FortiGate IPsec VPN tunnel up nhưng không ping được LAN remote: kiểm tra từ đâu?
FortiGate IPsec VPN Troubleshooting
FortiGate IPsec VPN tunnel up nhưng không ping được LAN remote: kiểm tra từ đâu?
VPN tunnel đã up, Phase 1 / Phase 2 nhìn có vẻ ổn nhưng LAN bên này vẫn không ping được LAN bên kia? Bài viết này hướng dẫn cách kiểm tra từ Phase 2 Selector, route, firewall policy, NAT, route ngược đến debug flow.
Chủ đề: FortiGate IPsec VPNLỗi thường gặp: Tunnel up nhưng không có trafficMục tiêu: Khoanh vùng đúng điểm rớt packet
Khi triển khai IPsec VPN site-to-site trên FortiGate, một lỗi rất thường gặp là VPN tunnel đã up, nhưng máy LAN bên A vẫn không ping được LAN bên B.
Đây là lỗi dễ gây nhầm lẫn, vì nhiều người thấy tunnel “up” là nghĩ VPN đã chạy xong. Thực tế, tunnel up chỉ chứng minh IPsec đã thiết lập. Nó chưa chứng minh traffic LAN-to-LAN đã đi đúng.
Tình huống thường gặp
Tunnel IPsec đã up nhưng máy LAN không ping được LAN remote.
FortiGate ping được remote IP nhưng máy client không ping được.
Máy bên A ping được bên B, nhưng bên B không ping ngược lại được.
Phase 2 up nhưng không có traffic.
Ping không được nhưng một số service khác lại chạy.
Sau khi thêm subnet mới vào VPN, subnet mới không chạy.
Bản chất vấn đề
Tunnel up chỉ là một phần của bài toán. Để traffic LAN-to-LAN chạy được, cần đồng thời đúng Phase 2 Selector, route, firewall policy, NAT và route ngược phía peer.
Vì vậy, khi không ping được LAN remote, cần kiểm tra từng lớp thay vì chỉ nhìn trạng thái tunnel trong GUI.
Tóm tắt nhanh
Luồng kiểm tra khi tunnel up nhưng không ping được LAN remote
Trước khi chỉnh cấu hình, nên đi theo luồng kiểm tra dưới đây để tránh sửa sai hướng.
1
Kiểm tra tunnel thật sự up chưa
Xác nhận Phase 1 / Phase 2 đã lên đúng tunnel và đúng selector.
2
Kiểm tra Phase 2 Selector
Đảm bảo local subnet và remote subnet khớp ở cả hai đầu.
3
Kiểm tra route
FortiGate phải có route hợp lệ đến LAN remote qua tunnel.
4
Kiểm tra firewall policy
Traffic LAN ↔ VPN phải được policy cho phép đúng chiều.
5
Kiểm tra NAT và route ngược
Tránh NAT sai và đảm bảo peer biết đường trả về LAN local.
6
Dùng debug flow
Xác định packet bị drop trước tunnel, trong tunnel, phía remote hay đường về.
Nói ngắn gọn: nếu FortiGate VPN tunnel up nhưng không ping được LAN remote, cần kiểm tra đủ 5 nhóm: Selector, Route, Policy, NAT và Return Route.
Nền tảng
1. Tunnel up không có nghĩa traffic LAN đã thông
Trong IPsec VPN, trạng thái tunnel up thường cho biết hai thiết bị đã thương lượng được IPsec tunnel. Nhưng để traffic LAN-to-LAN chạy được, cần thêm nhiều điều kiện khác.
Selector đúng
Traffic phải nằm trong Phase 2 Selector của hai đầu.
Route đúng
FortiGate phải biết remote subnet đi qua tunnel nào.
Policy đúng
Firewall policy phải cho phép traffic LAN-to-VPN và ngược lại.
Đường về đúng
Peer remote phải có route trả về subnet local.
Điểm cần nhớ
Có thể tunnel up, Phase 2 up, nhưng packet từ LAN local không đi vào tunnel, hoặc đi vào tunnel nhưng không có reply, hoặc reply quay về sai đường.
Bước 1
2. Kiểm tra tunnel IPsec đã up đúng chưa
Trước tiên, cần xác nhận tunnel thật sự đã lên, không chỉ nhìn GUI.
diagnose vpn tunnel list
Hoặc kiểm tra summary:
get vpn ipsec tunnel summary
Cần kiểm tra:
Phase 1 đã established chưa?
