG]

    * Lỗi số 1: Preshare key miss match

    Các bạn vào màn hình Command line trên Fortigate ở Site chính và gõ các lệnh như bên dưới, lưu ý chọn tên tunnel là HQ-to-Branch (VPN tunnel trên site chính).

    [​IMG]

    Tiếp theo, vào IPsec monitor và Right click chọn Bring up, ta thấy trạng thái tunnel vẫn là Down.

    [​IMG]

    Các bạn trở lại màn hình command line nếu thấy có thông báo lỗi Probable pre-shared secret mismatch thì hiện tại chúng ta đang gặp lỗi preshare key không khớp nhau giữa 2 thiết bị Fortigate ở site chính và site chi nhánh.

    [​IMG]

    Để khắc phục, các bạn vào VPN >> IPsec >> Tunnels và chọn tunnel HQ-to-Branch, vào phần Authentication và sửa lại preshare key cho khớp với site chi nhánh.

    [​IMG]

    Các bạn trở lại phần IPsec monitor sẽ thấy status của VPN tunnel là Up, như vậy ta đã khắc phục được lỗi này.

    [​IMG]

    * Lỗi số 2: SA Proposal Error

    Tương tự như trên, các bạn vào màn hình command line và gõ các lệnh như bên dưới.

    [​IMG]

    Các bạn Right click và chọn Bring Up tunnel đang bị lỗi.

    [​IMG]

    Các bạn trở lại màn hình debug sẽ thấy lỗi như bên dưới

    [​IMG]

    Các bạn thực hiện debug lỗi tương tự cho site chi nhánh, lưu ý gõ tên tunnel là Branch-to-HQ (VPN tunnel trên site chi nhánh)

    [​IMG]

    Các bạn chọn Bring Up

    [​IMG]

    Và trở lại màn hình debug sẽ thấy lỗi như bên dưới

    [​IMG]

    Các bạn vào tunnel HQ-to-Branch ở site chính và chọn Convert to Custom Tunnel

    [​IMG]

    Các bạn xem phần Phase 1 Proposal và lưu ý các thông tin về mã hóa và chứng thực

    [​IMG]

    Tiếp theo, các bạn vào site chi nhánh và chỉnh lại phần Phase 1 Proposal cho khớp với thông tin ở site chính.

    [​IMG]

    Trở lại phần IPsec Monitor các bạn thấy Status của tunnel là Up thì việc debug đã thành công.

    [​IMG]

    * Lỗi số 3: Quick mode selector eror

    Các bạn gõ các lệnh debug vpn như hình dưới

    [​IMG]

    Vào Ipsec monitor và chọn Bring Up tunnel đang bị lỗi

    [​IMG]

    Trở lại màn hình debug, các bạn thấy thông báo lỗi như bên dưới thì hiện tại thiết bị đang gặp lỗi Quick mode selector.

    [​IMG]

    [​IMG]

    Để xử lý lỗi như trên, các bạn vào phần Phase 2 Selectors trên Fortigate ở site chính để kiểm tra và chỉnh lại Local Address và Remote Address.

    [​IMG]

    Các bạn tiếp tục kiểm tra Fortigate ở site chi nhánh và chỉnh sửa lại các thông tin cho đúng.

    [​IMG]

    Trở lại màn hình IPsec Monitor, các bạn chọn Bring Up tunnel

    [​IMG]

    Khi các bạn thấy status của tunnel là Up thì lỗi đã được khắc phục xong.

    [​IMG]

    Các bước kiểm tra và xử lý một số lỗi VPN site to site thường gặp trên Firewall Fortigate đã hoàn tất.

    Chúc các bạn thực hiện thành công!
     
    tranganhsao, 28/4/21
    #1

trang này