hardstyles
Goto Top

Fortigate VPN Debug log

Hallo zusammen,
ich steh anscheint auf dem schlauch, was der Fortinet Support von mir möchte. Er schreibt ich soll die CLI befehle absetzten.
melde mich also an der Fortigate an, webclient oder Seriel führe die befehle aus. lade die logs hoch aber es waren die Falschen face-sad


Die Fehler Beschreibung ist das sich nicht 2 Personen vom gleichen Gateway ins VPN netz einwählen können.
Auswirkung
Person1 5.1.1.1 wählt sich ins VPN ein. Erfolgreich
Person2 gleiche ip 5.1.1.1 wählt sich ein, Person1 fliegt raus oder Person2 kommt gar nicht erst rein.

Fortinet Support Antwort
Please run the following debug flow:
diag vpn ike log-filter clear
diag debug console timestamp en
diag debug app ike -1
diag vpn ike log-filter name <phase1 name>
diag debug enable
Connect the first user and after connect the second one in order to catch the behavior.
I am suspecting that might be a problem with the NATing device and what are you experiencing is actually an expected behavior.
Please attach the debug flow for further troubleshooting.

Hab das ausgeführt und dann auch nach und nach die VPN Benutzer verbunden.
Gibt es irgend wo eine Extra Log für den debugfile ?

Content-Key: 493720

Url: https://administrator.de/contentid/493720

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: aqui
Lösung aqui 11.09.2019 aktualisiert um 09:39:19 Uhr
Goto Top
Leider schreibst du nicht welches VPN Protokoll verwendet wird. Vermutlich aber GRE oder IPsec. Beiden ist gemein das sie jeweils ein Session loses Prokoll für den eigentlichen Tunnel nutzen. GRE (Generic Route Encapsulation, IP Protokoll 47) oder bei IPsec ESP (Encapsulation Security Payload, IP Protokoll 50)
Billige NAT Router wie sie vermutlich bei dir auf der Client Seite zum Einsatz kommen haben meist dann kein ALG in deren Firewall an Bord die diese VPN Tunnelprotokolle pro User trackt um einem Mehrfach VPN Client Betrieb zu supporten.
Das ist leider nicht ungewöhnlich z.B. bei den billigen Schrottroutern die man von Providern bekommt.
Das Fortinet TAC hat also schon ganz recht in der Vermutung der Ursache im NAT Router. Alle Symptome sprechen stark dafür.
Diese Billig Schrottrouter können immer nur eine einzige GRE oder ESP Session outbound im NAT halten. Alle weiteren werden geblockt weil sie sie nicht mehr multiplen VPN Clients zuordnen können. First come, first serve heisst da die Devise in der Firmware.
Nach Abbruch der Tunnel Session oder Schliessen der VPN Verbindung bleibt diese noch eine Zeitlang im Cache so das keine weiteren User VPNs nutzen können. Erst nach einem Timeout des Caches funktioniert es dann wieder.
Ein typisches Verhalten und Firmware bedingt bei billigen Systemen !

Lösen kannst du das letztlich nur durch neue und bessere Router Hardware am Client Standort. Ggf. hilft auch ein Firmware Update sollte die Router Firmware nicht aktuell sein.
Die Chancen das es nur mit einem Firmware Update gefixt wird sind aber mehr als gering, denn bei solchen billigen Schrottsystemen wird in der Regel niemals mehr eine neue Funktion eingeführt oder verbessert.
Sowas darf den, der sie meistens im Rahmen von Verträgen weiterreicht, natürlich nichts mehr kosten. Die sind einzig nur an langfristigen Vertragsbindungen interessiert, niemals Kunden mit guter Hardware zu beliefern.
Mitglied: Hardstyles
Hardstyles 11.09.2019 um 09:25:20 Uhr
Goto Top
Vielen dank für deine Antwort.
Ipsec ist in benutzung

Ich hab jetzt noch mal den ein Test gemacht und die logfiles hochgeladen in Support mal sehen was die sagen.
Mitglied: Hardstyles
Hardstyles 11.09.2019 um 09:41:34 Uhr
Goto Top
sie haben auf client seite eine Fritz Box Fon WLAN 7490 in ihrem Büro
Mitglied: aqui
aqui 11.09.2019 um 09:50:44 Uhr
Goto Top
Mmmhhh...die sollte eigentlich damit umgehen können ?! Ist das eine originale oder hat die eine gebrandete Firmware eines Providers, ist also eine Vertrags Dreingabe ?
Das Sinnvollste ist dann dort mal die Packet Capture Funktion der FB zu nutzen:
https://www.schieb.de/706106/fritzbox-packet-sniffer-die-versteckte-schn ...
und mal den ESP Traffic beider User mitzuschneiden um zu sehen was damit genau passiert nach dem NAT Prozess der FritzBox.
Das würde sicher auch dem Fortigate TAC sehr helfen.