Phase 2 đã up chưa?
Tên tunnel có đúng tunnel đang cần kiểm tra không?
Có nhiều Phase 2 Selector không?
Selector nào đang up, selector nào down?
Có traffic encrypt/decrypt không?
Tunnel có bị flush/rekey liên tục không?
Nếu tunnel chưa up, cần xử lý lỗi thiết lập IPsec trước: proposal, pre-shared key, IKE version, NAT-T, remote gateway, local ID/peer ID hoặc policy phía peer.
Bước 2
3. Kiểm tra Phase 2 Selector
Phase 2 Selector xác định traffic nào được phép đi vào tunnel. Nếu selector sai, tunnel vẫn có thể up nhưng traffic LAN-to-LAN không chạy đúng.
Local subnet
Ví dụ: 192.168.10.0/24
Remote subnet
Ví dụ: 192.168.20.0/24
Các lỗi thường gặp:
Local subnet khai báo sai.
Remote subnet khai báo sai.
Một bên dùng /24, bên kia dùng /25.
Thêm subnet mới vào policy nhưng quên thêm vào Phase 2.
Một đầu để any-any, đầu kia để subnet cụ thể.
NAT làm source IP thay đổi khiến traffic không còn match selector.
Lưu ý
Nếu đang NAT qua VPN, cần đảm bảo IP sau NAT nằm trong Phase 2 Selector. Nếu không, traffic có thể không match IPsec selector và không đi tunnel đúng.
Bước 3
4. Kiểm tra static route đến remote subnet
FortiGate cần có route để biết traffic đi đến LAN remote phải ra tunnel nào. Ví dụ remote subnet là 192.168.20.0/24, FortiGate local cần route đến subnet này qua VPN tunnel.
get router info routing-table details 192.168.20.60
Hoặc xem toàn bộ routing table:
get router info routing-table all
Cần kiểm tra:
Có route đến remote subnet không?
Route đang đi qua đúng VPN tunnel chưa?
Có route nào cụ thể hơn đang ưu tiên không?
Có policy route ép traffic đi hướng khác không?
Nếu VPN nằm trong SD-WAN, route có đi qua đúng SD-WAN Zone không?
Có default route làm traffic đi nhầm ra Internet không?
Bước 4
5. Kiểm tra firewall policy LAN đi VPN
Tunnel và route đúng vẫn chưa đủ. FortiGate cần firewall policy cho phép traffic đi từ LAN local sang VPN.
Incoming Interface
LAN hoặc VLAN local
Outgoing Interface
VPN tunnel hoặc VPN SD-WAN Zone
Source
Local LAN subnet
Destination
Remote LAN subnet
Service
ICMP hoặc service cần dùng
NAT
Disable trong đa số mô hình site-to-site
Nếu chỉ test bằng ping, policy cần cho phép ICMP. Nhưng nếu server remote chặn ping, nên test thêm bằng service thật như RDP, SMB, HTTP, HTTPS hoặc ứng dụng cụ thể.
Bước 5
6. Kiểm tra firewall policy chiều VPN về LAN
VPN site-to-site thường cần policy hai chiều nếu cả hai bên đều chủ động truy cập qua lại.
Incoming Interface
VPN tunnel hoặc VPN SD-WAN Zone
Outgoing Interface
LAN hoặc VLAN local
Source
Remote LAN subnet
Destination
Local LAN subnet
Service
Service cần dùng
NAT
Disable
Nếu thiếu policy chiều ngược, có thể xảy ra tình trạng:
LAN local ping qua remote được.
Remote không truy cập ngược về local được.
Một số traffic chỉ chạy một chiều.
Log thấy packet đến FortiGate nhưng bị deny.
Bước 6
7. Kiểm tra NAT có bật nhầm trong policy VPN không
Đây là lỗi rất phổ biến. Với VPN site-to-site thông thường, policy LAN-to-VPN thường không bật NAT. Hai bên cần nhìn thấy IP LAN thật của nhau để route trả về đúng.
Nếu bật NAT nhầm
Client local có thể bị đổi source thành IP interface hoặc IP pool khác.
Remote site không có route trả về IP sau NAT.
Traffic có thể không match Phase 2 Selector.
Kết quả là tunnel up nhưng không truy cập được.
Khi nào NAT qua VPN có thể cần dùng?
