SSL VPN配置和故障排除手册

一、目的

文档列出了在 FortiGate SSL VPN的配置和Windows 平台下 SSL VPN tunnel 模式下的一些排错步骤。通常用户会遇到 SSL VPN客户端的连接状态停留在 40%、98%、无法登陆、登陆掉线，或者登陆 web potal，使用 tunnel 插件链接 SSL VPN 但没有任何相应。

二、FortiGate SSL VPN配置

创建一个用户，可以将其加入用户组

SSL VPN配置

策略配置

三、SSL VPN验证

FortiClient配置

连接SSL VPN，弹出证书提示，选“是”，证书是镶嵌在FortiGate中的默认证书

拨入SSL VPN成功。

四、SSL VPN故障排查思路

 首先确定是 FortiGate 设备问题还是客户端的问题。
1. 确定连接问题是否涉及所有的 SSL VPN 客户端，如果所有的客户端连接都有问题，问题可能在 FortiGate 。
2. 尝试与不同的 FortiGate 建立 SSL VPN tunnel，如果可以和另外的 FortiGate 建立SSL VPN tunnel 连接，可能是 FortiGate 的网络或者是配置问题。
3. 建议检查一下 FortiGate 的网络链路状态，确定 FortiGate 上的 SSL VPN 监听端口可以正常收到数据包，通过在防火墙上抓包确认 diag sniffer packet any "host x.x.x.x and tcp " 4
4. FortiGate 可以收到数据包，通过 diag debug application sslvpn -1 收集命令行输出信息，方便 Fortinet 工程师或者IT管理人员进行故障排除。

五、故障排除方法

5.1、检查是否与其他软件冲突

 确定连接问题是否在客户端这一侧，问题是否只出现在某些 Windows 平台上(如 xp，win7，win8，win10)，或者只涉及某些特定的网络用户（如内网用户，wifi 用户，远程办公用户），收集这些信息会帮助提供线索，确定什么导致了链接的问题。也可以在 windows 平台上使用“msinfo32.exe”收集用户在 PC 上安装了哪些程序，有时第三方软件可能会与 SSL VPN 客户端有冲突。

使用FortiClient来连接 SSL VPN 的话,运行安装目录下的排错工具FortiClient_Diagnostic_Tool.exe 可以收集到类似的信息。
FortiClient默认安装路径C:\Program Files\Fortinet\FortiClient

FortiClient_Diagnostic_Tool.exe打开后界面如下：
点击Run Tool开始。

按提示进行信息收集。

任务完成后会创建导出文件，通过导出文件进行排错。

5.2、检查window系统的服务是否正常

检查一下 windows 系统是否支持 SSL VPN 驱动的运行，SSL VPN 驱动是一个虚拟 PPP 网卡，检查以下两项 windows 服务。
1.在 windows 服务中确定 Telephony (TapiSrv)服务开启并运行。

2. 设备管理器查看并显示隐藏的设备，检查 WAN Miniport 开启并运行。

5.3、检查 SSL VPN 的驱动是否正常安装

1. 检查设备管理器网络适配器中，PPPoP WAN Adapter 开启并正常运行。

2. 在控制面板\所有控制面板项\网络连接中，确定拨号连接 fortissl 已被创建。

右键打开属性，连接时使用的设备应为 PPPoP WAN Adapter，电话号码框中的号码不是空的，默认电话号码为1。

5.4、window收集PPP日志

收集 PPP 跟踪日志：可以开启 windows PPP tracing，日志中会显示windows 系统中拨号组件（PPP）的错误信息，确定问题是否是 PPP 网卡和 TCP/IP 协议绑定的问题。需要将 cmd 提升至管理员权限，并输入以下命令开启 PPP tracing。
netsh
ras
set tracing * enabled
exit

注意：一定要使用管理员身份运行cmd，直接运行cmd会报错。
在 cmd 中输入以上命令后，重连一下 SSL VPN，PPP tracing 日志会被创建在c:\windows\tracing.一个普遍的错误会显示在 PPP.log 中。
"Will not initialize CP 8021"
这个错误说明 PPP 网卡和 TCP/IP 协议绑定有问题，可以通过微软的建议修复该问题。
RAS error 720 when establishing modem connection
（建立调制解调器连接时出现RAS错误720）

