[硬體資訊] 1. Fortigate 70D [軟or韌體版本資訊] v5.2.8,build727 [問題描述] 請問板友是否有遇過跟Azure架設S2S VPN總是不定時斷線的問題？小弟已經被此問題困擾 已久，Call過微軟與SI廠商都無法解決此問題。 小弟的公司有三個點，各點之間透過VPN聯繫，台中與台南透過台北與Azure的主機連線 架構圖: http://i.imgur.com/BZm5IAq.png 各點之間的VPN連線都沒有問題，問題就出在台中或台南點，常常不定時斷線， （台北較無問題） 我看log斷線的時間不一定，且出現的訊息不太會解讀，似乎是VPN建立連線過時就有問題 http://i.imgur.com/8QpDdf8.png 我檢查過Azure與Fortigate的VPN設定（都是按照原廠建議設定），也發了Ticket給微軟，微軟 檢查設定也是正常，可能要進一步封包才能確認問題，但蒐集封包有其他條件限制， 所以暫時無法執行。 找SI廠商來，看過設定也說沒什麼問題，應該是微軟端的問題，如果要測試也可能會 多次斷線，會影響公司系統運作（營運無法停機） 故現在暫時解決的辦法是，只要公司回報一斷線無法走VPN連Azure VM，我就必須立刻將 Fortigate VPN在Phase 2的「Enable Replay Detection」選項勾選或取消 （不管維持勾選與否都會不定時斷線） 然後ping連線都立即恢復正常了，只是過了一段時間（無特定週期）就可能又再度斷線 然後繼續重複以上動作解決，無法徹底根治。 因此了小弟發文想請教板友，是否有使用過Fortigate連Azure有出現過類似問題？ 經過多次反覆又無法擅自更動設定測試的情況下，小弟暫時想出以下方法： 1. 修改SA KeyLifetime值 並非「Enable Relay....」選項問題，而是Forti與Azure之間的SA Lifetime值問題 SA time似乎是VPN二端建立加密連線的週期時間，週期時間一到就會更換密鑰並且 重新建立連線（這是我的理解，有錯請指教） 詭異的是Azure的原廠文件設定值與Forti官方設定值都不同，Google許多文章所填入 的加密認證選項與SA值也都不盡相同，因有風險存在故小弟不敢隨意亂填入測試 目前Phase 1設定10800，Phase 2的subnet值設定3600，有必須要設定特定的值嗎？ 或是要更改Encryption & Authenticaiton 組合？（感覺問題不大） 2. VPN架構問題 [已嘗試過的方法] 經過多次反覆又無法擅自更動設定測試的情況下，小弟暫時想出以下方法： 1. 修改SA KeyLifetime值 並非「Enable Relay....」選項問題，而是Forti與Azure之間的SA Lifetime值問題 SA time似乎是VPN二端建立加密連線的週期時間，週期時間一到就會更換密鑰並且 重新建立連線（這是我的理解，有錯請指教） 詭異的是Azure的原廠文件設定值與Forti官方設定值都不同，Google許多文章所填入 的加密認證選項與SA值也都不盡相同，因有風險存在故小弟不敢隨意亂填入測試 目前Phase 1設定10800，Phase 2的subnet值設定3600，有必須要設定特定的值嗎？ 或是要更改Encryption & Authenticaiton 組合？（感覺問題不大） 2. VPN架構問題 如上所提供連結，台中與台南往Azure都是先連到台北，再從台北轉到Azure上。 而斷線時Trace Route皆發現只有在台北往Azure這段斷線，台中＆台南至台北這段都是 正常。 於是我懷疑這樣的架構是否容易造成斷線？（會這樣設置原因是這樣管理較方便） 故需要將VPN架構由經台北連雲端，改成各點直連，不過還沒測試過不清楚能否建立 （VNet-VNet？） [其他線索] 1. 各點VPN只有從台北連Azure會斷線，從該點連台北正常 2. VPN Log出現esp_error and negotiate錯誤 3. 使用IKE v2, Key Lifetime改成28800，到期後會斷線且勾選選項也無法連通， 現只能用10800暫時維持連線正常。 以上，還請各位先進協助，小弟感激不盡！ --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.249.30 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1491651093.A.235.html