NAT qua VPN có thể cần trong các mô hình overlap subnet, che giấu IP nội bộ, hoặc kết nối đến bên thứ ba yêu cầu IP NAT cụ thể. Nếu không có yêu cầu đặc biệt, nên tắt NAT trong policy VPN site-to-site.
Bước 7
8. Kiểm tra route ngược phía remote
Traffic VPN cần có đường đi và đường về. Một lỗi cực kỳ phổ biến là chỉ kiểm tra phía local mà quên phía remote.
Ví dụ
Site A LAN: 192.168.10.0/24
Site B LAN: 192.168.20.0/24
Site A có route đến 192.168.20.0/24.
Nhưng Site B không có route về 192.168.10.0/24.
VPN không chỉ cần “đi được”, mà phải “về được”. Nếu peer không có route ngược, ping sẽ fail dù packet từ phía local đã đi vào tunnel.
Bước 8
9. Kiểm tra subnet overlap
Nếu hai bên dùng trùng subnet, VPN site-to-site sẽ gặp lỗi rất khó xử lý nếu không NAT.
Ví dụ overlap subnet
Site A LAN: 192.168.1.0/24
Site B LAN: 192.168.1.0/24
Khi client ở Site A muốn truy cập 192.168.1.50, FortiGate có thể hiểu đây là IP local, không phải IP bên remote. Traffic sẽ không đi vào VPN đúng cách.
Cách xử lý:
Đổi subnet một bên nếu có thể.
Nếu không đổi được, thiết kế NAT qua VPN.
Dùng IP pool hoặc mapped subnet rõ ràng.
Cập nhật Phase 2 Selector theo IP sau NAT.
Kiểm tra route và policy sau NAT.
Bước 9
10. Kiểm tra server/client có chặn ICMP không
Không ping được không phải lúc nào cũng nghĩa là VPN lỗi.
Windows Firewall
Server hoặc PC remote có thể chặn ICMP mặc định.
Default gateway sai
Server remote không trả về đúng firewall/VPN gateway.
ACL nội bộ
Switch/router nội bộ phía remote có thể chặn subnet local.
Service vẫn chạy
Ping fail nhưng RDP/HTTP/SMB vẫn có thể hoạt động nếu ICMP bị chặn.
Khi test VPN, nên ping gateway LAN remote trước. Nếu gateway ping được nhưng server không ping được, lỗi có thể nằm ở server hoặc firewall nội bộ.
Bước 10
11. Kiểm tra FortiGate tự ping remote bằng source IP nào
Ping từ FortiGate không giống ping từ máy LAN. Khi FortiGate tự ping remote IP, đây là self-originating traffic. FortiGate có thể dùng source IP của một interface nào đó, không phải IP LAN user.
Xác định packet match policy/route nào và bị drop ở đâu.
Troubleshooting
15. Troubleshooting theo từng tình huống
Tunnel up nhưng không ping được bất kỳ IP remote nào
Nguyên nhân có thể:
Sai Phase 2 Selector.
Thiếu route đến remote subnet.
Thiếu firewall policy LAN → VPN.
NAT bật nhầm.
Peer không có route ngược.
Remote firewall chưa cho phép.
Cách xử lý:
Kiểm tra diagnose vpn tunnel list.
Kiểm tra Phase 2 Selector hai đầu.
Kiểm tra route đến remote subnet.
Kiểm tra policy LAN → VPN.
Tắt NAT nếu không có yêu cầu NAT.
Dùng debug flow theo IP client và IP remote.
Chỉ ping được một chiều
Nguyên nhân có thể:
Thiếu policy chiều ngược.
Peer thiếu route về local subnet.
Firewall policy phía remote chưa cho phép.
NAT làm source IP thay đổi.
Server/client chặn reply.
Asymmetric routing.
Cách xử lý:
Kiểm tra policy cả hai chiều.
Kiểm tra route ngược.
Kiểm tra NAT.
Debug từ cả hai phía nếu có quyền truy cập.
Test bằng nhiều IP khác nhau, không chỉ một server.
FortiGate ping được nhưng máy LAN không ping được
Nguyên nhân có thể:
Ping từ FortiGate dùng source khác với máy LAN.
Firewall policy LAN → VPN chưa đúng.
Route từ LAN client đến FortiGate chưa đúng.
Client không dùng FortiGate làm default gateway.
Server remote chỉ allow IP của FortiGate, không allow subnet LAN.
Cách xử lý:
Test ping từ client thật.
Kiểm tra default gateway của client.
