Khắc phục lỗi không kết nối được SSL VPN Tunnel trên Fortigate

Trong bài viết này, mình sẽ hướng dẫn các bạn khắc phục lỗi không kết nối được SSL VPN Tunnel trên Fortigate, các lý do có thể khiến kết nối FortiClient SSL VPN không thành công dựa trên tỉ lệ % cụ thể. Các lỗi phát sinh có rất nhiều nên các bạn cần kiểm tra chi tiết từng phần.

Nội dung

Tổng quan
Compatibility giữa FortiClient và FortiOS
Kiểm tra lỗi dựa trên tỉ lệ % kết nối
Kiểm tra phiên bản hệ điều hành
Kết luận

Tổng quan

Khi các bạn sử dụng phần mềm FortiClient để kết nối SSL VPN, rất nhiều trường hợp chúng ta kết nối và nhận được thông báo lỗi "Unable to establish the vpn connection. The vpn server may be unreachable". Kèm theo phía sau là các mã code như (-5), (-14)... Tương ứng với mỗi trường hợp này, các bạn sẽ thấy Status của VPN load đến các mức % nhất định.

thông báo lỗi unable to establish the vpn connection. the vpn server may be unreachable. (-14)

Có rất nhiều nguyên nhân dẫn đến kết nối SSL VPN không thành công, như tính tương thích giữa FortiClient và phiên bản FortiOS, hoặc các cài đặt thông số liên quan. Do vậy chúng ta sẽ cần kiểm tra tất cả các yêu tố liên quan, và trong bài viết này mình sẽ hướng dẫn các bạn dựa trên các mốc % khi kết nối và tính tương thích giữa phiên bản FortiClient và FortiOS, chứ không phải các mã lỗi như (-5), (-14)...

Compatibility giữa FortiClient và FortiOS

Đầu tiên chúng ta cần phải kiểm tra tính tương thích giữa phiên bản FortiClient và FortiOS, mỗi phiên bản FortiOS sẽ chỉ hỗ trợ 1 số version FortiClient nhất định. Mặc dù đây là bản FortiClient EMS hỗ trợ rất nhiều các tính năng, và tính tương thích chủ yếu phụ thuộc vào các tính năng bảo mật, chúng ta chỉ dùng bản VPN only, tuy nhiên thì có 1 số trường hợp nó vẫn ảnh hưởng đến tính năng VPN. Nếu các bạn sử dụng các phiên bản khác nhau, thì chúng ta có thể gặp các lỗi không kết nối được VPN, nên chúng ta nên download các phiên bản phù hợp để test trước.

Để kiểm tra tính tương thích, các bạn truy cập vào trang https://docs.fortinet.com/product/forticlient/7.2, chọn phiên bản FortiClient đang sử dụng, sau đó truy cập vào mục Compatibility.

truy cập vào mục Compatibility của forticlient

Mở file PDF và xem bảng tương thích giữa phiên bản FortiClient EMS và FortiOS, sau đó các bạn có thể thử download các file tương ứng về để kết nối thử VPN.

so sánh phiêm bản forticlient và fortios

Ngoài ra các bạn có thể xem thêm các file Release Note phiên bản FortiClient mới hơn phiên bản đang sử dụng, để xem có các Bug liên quan đến lỗi các bạn đang gặp hay không. Ví dụ như ảnh bên dưới là Release Notes của phiên bản 7.2.2, thì các bug đó sẽ xuất hiện trên các phiên bản 7.2.1 hoặc cũ hơn.

kiểm tra các bug liên quan đến OS

Kiểm tra lỗi dựa trên tỉ lệ % kết nối

Kiểm tra tính tương thích và bug là 1 trong những cách các bạn cần kiểm tra khi không kết nối được VPN. Ngoài ra thì các bạn có thể kiểm tra dựa trên tỉ lệ % mà FortiClient load được. Thông thường khi kết nối bị lỗi, FortiClient sẽ đưa ra thông báo lỗi "Unable to establish the vpn connection" với các mã code (-5), (-14), và các bạn tìm hiểu dựa trên các mã lỗi này. Tuy nhiên việc khắc phục dựa trên tỉ lệ % sẽ chính xác hơn. Có 1 số mốc % và các nguyên nhân liên quan, các bạn có thể kiểm tra thử để khắc phục vấn đề.

