使用Forticlient SSL VPN 時SAP GUI狂斷線 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

使用Forticlient SSL VPN 時SAP GUI狂斷線

forticlient vpn sap 斷線

yahooyayaya 2021-05-26 17:32:20 ‧ 4816 瀏覽

分享至

最近公司開始WFH了
於是幾乎全公司大半部分的人都回家上班了
公司的VPN環境是使用Forticlient SSL VPN
OS環境是Win10 Pro 版本1909 2004 2009都有
SAP GUI使用的是7.20的版本
目前遇到一個頗大的問題
就是連VPN狀態下 SAP會狂斷線
斷線頻率每個人不一定
有人一天斷個兩三次
有人每10分鐘就斷一次
斷線的同時 VPN並沒有斷網路也沒有斷
因為連公司的內部系統 MAIL都是正常的
我對SAP的連線機制並不熟
不太知道要從何查起
請問有人能提供一點頭緒嗎?

看更多先前的討論...收起先前的討論...

納貝 iT邦新手 1 級 ‧ 2021-05-26 17:34:22 檢舉

達到VPN上線人數了.......要花錢買license

ks1217 iT邦研究生 1 級 ‧ 2021-05-26 17:48:43 檢舉

印象中 FortiGate的SSL VPN是不需要license的.
SAP斷線會不會是因為網路延遲時間太長??

yahooyayaya iT邦新手 3 級 ‧ 2021-05-27 14:02:32 檢舉

應該是有license的連EMS取得的license

yahooyayaya iT邦新手 3 級 ‧ 2021-05-27 14:04:41 檢舉

網路延遲時間太長這個我有想過不過要如何驗證呢畢竟其他服務都沒問題
只有SAP會斷到多長才算長

ks1217 iT邦研究生 1 級 ‧ 2021-05-27 14:26:45 檢舉

可以讓常斷的User 連上VPN後 Ping一下SAP主機, 看看Time延遲多久.
因為每位同仁的網路速度不一定, 就可能造成不一定的結果(有的人斷一兩次, 有的人十分鐘斷一次),
解法一, 內部開VM電腦安裝SAP讓遠端使用者VPN進來後在遠端桌面到VM電腦使用SAP.
解法二, 看看SAP是否能設定延遲寬容

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

3 個回答

0

mytiny

iT邦超人 1 級 ‧ 2021-05-26 18:11:49

Fortigate SSLVPN不需要授權
client數有經手過300多同時上線
聽說原廠有高達上千人的實績

一般會建議匹配一下OS與fortient的版本
因為client的插件會有匹配OS版本
另外FortiOS舊的版本也有出現會SSLVPN自動斷線的BUG
樓主可以說明一下現在OS的版本
或自行去查一下release notes

回應 3
分享
檢舉

mytiny iT邦超人 1 級 ‧ 2021-05-26 20:02:13 檢舉

OS 6.0.10以後有解
582265 RDP sessions are terminated (disconnect) unexpectedly.

yahooyayaya iT邦新手 3 級 ‧ 2021-05-27 14:07:27 檢舉

我們現在用的版本6.2.7.0984 應該不是VPN斷線因為SAP斷線的當下其他服務都是正常可連線的

mytiny iT邦超人 1 級 ‧ 2021-05-27 18:08:47 檢舉

貴公司SAP連線是否要驗憑證 ?
目前SSLVPN用的憑證都是Fortigate自帶
還有要看policy有關SSL/SSH的檢驗

如果跟憑證無關，
就需要debug收一下流量
因為斷線的時間不一致，覺得不是TTL的緣故

登入發表回應

0

hsiang11

iT邦好手 1 級 ‧ 2021-05-26 23:56:08

不懂sap
不過官方有一些tcp/ip port
https://help.sap.com/viewer/ports
雙方面看看log有沒有什麼錯誤

回應
分享
檢舉

登入發表回應

0

bluegrass

iT邦高手 1 級 ‧ 2021-05-27 23:05:24

Policy & objects -> Traffic shaping policy -> Create

Source: SSLVPN IP range
Destination: SAP
Service: All
Interface: Any
Shared + Reverse Shaper : high-priority

Policy & objects -> IPV4 Policy

選擇你SSLVPN到SAP那一條, 把NAT啟用 -> Use Outgoing Interface Address

再來CLI:

config vpn ssl settings
set dtls-tunnel enable

最後到FORTICLIENT:

把DTLS用上

回應 1
分享
檢舉

hsiang11 iT邦好手 1 級 ‧ 2022-05-10 17:51:01 檢舉

請問開啟DTLS Tunnel有何差異?

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22081 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