Kiểm tra policy LAN → VPN.
Kiểm tra source IP khi FortiGate ping.
Debug flow theo IP client thật.
Máy LAN ping được gateway remote nhưng không ping được server remote
Nguyên nhân có thể:
Server remote chặn ICMP.
Server remote default gateway sai.
Firewall nội bộ remote chặn.
Server chỉ allow một số subnet.
VLAN remote chưa route về FortiGate.
ACL trên switch/router remote.
Cách xử lý:
Test service thật thay vì chỉ ping.
Kiểm tra firewall trên server.
Kiểm tra default gateway của server.
Ping từ server remote về local.
Nhờ phía remote kiểm tra log firewall hoặc ACL.
Thêm subnet mới vào VPN nhưng subnet mới không chạy
Nguyên nhân có thể:
Chưa thêm subnet mới vào Phase 2 Selector.
Chưa thêm route đến subnet mới.
Chưa thêm firewall policy cho subnet mới.
Peer chưa thêm selector/route/policy tương ứng.
Tunnel cần flush/rekey sau khi thêm selector.
Cách xử lý:
Kiểm tra Phase 2 Selector hai đầu.
Kiểm tra route hai đầu.
Kiểm tra policy hai chiều.
Kiểm tra diagnose vpn tunnel list.
Test lại bằng client thuộc subnet mới.
VPN qua SD-WAN tunnel up nhưng không có traffic
Nguyên nhân có thể:
Route đến remote subnet chưa qua VPN SD-WAN Zone.
SD-WAN Rule VPN nằm dưới rule Internet.
Performance SLA của tunnel bị down.
Traffic match nhầm rule all-to-all.
Firewall policy dùng sai outgoing interface.
Session cũ vẫn giữ đường cũ.
Cách xử lý:
Kiểm tra route đến remote subnet.
Đưa rule VPN lên trên rule Internet.
Kiểm tra diagnose sys sdwan health-check.
Kiểm tra diagnose sys sdwan service.
Kiểm tra diagnose firewall proute list.
Clear session có kiểm soát nếu cần test lại.
Checklist
16. Checklist trước khi gọi hỗ trợ
Model FortiGate và phiên bản FortiOS.
VPN site-to-site hay dial-up?
Peer bên kia là FortiGate hay thiết bị hãng khác?
Tunnel đang route-based hay policy-based?
Local subnet là gì?
Remote subnet là gì?
Có subnet nào overlap không?
Phase 2 Selector hai đầu đang khai báo gì?
Có NAT qua VPN không?
Có static route đến remote subnet chưa?
Có policy LAN → VPN và VPN → LAN chưa?
Peer bên kia có route ngược chưa?
IP client local dùng để test là gì?
IP server/gateway remote dùng để test là gì?
Có SD-WAN hoặc policy route ảnh hưởng không?
Đã backup config chưa?
Chuẩn bị đủ thông tin trên sẽ giúp quá trình troubleshooting nhanh hơn, tránh chỉnh thử nhiều phần cùng lúc trên hệ thống đang chạy thật.
FAQ
17. Câu hỏi thường gặp
VPN tunnel up có nghĩa là VPN đã chạy hoàn toàn chưa?
Chưa. Tunnel up chỉ cho biết IPsec đã thiết lập. Traffic LAN-to-LAN còn phụ thuộc vào Phase 2 Selector, route, firewall policy, NAT, route ngược và firewall phía server/client.
Vì sao FortiGate ping được remote nhưng máy LAN không ping được?
Có thể ping từ FortiGate dùng source IP khác với máy LAN. Ngoài ra, firewall policy LAN → VPN có thể chưa đúng, client không đi gateway FortiGate, hoặc remote chỉ allow IP FortiGate chứ không allow subnet LAN.
VPN chỉ ping được một chiều là do đâu?
Thường do thiếu policy chiều ngược, peer thiếu route về local subnet, NAT sai, Phase 2 Selector lệch hoặc firewall phía remote chặn traffic.
Có cần tắt NAT trong policy VPN không?
Với VPN site-to-site thông thường, nên tắt NAT để hai bên nhìn thấy IP LAN thật của nhau. NAT chỉ nên dùng khi có yêu cầu đặc biệt như overlap subnet hoặc kết nối với bên thứ ba yêu cầu IP NAT cụ thể.
Không ping được remote server có chắc là VPN lỗi không?