5.5、使用新版本FortiClient

尝试使用新版本软件，FortiGate 的发布说明中会标明各个操作系统支持的 SSL VPN 版本，更新到系统适配的客户端版本，有些问题会在新版本中修复。

六、FortiGate配置正常，客户端拨入错误

6.1、配置正常，但Win 7或8拨入不成功

在FortiOS v5.4.x中，tlsv1-0默认设置为禁用。
SSL VPN配置正常，但是Windows 7或8拨入不成功。
将slsv1-0设置为在ssl vpn设置中启用：
config vpn ssl settings
set tlsv1-0 enable
end

6.2、无法建立VPN连接，VPN服务器可能无法访问（-5）错误

错误消息“无法连接到VPN。VPN服务器可能不可用（-5）”。当使用Windows 7或Windows XP尝试连接到SSL VPN时可能会出现这种情况。
在固件中，默认情况下禁用协议SSLv3和TLSv1。 Windows 7和Windows XP都使用这些协议通过VPN SSL进行协商和连接。
将slsv1-0和sslv3设置为在ssl vpn设置中启用：
config vpn ssl setting
set sslv3 enable
set tlsv1-0 enable
end
SSL VPN连接尝试停止状态为40％的可能解决方案，并显示警告消息“无法建立VPN连接，VPN服务器可能无法访问。（-5）”。

解决方法：
检查IE浏览器的Internet选项>高级。将TLS1.1和TLS 1.2已设置为启用，即可解决此问题。

6.3、无法登录到服务器。可能无法正确配置此连接的用户名或密码。（-12）

必须启用Cookie接受才能使SSL VPN在Web门户或FortiClient SSL客户端中运行。
如果Internet Explorer with privacy（Internet Option）设置为High，则访问Web门户或隧道将失败，在这种情况下，它将：
阻止没有紧凑隐私政策的cookie。
在未经您明确同意的情况下阻止使用个人身份信息的Cookie。
或者如果Firefox隐私未启用这些参数：“接受来自网站的cookie”和“接受第三方cookie”
问题将是：
尝试使用FortiClient SSL VPN（独立）进行连接时出现以下错误消息“无法登录到服务器。可能无法正确配置此连接的用户名或密码。（-12）”将返回。
尝试登录Web门户时，将输入登录名和密码，并将返回登录页面。
解决方法：
在Web浏览器上启用cookie接受以允许SSL VPN。
使Web门户页面成为Internet选件 - 安全性中的可信站点。

6.4、SSL退出失败

从FortiOS 4.0开始，SSL VPN可以配置为一次将用户限制为一个活动的SSL VPN连接。
范围
FortiOS 4.0及以上版本
如果用户在会话已经打开时尝试使用相同的用户名进行两次登录，FortiGate会询问用户是否要关闭其他连接，并显示以下消息：
该日志将显示用户在第二次连接尝试时遇到“SSL退出失败”。

解决方法
config vpn ssl web portal
edit <portal_name>
set limit-user-logins enable
end

6.5、电脑使用4G无线上网卡连接到VPN，无法访问VPN网络

电脑使用4G无线上网卡连接到VPN的问题
问题：连接到VPN时，Network Sentry不允许访问VPN网络。
如果电脑的唯一启用的接口是蜂窝适配器，则会发生此行为。
解决方法：除了4G无线上网卡适配器之外，还要启用wifi或以太网适配器（不需要连接）。

6.6、拨入VPN正常，但是会无故掉线

电脑拨入SSL VPN无故掉线
问题：电脑拨入SSL VPN正常，访问VPN也正常，但是会无故掉线
如果FortiGate启用了SD WAN功能，在FortiGate的SD WAN功能检测到链路出现故障、或者是链路质量差，会自动切换到另一台链路质量好的上面，就会导致FortiClient拨入的SSL VPN掉线。

七、启动电脑的同时拨入SSL VPN

在某些情况下，可能需要在电脑启动时以及在用户执行登录Windows之前启动VPN连接。
要启用此功能：
1.打开FortiClient控制台。
2.转到设置> VPN选项。
3.选择“登录前启用VPN”
4.每次重启系统时，FortiClient都会建立VPN隧道。
登录Windows时，FortiClient将同时进行SSL VPN登录。

八、常见错误

1. 在AD域环境中某些PC(或IT预先配置的PC)可能有RAS / PPP和telephony服务被禁用。
2. 有一些第三方 VPN/防火墙软件会破坏 PPP 与 TCP/IP 的绑定关系，卸载这些软件可能有好转并恢复配置。

分享到：微信 QQ好友新浪微博 QQ空间腾讯微博人人网