Vi har cirka 150 VPN-användare från hela världen (inklusive externa partner) som ansluter utan problem.
En extern användare från ett annat företag kan inte ansluta. (Den enda från det företaget som behöver tillgång).
Hans FortiVPN-klient visar: Kan inte upprätta VPN-anslutning. VPN-servern kan vara otillgänglig.
Jag är säker på att problemet inte är på vår sida. Men för den där 1% chansen frågar jag er:
Har ni någonsin varit med om en liknande situation? Vet ni vad som kan blockera tillgången?
Jag kan pinga gateways utan problem.
Tack.
Att pinga gateways säger inte mycket. Logga in på hans laptop och telnet till den port du använder för VPN, det finns en 68,2% chans att den inte är öppen.
Vad visar dina autentiserings- och VPN-loggar? Börja där, du bör få användbar information.
Du kan logga in i Fortigate CLI och felsöka SSL VPN med ‘diag debug app sslvpn -1’ och sedan aktivera felsökning med ‘diag debug en’. För en IPSec VPN kan du felsöka applikationerna ‘ike’ eller ‘diag vpn ike’ eller ‘diag vpn ipsec’. Konsultera Fortinet-dokumenten för mer information.
Detta gör att du kan se alla försök att ansluta till din VPN. Observera att med det antal användare du har kommer du att se MÅNGA meddelanden, så du vill filtrera, hänvisa till Fortinet-dokumenten för detta.
Här för veckans cvss 9.8-sårbarhetsskämt från Fortigate, men nöjd med 68,2%-skämtet om att porten inte är öppen istället.
Vad säger dina loggar? Ser du några inloggningsförsök från den användaren? Ser du någon trafik från den användarens offentliga IP? FortiClient-meddelandena är generellt ganska dåliga, förutom det där. Hur långt (vilket %) kommer klienten i inloggningsprocessen? Om det bara når 10% kan arbetsstationen inte nå VPN-gatewayen.
Några saker att prova:
- öppna en webbläsare och se om du kan bläddra till VPN-gatewayen. Du borde oftast få inloggningsskärmen i webbläge.
- Låt användaren prova en annan internetanslutning, som att använda telefonen som hotspot (se till att telefonen är frånkopplad wifi först). Om hotspot fungerar och wifi/fast anslutning inte gör det, har du hittat problemet.
Var beredd på dumma saker… Jag hade en klient för ett par veckor sedan som fick en ny Cox-gateway. Av någon anledning släppte den gatewayen bokstavligen varje annan TCP-port förutom den som de använder för SSL-VPN…
Pinging gateways säger inte mycket. Logga in på hans laptop och telnet till den port du använder för VPN, det finns en 68,2% chans att den inte är öppen
något slags inspektionsbrandvägg i mitten som blockerar VPN-applikationer över 443.
Nu nu, det var bara en 9,2.
Det når 10% och felmeddelandet poppar upp. Resten får jag se imorgon.
Ping framgång men misslyckas vid 10% betyder att detta är ett lager 4-problem - att porten/applikationen blockeras någonstans mellan FortiClient och brandväggen.
:ändring:
Åh! Jag glömde nästan för jag har sett detta några gånger också…
Se till att det inte finns någon annan VPN-applikation som körs (nordvpn, PIA, Norton etc). Många hemmagjorda anti-malware-paket & aktiverar skräp-VPN-lösningar med deras produkter nu och vi har haft detta som orsakat problem en eller två gånger.