Akses HTTP/HTTPS melalui VPN IPsec hanya "syn" bukan "syn dan ack"

fajaranas · June 12, 2025, 7:25am

ฮัลโหลทุกคน,

ฉันมีปัญหาเกี่ยวกับการเชื่อมต่อ http/https ผู้ใช้ไม่สามารถเข้าถึงเว็บ http/https ไปยังเซิร์ฟเวอร์ที่ HUB ได้ การเชื่อมต่อนี้มาจาก spoke หรือ branch

การเชื่อมต่อจาก branch ไปยัง HUB หรือ HO ใช้ VPN IPsec เมื่อฉันทำ sniffer packet บน fortigate HO จะมีบันทึกแสดงให้เห็นว่าการเชื่อมต่อแค่ “syn” ไม่ได้รับ “ack”

ปัญหานี้เป็นที่ด้านของ fortigate หรือด้านของเซิร์ฟเวอร์?

ขอบคุณมาก

HappyVlane · June 12, 2025, 7:25am

เซิร์ฟเวอร์รู้จักเส้นทางไปยัง VPN IPs ไหม?

nostalia-nse7 · June 12, 2025, 7:25am

ลอง sniffer packet บน hub ที่ port2 สำหรับการจราจรไป/จาก IP ของเซิร์ฟเวอร์ อาจไม่ได้ตอบสนองต่อ arp หรือไฟร์วอลล์ไม่ได้รับการตอบกลับ

diag sniffer packet port2 ‘host 10.146.1.38’ 4 100 l

oneoftheguys40 · June 12, 2025, 7:25am

คุณต้องทำการ sniffer จากทั้งสองด้านทั้ง fortigates

fajaranas · June 12, 2025, 7:25am

ขอบคุณทุกคนสำหรับคำตอบ ปัญหาได้รับการแก้ไขแล้ว สาเหตุอยู่ที่ไฟร์วอลล์ด้านหลัง fortigate ที่ไซต์ HQ ซึ่งเป็น Palo Alto และมีปัญหาในนโยบายของพวกเขาที่การจราจรจาก branch ไม่ผ่านนโยบายใด ๆ ของ Palo Alto ทำให้แพ็คเกจถูกดรอป

อีกครั้ง ขอบคุณสำหรับความช่วยเหลือของคุณ

Rexxhunt · June 12, 2025, 7:25am

นี่อาจเป็นปัญหา mtu/mss

jpochedl · June 12, 2025, 7:25am

ไม่สามารถบอกได้แน่ชัดจากข้อมูลที่ให้ไว้ คุณสามารถยืนยันได้ไหมว่าเซิร์ฟเวอร์ได้รับคำขอเชื่อมต่อ SYN แล้วหรือยัง?

Beginning-Load-7179 · June 12, 2025, 7:25am

ปัญหาเหล่านี้เกิดขึ้นบ่อยไหม นี่เป็นครั้งแรกที่คุณรู้ว่ามีปัญหาเกี่ยวกับโปรโตคอลการเข้าถึง http/httpsหรือไม่ ถ้าใช่ กรุณาตรวจสอบว่าคุณได้อนุญาตโปรโตคอล http/https แล้วหรือยังทั้งในฝั่งของคุณและฝั่งเพื่อนบ้านของคุณ

AMizil · June 12, 2025, 7:26am

ฉันจะตรวจสอบ routing บนเซิร์ฟเวอร์และนโยบายไฟร์วอลบน hub เพื่อยืนยันว่าเครือข่ายย่อยของเซิร์ฟเวอร์จาก HQ ได้รับการอนุญาตให้ติดต่อกับเครือข่ายย่อยของ branch แล้ว

Obski · June 12, 2025, 7:26am

เช่นเดียวกับที่คนอื่นแนะนำ คุณสามารถใช้ telnet จาก Fortigate เพื่อทดสอบว่าพอร์ตเปิดอยู่บนเซิร์ฟเวอร์หรือไม่:

execute telnet 10.146.1.38 80

ถ้าคุณใช้งาน FortiOS 7 คุณสามารถระบุ IP ของอินเทอร์เฟซต้นทางได้ถ้าจำเป็น:

execute telnet-options source 10.146.67.1 (หรือ gateway อื่น ๆ ของไฟร์วอลล์)

example_John_phd · June 12, 2025, 7:26am

แน่ชัดว่ามีบางอย่างถูกบล็อคอยู่ระหว่างทาง เนื่องจากทราฟฟิกของคุณได้รับการตอบสนองด้วยความเงียบ ไม่ใช่การ reset TCP การไม่มี ACK อาจบ่งชี้ว่าสถานที่ใดถูกบล็อคแต่ก็ไม่ได้ปิดกั้น device ของคุณ คุณสามารถรัน diag debug flow filter เพื่อตรวจสอบว่าอุปกรณ์นี้เป็นสาเหตุ:

diag debug reset

diag debug flow filter clear

diag debug flow filter daddr 10.146.1.38

diag debug flow show iprope enable

diag debug flow show function-name enable

diag debug console timestamp enable

diag debug enable

diag debug flow trace start 1000

มันจะบอกคุณว่าทราฟฟิกนั้นถูกบล็อคโดยไฟร์วอลล์ หรือมี NAT ใด ๆ ที่ถูกใช้ และถ้าแพ็กเกจนั้นถูกเข้ารหัสด้วย IPsec หรือไม่