Sedan vi bytte till Forti har Forticlient-VPN alltid varit skakig, men det har blivit mycket oregelbundenare med tiden. Nyligen har vi sett en ökning av rapporterade problem, och en trend har börjat visa att det är personer på vissa ISP:er, särskilt Comcast, jämfört med andra ISP:er. När vi började undersöka mer kring leverantörssidan blev det tydligt att Comcast var 90 % av problemanvändarna ISP. Flera steg har tagits för att försöka förbättra situationen, inklusive att sätta preserve interface, prova DLTS (som var en mindre katastrof), justera vissa inställningar, men hittills har lite hjälpt.
Har någon stött på problem med vissa ISP:er och har tips på hur man kan förbättra stabiliteten?
Även, är det möjligt att ändra den tid det tar för Forticlient att stänga anslutningarna när problem uppstår?
För länge sedan hade vi problem med AnyConnect-användare på vissa ISP:er att lösa DNS när de var anslutna till VPN tills vi inaktiverade ipv6 på slutanvändarsidan; det kan vara värt att testa om du ser något liknande.
Använder du IPSec eller SSL-VPN? Om du använder IPSec, prova att byta till SSL-VPN eftersom det använder vanlig TLS för att kryptera trafiken. Om din tunnel använder IPSec och den är bakom en NAT, kan den försöka använda port 4500 som vissa ISP:er blockerar. Du kan också prova att inaktivera NAT-transversal (gör bara detta om din FortiGate inte är bakom en NAT). Annars tror jag att du måste gå djupare in i felsökningen med Comcast:s hjälp eftersom det är ett problem som särskilt uppstår med denna ISP.
Vi hade problem med vissa FortiClient-användare som inte kunde ansluta via deras hem-ISP men kunde ansluta fint via andra nätverk. Det var mest Lumen Quantum Fiber och Verizon FIOS-användare.
De nådde 98 %, så vi visste att autentiseringen var bra. Det skulle ansluta och sedan direkt koppla bort. Man såg aldrig en tilldelad IP från gatewayen.
Kort sagt, DTLS var problemet. Jag skapade en grupp i EMS som inte hade kryssrutan “föredra DTLS-lyckatunnel” och placerade de drabbade enheterna i den gruppen.
Comcasts DNS-servrar är ganska skakiga och illaluktande, i tidigare jobb stötte vi på problem ett par gånger när de blev extra skakiga och de är misstänksamma. Problemet är att trots mängden information i diaglogs säger de bara ‘misslyckades med att matcha regel’ och inte mer.
Tråkigt nog använder jag SSL VPN, börjar undersöka en testversion av IPSec VPN för några användare för att se om det blir bättre. Vi har försökt många av de föreslagna sätten att förbättra SSL, men hittills har det inte hjälpt mycket.
När det gäller hjälp är de flesta av mina huvudlinjer inte hos dem, och detta gäller främst användarens sida. Jag förstår fullt ut ‘de är de enda’ eller ‘bästa jag kan få där jag bor’, men användare med andra ISP-alternativ eller lokala kooperativ har mycket färre problem jämfört med de på Comcast (det är en 12:1 ratio).
Mycket intressant. Jag är också FIOS-användare och vi har DTLS aktiverat. Jag ska prova att stänga av det för att se om jag får bättre resultat. Jag ser exakt samma beteende som du beskrev. Kommer till 98 %, och sedan tas jag direkt tillbaka till inloggningsskärmen och måste börja om från början.
