Guide för felsökning av SSL VPN-problem

donutspro · June 11, 2025, 10:24pm

Hej allihopa,

Jag har en kund som har ett problem med en specifik applikation när de når den via SSL VPN. Problemet är intermittenta.

Fortigate: 1800F, version 7.2.5
Forticlient EMS: 7.2.0
FortiClient: 7.2.0

Interna användare (kontorsanvändare) kan ansluta till applikationen utmärkt, inga problem alls. Endast SSL VPN-användare har problem när de ansluter, nästan varje användare (ca 15 personer) har problem med att ansluta till den applikationen.

Så när SSL VPN-användare försöker ansluta till applikationen kan de inte få tillgång till den minst 2-3 gånger per dag, eller så tar det väldigt lång tid att ansluta. På grund av restriktioner och säkerhetsåtgärder kan jag inte nämna vilken applikation det gäller.

Men min fråga är mer, vilken sorts felsökning kan jag följa utöver dessa länkar: https://docs.fortinet.com/document/fortigate/7.2.5/administration-guide/993282 https://docs.fortinet.com/document/fortigate/7.2.5/administration-guide/502390

Kort sagt handlar det mer om att dessa länkar verkar fokusera på problem där användare har problem att ansluta till SSL VPN snarare än att felsöka användare som får tillgång till olika program/tjänster via SSL VPN. Finns det några andra felsökningsguider jag kan följa? Jag har försökt hitta olika dokumentationer men har inte hittat några. Återigen, att ansluta till SSL VPN är perfekt, problemet uppstår när de försöker få tillgång till en specifik applikation.

Tacksam för hjälpen.

HappyVlane · June 11, 2025, 10:24pm

Flera saker:

Kan applikationen hantera högre latensanslutningar? Det är inte första gången en applikation är dåligt skriven och inte fungerar bra över VPN.
Hur ser din VPN-policy ut? Har du testat att ta bort alla inspektionsformer?
Eftersom nästan alla har dessa problem kan Wireshark vara en bra lösning för att se paketflödet.
Det är inte nödvändigtvis en lösning, men har du försökt att ansluta till applikationen via en IPsec-anslutning för att kunna spärra problemet till SSL-VPN?

UserReeducationTool · June 11, 2025, 10:24pm

Först och främst, baserat på personlig erfarenhet, skulle jag uppgradera till FortiClient 7.2.1 eller (om möjligt) 7.0.7. 7.2.0 var mycket buggigt för oss i tester med många märkliga problem.

Annars, med din “mystiska applikation”, vad visar loggar, flödesavläsningar och paketcapturer? Börja där. Det viktigaste för Fortigate-specifika är hur man gör ett ‘debug flow’ eftersom det visar paketvägar och intern logik på Fortigate-sidan, resten är standardnätverksfelsökning.

Lynkeus · June 11, 2025, 10:24pm

Utan felsökning är det svårt att säga. Kanske en UTM-egenskap är tillämpad och släpper paketet, eller en specifik port används och inte är tillåten. Vi vet också inte om intern trafik är routad från brandväggen eller inte.