Je voulais vous informer que j’ai mis en place un nouveau tunnel principal avec l’un de nos clients. Cependant, nous rencontrons un problème de stabilité de leur VPN, qui est hébergé sur la plateforme Alibaba Cloud. Le tunnel tombe toutes les 5 minutes, même si notre tableau de bord et le moniteur IPsec indiquent que le tunnel est toujours actif (nous l’avons également confirmé avec Fortinet TAC et capturé les journaux montrant qu’il ne tombe jamais). Du côté d’Alibaba, ils voient que le tunnel est bloqué à la phase 1, et je dois le redémarrer manuellement pour que le tunnel principal se remette en marche. Pour l’instant, je l’ai désactivé en supposant que c’était un problème d’IP ou autre.
J’ai également essayé de créer un tunnel secondaire utilisant une IP différente de notre côté et leur adresse IP secondaire, mais le problème persiste. Les logs montrent que la phase 1 est supprimée toutes les 5 minutes, puis elle est renegociée et revient en ligne. Actuellement, seul le tunnel secondaire fonctionne mais il rencontre des problèmes de déconnexion fréquente.
Pourriez-vous m’aider à identifier la cause de ce problème ? Notre système fonctionne avec la version 7.4.0, et nous avons un autre client dont le tunnel fonctionne parfaitement sans aucun problème.
A. La branche v7.4 n’est pas vraiment prête pour la production
B. Vous utilisez la version la plus boguée et la plus peu sûre de la branche v7.4. Au moins, mettez-la à jour vers la v7.4.3
C. Ont-ils configuré des keep-alives de leur côté ? Il me semblerait que le problème vienne de leur côté. Le tunnel secondaire que vous avez configuré avec eux utilise-t-il la même infrastructure de votre côté (même si c’est une IP différente), ou une infrastructure totalement différente ? Si c’est différent, alors cela vient d’eux. Quelles sont leurs valeurs de durée de vie de clé ?
Mettez à jour au moins vers 7.4.3 (ou downgrader vers 7.2.7) avant de faire quoi que ce soit. Je vois peu d’intérêt à dépanner une version boguée quand vous avez de meilleures options.
Il existe un problème connu avec les tunnels IPSec qui tombent dans les versions 7.4.2 et 7.4.3. Je ne sais pas si cela existe en 7.4.0 (ce problème n’existe pas en 7.4.1).
Je recommande de passer à la 7.2.7 pour le moment, sauf si une fonctionnalité spécifique de la 7.4.x est nécessaire (dans mon cas, c’est le cas, et j’attends encore qu’ils corrigent le bug du tunnel IPSec dans la 7.4.x).
En ce qui concerne la partie bug, ils agissent de manière mystérieuse. Si tout semble bien configuré, je ne ferais pas plus de dépannage avant d’avoir mis à jour vers la 7.4.3 ou de préférence rétrogradé vers la 7.2.7. Dans le pire des cas, tu peux tester et si cela ne résout pas le problème, tu peux restaurer ta configuration de la 7.4.0.
Je suppose que si la version avait un bug, cela devrait affecter tous les tunnels aussi. Corrigez-moi si je me trompe.
Ce n’est pas une bonne supposition. Les spécificités du bug pourraient ne pas se manifester sur chaque tunnel. Il pourrait y avoir quelque chose de spécifique à cette infrastructure que vous essayez de connecter qui le déclenche.
Mettre le tunnel secondaire sur la même infrastructure que celui qui a le problème ne prouvera pas grand-chose. Il faut isoler le tunnel de test du principal – une infrastructure différente avec un fournisseur d’accès différent serait idéal, pour pouvoir éliminer plus de choses en même temps.
Il pourrait être utile de voir une version nettoyée des parties appropriées de votre configuration.
Mais d’abord, vous devez vraiment mettre à jour votre firmware dans une certaine direction, comme l’a suggéré u/RedditSold0ut.