xác định nguyên nhân dựa trên tỉ lệ status

Status 10%

Khi FortiClient dừng ở 10%, các bạn sẽ nhận được thông báo lỗi "Unable to establish the VPN connection. The VPN server may be unreachable". Lỗi này thường do kết nối mạng, các bạn có thể kiểm tra 1 số thông tin:

Kiểm tra kết nối mạng trên PC và xem PC có thể Ping được đến IP Remote Gateway không?
Kiểm tra SSL Port trên Fortigate và FortiClient có trùng nhau không?. Mặc định trên Fortigate dùng port 443, nhưng khi cấu hình các bạn thường đổi Port này để tránh trùng với port HTTPS trên các dịch vụ khác.

kiểm tra SSL VPN Port

Kiểm tra xem các bạn đã cấu hình Certificate trong SSL hay chưa?. Nếu không có Certificate thì các bạn có thể chọn Fortinet_Factory mặc định, còn nếu các bạn có các SSL Certificate riêng thì các bạn có thể cài đặt vào firewall. Ngoài ra nếu enable Require Client Certificate thì trên client cũng cần phải có SSL Certificate tương ứng với Firewall.

kiểm tra server certificate trong SSL VPN

Kiểm tra Firewall Policy và đảm bảo rằng có ít nhất 1 policy với Incoming Interface là SSL VPN Tunnel (ssl.root).

Status 31%

Khi FortiClient dừng ở 31%, các bạn thường gặp thông báo lỗi với mã code (-5029). Nếu các bạn thấy mã lỗi này thì nghĩa là phiên bản TLS không khớp giữa máy Client và Fortigate. Các bạn cần đảm bảo phiên bản TLS và SSL trên PC và Fortigate tương đương nhau, và đáp ứng yêu cầu cầu của Fortigate về phiên bản tối thiểu và phiên bản tối đa.

Trên Fortigate, các bạn kiểm tra bằng lệnh get vpn ssl settings. Đối với các phiên bản mới khoảng từ 6.x trở lên thì sẽ là phiên bản SSL tối thiểu và SSL tối đa. Còn với các phiên bản cũ hơn thì sẽ là enable hoặc disable phiên bản nào đó.

get vpn ssl settings

Trên PC, các bạn truy cập vào Control Plane > Internet Options, chọn tab Advanced, kéo xuống dưới và kiểm tra các mục SSL và TLS. Các phiên bản TLS và SSL cần phải tương ứng với Firewall. Nếu trên Fortigate có cấu hình thông số ssl-min-proto-ver hoặc ssl-max-proto-ver, nghĩa là yêu cầu phiên bản SSL tối thiểu hoặc tối đa, thì các bạn cũng cần phải enable từ phiên bản tối thiểu trở lên.

kiểm tra SSL và TLS trên PC

Status 40%

Khi FortiClient dừng lại ở 40%, việc này là do máy tính hiển thị 1 cửa sổ mới thông báo về SSL/TLS Certificate. Vấn đề này sẽ xảy ra khi các bạn sử dụng chứng chỉ mặc định của Firewall. Tuy nhiên vấn đề là pop-up này sẽ không hiển thị lên phía trước, mà ẩn phía sau của FortiClient hoặc ứng dụng khác, đôi khi chúng ta không để ý. Các bạn chỉ cần kiểm tra xem có pop-up nào hiện lên thì nhấn Yes để tiếp tục kết nối.

thông báo về certificate

Ngoài ra thì mức 40% cũng có 1 số ít trường hợp liên quan đến kết nối mạng, hoặc do 1 ứng dụng nào đó trên windows. Các bạn có thể tắt hết các ứng dụng khởi động cùng windows, reboot lại máy tính và chỉ bật FortiClient để kiểm tra.

