Forticlinet でSSLVPNが接続できなくなった話
事の起こり
2020年02月29日よりFortigate 100DにForticlinetにてSSLVPNが繋がらなくなる現象が複数クライアントで発生。前日までは何の問題もなかったのに急に以下のメッセージが出て繋がらなくなった。
The server you want to connect to requests identification,please choose a cetificate and try again.(-11)
証明書の問題か?
SSLVPNの設定としてはクライアント証明書は使用していなかったので証明書期限というのは関係ないとは考えたが念の為Fortigate側のサーバ証明書を確認したが、いずれもまだまだ先の日付になっていた。
直近の更新は?
Windows Updateの影響かと思い、2月度の更新をアンインストールしても変化なし。
なんで?MACは繋がる
検証の中でMacbookで挙動を確かめていたところ、問題なく接続。対して、使用しているユーザ及びテスト機含め、WindowsOSは全滅。
パケットキャプチャ
各所に相談した中でパケットキャプチャすると切り分けが進むのでは?というアドバイスによりパケットキャプチャで認証時の動きを見てみたところ、Windows OSだけ以下のメッセージが記録されていた。
Server Hello,Certificate,Alert(Level: Fatal,Description: Internal Error)
サポートに相談
以下のログを送付。
VPNログ
コンフィグ
Forticlinetデバックログ
サポート側としてはFortOSが最新でないのでエスカレーションができないとのこと。調べてみたら、現状のFortiOSは間も無くサポートが切れる5.4系だった
FortiOSのアップグレード
以下のサイトを参考にアップグレードを実施した。
https://docs.fortinet.com/upgrade-tool
うちの環境はHA環境だったが、普通にアップグレードすることでスレーブ→マスタの順番にアップグレードしてくれるので楽だった。
スレーブとマスタのコンフィグバックアップとアップグレード作業でだいたい10分程度、その間の切断時間は多くて2、3程度だった。
何度もアップグレードを行い、最終的にFortiOSは6.0系にアップグ
レードされた。
解決
FortiOSをアップグレードしたところ、何ということもなく接続ができた。
なぜ2020年02月29日から繋がらなくなったのかはわからないが、FortiOSはきちんとアップグレードしましょうね、という教訓になった。
今回主にお世話になったのは・・・。
情シスSlackでした。誠にありがとうございました。
この記事が気に入ったらサポートをしてみませんか?