Nguyên nhân phổ biến nhất là IPsec tunnel ban đầu được tạo bằng IPsec Wizard truyền thống. Cách tạo này rất tiện khi chỉ cần dựng nhanh một tunnel site-to-site cơ bản. Tuy nhiên, khi dùng Wizard truyền thống, FortiGate thường tự động tạo kèm nhiều thành phần như:

Các reference này có thể khiến VPN interface không thể add trực tiếp vào SD-WAN Member, hoặc khi add vào sẽ phải xử lý lại nhiều cấu hình đã được tạo tự động.

Trường hợp tunnel đã tạo trước đó bằng Wizard, cần kiểm tra kỹ các reference hiện có trước khi chỉnh sửa, đặc biệt nếu hệ thống đang chạy production.

Trước tiên, nên tạo một SD-WAN Zone riêng cho traffic VPN. Việc tách zone giúp dễ cấu hình route, policy, rule và troubleshooting hơn.

Có thể đặt tên zone theo cách dễ nhận diện:

Thay vì tạo IPsec VPN bằng Wizard truyền thống, nên tạo tunnel theo hướng có thể đưa trực tiếp vào SD-WAN Member.

Tại phần Interface, chọn tạo VPN interface cho SD-WAN và khai báo các thông tin chính:

Sau khi tạo tunnel thứ nhất, thực hiện tương tự cho tunnel thứ hai nếu doanh nghiệp có 2 đường WAN.

Một lỗi rất hay gặp là Phase 2 Selector để quá rộng dạng any-any, hoặc khai báo không đúng subnet local và remote.

Với VPN site-to-site cho doanh nghiệp, nên cấu hình rõ:

Nếu Phase 2 Selector không khớp, tunnel có thể vẫn up nhưng traffic không đi đúng, SLA không chạy, hoặc hai đầu VPN không truy cập được nhau.

Với mô hình IPsec VPN chạy trong SD-WAN, nên gán IP cho từng VPN interface để phục vụ route, Performance SLA và troubleshooting.

Sau khi đã có VPN SD-WAN Zone, cần tạo route đến subnet phía remote.

Sau khi có route, cần tạo firewall policy cho traffic giữa LAN local và VPN remote.

Performance SLA giúp FortiGate kiểm tra trạng thái và chất lượng từng VPN tunnel. Các chỉ số thường dùng gồm:

Nên chọn một IP phía remote có khả năng phản hồi ổn định, ví dụ IP server tại site remote, IP gateway nội bộ phía remote hoặc IP loopback nếu hệ thống có thiết kế phù hợp.

Một lỗi rất hay gặp là VPN tunnel đã up nhưng Performance SLA vẫn down. Nguyên nhân có thể là FortiGate dùng source IP không phù hợp để gửi gói SLA qua tunnel.

Trong trường hợp này, cần set source cho SD-WAN VPN member bằng CLI.

config system sdwan
    config members
        edit 4
            set interface "VPN_2"
            set zone "VPN"
            set source 10.24.3.109
        next
        edit 5
            set interface "VPN_1"
            set zone "VPN"
            set source 10.24.3.109
        next
    end
end

Nếu đã set source đúng nhưng SLA vẫn down, cần kiểm tra thêm:

• Peer bên kia đã cấu hình tunnel đầy đủ chưa?
• Phase 2 hai đầu có khớp không?
• Remote có route ngược về source IP không?
• Firewall policy hai chiều đã cho phép chưa?
• IP dùng làm SLA target có phản hồi không?

Sau khi có tunnel, zone, route, policy và SLA, cần tạo SD-WAN Rule để FortiGate biết traffic VPN nên đi qua tunnel nào.

Đây là bước nhiều người bỏ qua nhưng rất quan trọng. Nếu cả hai VPN tunnel đều down, FortiGate có thể tìm route khác để đẩy traffic ra ngoài, ví dụ đi theo default route ra ISP nếu có policy match.

Khi tunnel lên lại, session cũ có thể vẫn tiếp tục đi sai đường cho đến khi timeout hoặc bị clear thủ công. Để tránh tình trạng này, nên tạo blackhole route cho remote subnet.

config router static
    edit <id>
        set dst <remote_subnet> <mask>
        set distance <cao_hon_route_chinh>
        set blackhole enable
    next
end

Ví dụ cụ thể:

config router static
    edit 99
        set dst 10.25.0.0 255.255.240.0
        set distance 15
        set blackhole enable
    next
end