Симптомы:
у некоторых пользователей иногда пропадает доступ в интернет, хотя сам пользователь в группах доступа есть, разрешающее право задано.
Доступ пропадает случайным образом на интервал 5-15 мин, при этом никаких сообщений от FortiGate в журналах при этом нет, также нет пакетах в логах. При этом известно (проверено дампом wireshark), что рабочая станция пользователя инициирует попытки передачи данных
Что было сделано и как отлаживали:
у некоторых пользователей иногда пропадает доступ в интернет, хотя сам пользователь в группах доступа есть, разрешающее право задано.
Доступ пропадает случайным образом на интервал 5-15 мин, при этом никаких сообщений от FortiGate в журналах при этом нет, также нет пакетах в логах. При этом известно (проверено дампом wireshark), что рабочая станция пользователя инициирует попытки передачи данных
Что было сделано и как отлаживали:
- посмотрели дамп трафика (сделали доп.заготовки для сбора информации).
- работает ли dns,
- доступен ли шлюз на момент проблемы (с рабочей станции пользователя),
- достигает ли трафик пользователя, у которого наблюдаются проблемы доступа через FortiGate, самого шлюза в момент возникновении проблемы
- посмотреть через flow debug сессии - поняли, как именно сам FortiGate обрабатывает трафик проблемного пользователя
config system alias
edit "flow_192.168.1.11"
set command "diag debug flow filter clear
diag debug flow show function-name enable
diag debug flow filter addr 192.168.1.11
diag debug flow trace start 5
diag debug console time enable
diag debug enable
Вызов этого alias выводится командой alias flow_192.168.1.11
Решение
1) Пользовательская учетная запись в базе коллектора FSSO перезаписывалась служебной учетной записью. Это происходило потому что служебная учетка не была описана в фильтре FSSO коллектора как учетная запись, которую необходимо игнорировать.
2) Учетная запись службы FSSO была заблокирована, разблокировали. После чего коннекторы на FortiGate показали что подключены.
3) Логи показали, что нет специальных правил МСЭ, соответствующих трафику пользователя, у которого наблюдались проблемы. Единственным квалификатором, который мог не совпадать, являлся пользователь (группа, в которую входит пользователь) - в связи с чем и возникала проблема.
2) Учетная запись службы FSSO была заблокирована, разблокировали. После чего коннекторы на FortiGate показали что подключены.
3) Логи показали, что нет специальных правил МСЭ, соответствующих трафику пользователя, у которого наблюдались проблемы. Единственным квалификатором, который мог не совпадать, являлся пользователь (группа, в которую входит пользователь) - в связи с чем и возникала проблема.