Không chắc. Server remote có thể chặn ICMP, default gateway sai, firewall nội bộ chặn hoặc ACL không cho phép. Nên test thêm bằng gateway remote hoặc service thật.
Thêm subnet mới vào VPN cần làm gì?
Cần kiểm tra đủ Phase 2 Selector, route, firewall policy và cấu hình tương ứng ở cả hai đầu. Nếu chỉ thêm policy mà quên Phase 2 hoặc route, subnet mới có thể không chạy.
Kết luận
Tunnel up chỉ là bước đầu, chưa đủ để kết luận VPN đã thông traffic
Lỗi FortiGate IPsec VPN tunnel up nhưng không ping được LAN remote thường không nằm ở một điểm duy nhất. Để traffic LAN-to-LAN chạy được, cần đảm bảo selector, route, policy, NAT và route ngược đều đúng.
Khi xử lý, nên đi theo thứ tự:
Kiểm tra tunnel và Phase 2.
Kiểm tra selector.
Kiểm tra route.
Kiểm tra policy.
Kiểm tra NAT.
Kiểm tra route ngược.
Kiểm tra server/client remote.
Kiểm tra SD-WAN hoặc policy route nếu có.
Dùng debug flow và sniffer để xác nhận packet đi/return.
Cách làm đúng không phải là chỉnh thử nhiều phần cùng lúc, mà là khoanh vùng packet đang bị rớt ở đâu: trước tunnel, trong tunnel, phía remote hay đường về.
Hỗ trợ FortiGate IPsec VPN
Cần kiểm tra lỗi VPN tunnel up nhưng không ping được LAN remote?
Doanh nghiệp của anh/chị đang gặp lỗi FortiGate IPsec VPN tunnel up nhưng không ping được LAN remote, VPN chỉ ping được một chiều, hoặc Phase 2 up nhưng không có traffic?
NAMHI có thể hỗ trợ kiểm tra mô hình IPsec VPN, rà soát Phase 2 Selector, route, firewall policy, NAT, SD-WAN Rule và debug flow để xác định nguyên nhân chính xác.
Bài này giúp bạn hiểu nhanh vai trò của FortiGate trong một hệ thống mạng doanh nghiệp. Không cần biết sâu IT vẫn theo được, nhưng IT triển khai vẫn thấy “đúng bài”.
Mục tiêu của bài này là giúp bạn truy cập được FortiGate ngay lần đầu, đổi mật khẩu an toàn, và sẵn sàng cho bước cấu hình Internet ở bài tiếp theo. Bài viết ưu tiên thao tác thực tế, dễ làm, không rối thuật ngữ.
Bài này hướng dẫn cấu hình kết nối Internet cho FortiGate theo 3 trường hợp phổ biến nhất. Làm đúng bài này sẽ giúp bạn đi tiếp mượt sang Bài 4 (LAN & DHCP) và Bài 5 (Policy LAN ra Internet).
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đây là bước “mở Internet” cho mạng nội bộ. Dù WAN và LAN đã cấu hình đúng, nếu thiếu Firewall Policy hoặc NAT, máy trong LAN vẫn không thể truy cập Internet. Bài này giúp bạn hiểu rõ và cấu hình đúng ngay lần đầu.
Sau khi LAN đã ra Internet (Bài 5), bước tiếp theo là kiểm soát người dùng truy cập web gì. Web Filter giúp chặn website độc hại, nội dung không phù hợp và là tính năng “ăn điểm” nhất khi demo FortiGate cho khách hàng.
Sau khi đã kiểm soát website bằng Web Filter (Bài 6), bước tiếp theo là kiểm soát ứng dụng. Application Control giúp doanh nghiệp quản lý các app “ngốn thời gian” (Social, Streaming) hoặc rủi ro (P2P, Remote tools), mà vẫn giữ trải nghiệm Internet ổn định cho công việc.
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Việt Nam 
English 
/file/media/uploads/article/ftg.jpg)
/file/media/uploads/article/cover.png)
/file/media/uploads/wan-fortigate.png)
/file/media/uploads/network-interface.jpg)
/file/media/uploads/firewall-policy.jpg)
/file/media/uploads/web-filter.jpg)
/file/media/uploads/app-control.png)
/file/media/uploads/antivirus.jpg)
/file/media/uploads/ssl-inspection.png)
/file/media/uploads/vpn-client-to-site.jpg)
/file/media/uploads/ipsec-vpn.jpg)
/file/media/uploads/ha.jpg)