Nếu các bạn nhận được mã lỗi -5029 như với trường hợp 31%, thì các bạn cũng cần kiểm tra lại SSL/TLS như với trường hợp 31%. Tuy nhiên phổ biến nhất là pop-up phía trên.

Status 48%

Khi FortiClient dừng lại ở mức 48%, nghĩa là các bạn đang gặp vấn đề với two-factor authentication, và các bạn sẽ nhận được thông báo lỗi "Credential or SSL VPN configuration is wrong (-7200)".

lỗi Credential or SSL VPN configuration is wrong (-7200)

Khi đó chúng ta cần kiểm tra lại thông tin xác thực như tài khoản và mật khẩu, vì vấn đề này thường do chúng ta nhập sai tài khoản. Ngoài ra chúng ta cũng có thể cần cấu hình mức bảo mật trong Internet Option lên mức High hoặc xuống Medium tùy từng trường hợp. Các bạn truy cập vào Control Plane > Internet Options, chọn tab Security, chọn Internet và chỉnh Security levels for this zone với các mức khác nhau và test thử.

chỉnh sửa security level sang high trong internet options

Status 80%

Khi FortiClient dừng ở mức 80%, các bạn có thể sẽ gặp các thông báo lỗi "Unable to log on to the server. Your username or password may not be configured properly for this connection". Vấn đề này thường do đặc quyền của User, các bạn cần kiểm tra Users và User Groups trên Firewall. Lỗi này thường xảy ra do tài khoản đó có trên Fortigate, nhưng không thuộc nhóm người dùng có quyền truy cập vào VPN. Các Users này phải thuộc trong nhóm người dùng được cấu hình trong SSL-VPN Settings và trong Firewall Policy.

Nếu các bạn gặp phải mã lỗi "unable to establish the vpn connection. the vpn server may be unreachable. (-14)", thì có thể là do Users hoặc User Groups không khớp giữa SSL VPN Rules và Firewall Policy cho SSL VPN. Các bạn có thể sử dụng Users hoặc User Groups đều được, tuy nhiên phải giống hệt nhau trong VPN Settings và Firewall Policy.

mã lỗi unable to establish the vpn connection. the vpn server may be unreachable. (-14)

Ngoài ra thì các bạn cũng cần kiểm tra xem các Users hoặc User Groups đã được mapping vào các portal tương ứng hay chưa. Các bạn cần phải add vào Portal tunnel-access, hoặc full-access nhưng có enable tunnel-access trong đó.

add user và các portal tương ứng

Status 98%

Nếu FortiClient dừng ở mức 98%, thì có thể là do cài đặt FortiClient bị lỗi hoặc sự cố do hệ điều hành của các bạn. Lúc này các bạn có thể cài đặt lại FortiClient, hoặc kiểm tra tính tương thích giữa FortiClient, FortiGate và EMS như ở phần check tính tương thích. Lỗi này cũng có thể xảy ra khi các bạn sử dụng phiên bản FortiClient miễn phí, tuy nhiên thì trường hợp này chúng ta ít khi gặp.

Kiểm tra phiên bản hệ điều hành

Do SSL VPN sử dụng SSL/TLS, nên nếu các bạn sử dụng các phiên bản hệ điều hành cũ, hoặc các phiên bản máy ảo để giả lập môi trường lab, thì chúng ta rất hay gặp các lỗi kết nối, mặc dù tất cả các cấu hình đều đúng. Do vậy với SSL VPN, các bạn nên sử dụng các phiên bản máy thật, và update lên các phiên bản mới để tránh lỗi về certificate.

Kết luận

Trên đây là 1 số cách mà các bạn có thể thử để kiểm tra dựa trên tỉ lệ % khi các bạn kết nối VPN không thành công. Có rất nhiều mã lỗi khi sử dụng FortiClient, trên đây chỉ là 1 số lỗi phổ biến và 1 số cách mà các bạn có thể kiểm tra nhanh. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).