iT邦幫忙

0

使用Forticlient SSL VPN 時SAP GUI狂斷線

最近公司開始WFH了
於是幾乎全公司大半部分的人都回家上班了
公司的VPN環境是使用Forticlient SSL VPN
OS環境是Win10 Pro 版本1909 2004 2009都有
SAP GUI使用的是7.20的版本
目前遇到一個頗大的問題
就是連VPN狀態下 SAP會狂斷線
斷線頻率每個人不一定
有人一天斷個兩三次
有人每10分鐘就斷一次
斷線的同時 VPN並沒有斷 網路也沒有斷
因為連公司的內部系統 MAIL都是正常的
我對SAP的連線機制並不熟
不太知道要從何查起
請問有人能提供一點頭緒嗎?

看更多先前的討論...收起先前的討論...
納貝 iT邦新手 1 級 ‧ 2021-05-26 17:34:22 檢舉
達到VPN上線人數了.......要花錢買license
ks1217 iT邦研究生 3 級 ‧ 2021-05-26 17:48:43 檢舉
印象中 FortiGate的SSL VPN是不需要license的.
SAP斷線會不會是因為網路延遲時間太長??
應該是有license的 連EMS取得的license
網路延遲時間太長 這個我有想過 不過要如何驗證呢 畢竟其他服務都沒問題
只有SAP會斷 到多長才算長
ks1217 iT邦研究生 3 級 ‧ 2021-05-27 14:26:45 檢舉
可以讓常斷的User 連上VPN後 Ping一下SAP主機, 看看Time延遲多久.
因為每位同仁的網路速度不一定, 就可能造成不一定的結果(有的人斷一兩次, 有的人十分鐘斷一次),
解法一, 內部開VM電腦安裝SAP讓遠端使用者VPN進來後在遠端桌面到VM電腦使用SAP.
解法二, 看看SAP是否能設定延遲寬容
0
mytiny
iT邦大師 1 級 ‧ 2021-05-26 18:11:49

Fortigate SSLVPN不需要授權
client數有經手過300多同時上線
聽說原廠有高達上千人的實績

一般會建議匹配一下OS與fortient的版本
因為client的插件會有匹配OS版本
另外FortiOS舊的版本也有出現會SSLVPN自動斷線的BUG
樓主可以說明一下現在OS的版本
或自行去查一下release notes

mytiny iT邦大師 1 級 ‧ 2021-05-26 20:02:13 檢舉

OS 6.0.10以後有解
582265 RDP sessions are terminated (disconnect) unexpectedly.

我們現在用的版本6.2.7.0984 應該不是VPN斷線 因為SAP斷線的當下 其他服務都是正常可連線的

mytiny iT邦大師 1 級 ‧ 2021-05-27 18:08:47 檢舉

貴公司SAP連線是否要驗憑證 ?
目前SSLVPN用的憑證都是Fortigate自帶
還有要看policy有關SSL/SSH的檢驗

如果跟憑證無關,
就需要debug收一下流量
因為斷線的時間不一致,覺得不是TTL的緣故

0
hsiang11
iT邦好手 1 級 ‧ 2021-05-26 23:56:08

不懂sap
不過官方有一些tcp/ip port
https://help.sap.com/viewer/ports
雙方面看看log有沒有什麼錯誤

0
bluegrass
iT邦高手 1 級 ‧ 2021-05-27 23:05:24

Policy & objects -> Traffic shaping policy -> Create

Source: SSLVPN IP range
Destination: SAP
Service: All
Interface: Any
Shared + Reverse Shaper : high-priority

Policy & objects -> IPV4 Policy

選擇你SSLVPN到SAP那一條, 把NAT啟用 -> Use Outgoing Interface Address

再來CLI:

config vpn ssl settings
set dtls-tunnel enable

最後到FORTICLIENT:

把DTLS用上

https://ithelp.ithome.com.tw/upload/images/20210527/201020315wWHjAaDX3.jpg

我要發表回答

立即登入回答