FortiGate VPN thường xuyên mất kết nối – Nguyên nhân và cách khắc phục

/in /by

Trả lời nhanh: FortiGate VPN mất kết nối liên tục thường do DPD timeout không phù hợp, NAT traversal bị tắt, phase 1/phase 2 parameter mismatch, hoặc firewall rule chặn ESP/AH traffic. Kiểm tra log và điều chỉnh ngay các tham số này để khôi phục kết nối ổn định.

1. DPD (Dead Peer Detection) chưa được cấu hình đúng

DPD là cơ chế giúp FortiGate phát hiện peer VPN đã chết và tự động re-kết nối. Nếu DPD timeout quá thấp (dưới 5 giây), firewall sẽ liên tục drop tunnel dù mạng chỉ latency nhẹ. Ngược lại nếu DPD tắt hoàn toàn, tunnel sẽ chết âm thầm và user không thể truy cập remote resource trong nhiều giờ.

Trên FortiOS 7.x, hãy set set dpd-retryinterval 10set dpd-retrycount 3 cho phase 1. Với các phiên bản cũ hơn, kiểm tra bằng lệnh show vpn ipsec phase1-interface.

Một mẹo nhỏ: nếu kết nối VPN bị drop sau đúng 30 phút hoạt động, rất có thể DPD đang can thiệp sai cách. Tăng retryinterval lên 15-20 giây và kiểm tra lại.

2. NAT Traversal và vấn đề thiết bị NAT ở giữa

Khi VPN tunnel đi qua ISP, router, hoặc thiết bị NAT, gói tin IPsec bị thay đổi địa chỉ nguồn. FortiGate cần bật NAT Traversal (NAT-T) với set nattraversal enable.

Đồng thời kiểm tra thiết bị mạng trung gian có allow UDP 4500 và UDP 500 hay không. Đây là nguyên nhân số một gây disconnect ngẫu nhiên trên VPN site-to-site và client-to-site.

3. Phase 1 và Phase 2 Parameter Mismatch

Hai đầu VPN phải khớp hoàn toàn encryption algorithm, hash algorithm, DH group, và lifetime. Mismatch ở phase 1 sẽ không tạo được IKE SA; mismatch ở phase 2 sẽ tạo SA rồi rớt sau vài phút.

Dùng lệnh diagnose vpn ike gateway list để kiểm tra trạng thái các SA. Nếu SA state = up nhưng traffic không qua, chạy diagnose debug application ike -1 để capture real-time log. Lưu ý: bật debug sẽ tạo nhiều log, chỉ dùng khi cần và tắt ngay sau đó.

4. Firewall Policy và Routing chặn traffic VPN

Nhiều doanh nghiệp quên tạo policy cho phép lưu lượng từ VPN interface ra internal network. Hoặc policy đã tạo nhưng schedule hoặc service không match.

Kiểm tra show full-configuration firewall policy để xác nhận. Ngoài ra nếu routing table không có default route qua WAN1 ưu tiên thấp, tunnel sẽ không được ưu tiên. Tham khảo thêm hướng dẫn kỹ thuật mạng tại tongdaidoanhnghiep.vn để tối ưu toàn diện.

5. Xử lý log và giám sát tunnel tự động

Bật log VPN event: config log setting -> set log-traffic enable. Dùng FortiAnalyzer hoặc syslog server để gom log. Thiết lập SD-WAN health-check cho tunnel để tự động failover khi latency vượt ngưỡng 300ms.

Với doanh nghiệp có nhiều branch, nên tích hợp FortiManager để centralize policy và giảm thiểu lỗi do cấu hình thủ công.

Kết luận

FortiGate VPN disconnect không phải lúc nào cũng do nhà mạng. Đa phần đến từ sai cấu hình IPsec phase 1/phase 2, DPD chưa chuẩn, hoặc NAT-T tắt trên thiết bị trung gian.

Kiểm tra toàn bộ chain từ peer đến endpoint. Nếu vẫn chưa ổn, hãy liên hệ đội ngũ kỹ thuật để audit ngay.

Câu hỏi thường gặp

Wise Tech cung cấp dịch vụ này ở đâu?

Wise Tech cung cấp dịch vụ trên toàn quốc, với văn phòng tại Hà Nội (Thang Long GTC Building, 113-115 Lê Duẩn) và TP.HCM (The Sun Building, 36/6A Nguyễn Gia Trí).

Chi phí dịch vụ của Wise Tech như thế nào?

Wise Tech luôn cam kết báo giá cạnh tranh nhất thị trường. Liên hệ hotline 0869313169 hoặc 0917323637 để được tư vấn và ép giá tốt nhất.

Làm thế nào để liên hệ Wise Tech?

Liên hệ ngay hotline 0869313169 / 0917323637, email sales@wisetech.com.vn hoặc truy cập website wisetech.com.vn để được tư vấn miễn phí 24/7.

Tham khảo thêm giải pháp công nghệ tại ICTSolution.net — Khám phá giải pháp tổng đài thông minh tại TongDaiDoanhNghiep.vn — Xem thêm dự án ICT tiêu biểu tại WiseTech.com.vn

Liên hệ để ép giá:
Wise Tech Company Limited
Hotline (+84): 0869313169 / 0917323637
HNO: Thang Long GTC Building, 113-115 Le Duan Street, Cua Nam Ward, Ha Noi City (Near Ha Noi Station)
HCMO: The Sun Building, 36/6A Nguyen Gia Tri, Thanh My Tay Ward, Ho Chi Minh City
TAX: 0109864745
Email: sales@wisetech.com.vn
Website: https://www.wisetech.com.vn
Website: https://www.ictsolution.net
Website: https://www.tongdaidoanhnghiep.vn
Website: https://flukenetwork.com.vn
Website: https://ai-solutions.com.vn
Website: https://ruijienetwork.net