VPN caindo no FortiGate? Diagnóstico e correção passo a passo
VPN instável é um dos chamados de suporte mais frequentes em ambientes FortiGate. A maioria tem causa conhecida e correção direta — mas o diagnóstico precisa seguir a ordem certa.
SSL-VPN vs IPsec VPN: diagnósticos diferentes
O FortiGate suporta dois tipos de VPN com comportamentos e causas de falha distintos. Antes de diagnosticar, identifique qual tipo está falhando:
SSL-VPN: usa HTTPS (porta 443 por padrão). Falhas aparecem como erro de autenticação no FortiClient, timeout de conexão ou desconexão frequente durante uso. Os logs relevantes estão em Log & Report > VPN Events.
IPsec VPN (site-to-site ou dialup): usa UDP 500/4500. Falhas aparecem como túnel que não sobe, oscilação de conectividade ou perda de pacotes específicos. Os logs estão em Log & Report > VPN Events e o status dos túneis em VPN > IPsec Tunnels.
Diagnóstico de SSL-VPN: causas mais comuns
Certificado expirado: o certificado usado pelo portal SSL-VPN expirou. Os usuários veem erro de certificado no navegador ou no FortiClient. Solução: renovar o certificado em Sistema > Certificados e reassociá-lo ao SSL-VPN.
Timeout de sessão muito baixo: o SSL-VPN derruba sessões ociosas após o tempo configurado em idle-timeout. Se usuários reclamam de queda durante uso normal, verifique se o idle-timeout está muito baixo (padrão: 300 segundos). Aumente para 3600 segundos para usuários que trabalham com aplicações de baixo tráfego.
Limite de usuários simultâneos atingido: cada modelo de FortiGate tem um limite de sessões SSL-VPN simultâneas. Verifique em VPN > SSL-VPN Settings o número de usuários conectados vs. o limite do modelo.
Conflito de IP pool: o range de IPs atribuído aos clientes SSL-VPN não pode sobrepor com subnets internas. Sobreposição causa roteamento incorreto e desconexões aparentemente aleatórias.
Comando útil no CLI: execute diagnose vpn ssl list para ver todas as sessões SSL-VPN ativas com IP do cliente, usuário e tempo de sessão. diagnose debug application sslvpn -1 habilita debug detalhado para capturar erros de autenticação em tempo real.
Diagnóstico de IPsec VPN: causas mais comuns
Mismatched Phase 1 ou Phase 2: a causa mais comum de túnel IPsec que não sobe. Os parâmetros de IKE (encryption, authentication, DH group, lifetime) precisam ser idênticos nos dois lados. Qualquer divergência impede a negociação. Verifique os logs de IKE para identificar em qual fase a negociação falha.
NAT traversal: quando um dos lados está atrás de NAT, é necessário habilitar NAT Traversal (UDP 4500) em ambos os lados. Sem NAT-T, o túnel IPsec não consegue atravessar NAT. Habilite em Phase 1 > NAT Traversal: Enable.
DPD (Dead Peer Detection) agressivo: o DPD monitora a saúde do túnel enviando pacotes de keepalive. Configuração muito agressiva (interval muito baixo, retries muito baixo) pode derrubar o túnel durante oscilações normais de latência. Ajuste em Phase 1 > Dead Peer Detection.
Rotas incorretas ou ausentes: o túnel pode estar UP mas o tráfego não flui porque faltam rotas apontando para o túnel. Verifique em Network > Static Routes se há rotas para as subnets remotas via interface do túnel IPsec.
Debug de IPsec via CLI
Para diagnóstico aprofundado de IPsec, o FortiGate oferece ferramentas de debug detalhado via CLI:
diagnose vpn ike status — lista o status de todas as SAs IKE ativas e os detalhes de cada fase de negociação.
diagnose debug application ike -1 — habilita debug detalhado do daemon IKE. Capture durante uma tentativa de estabelecimento do túnel para ver exatamente onde a negociação falha.
diagnose vpn tunnel list — lista todos os túneis IPsec com status, bytes transmitidos e recebidos. Útil para confirmar se o tráfego está fluindo nos dois sentidos.
Sempre desabilite o debug após o diagnóstico com diagnose debug disable — debug contínuo em produção gera overhead de CPU.
Problemas de MTU e fragmentação
Uma causa menos óbvia de VPN instável é o MTU incorreto. Quando o MTU do túnel VPN está alto demais, pacotes grandes são fragmentados — e alguns dispositivos de rede intermediários bloqueiam fragmentação ICMP, causando lentidão ou falhas intermitentes em aplicações específicas.
Para SSL-VPN, verifique se o MTU do adaptador virtual no cliente está ajustado corretamente (normalmente 1380-1400 bytes). Para IPsec, configure auto-discovery VPN ou ajuste manualmente o MTU da interface do túnel para 1400 bytes como ponto de partida.
Um sintoma clássico de problema de MTU: a VPN conecta e funciona para aplicações simples, mas trava em transferências de arquivos grandes ou em aplicações que enviam payloads maiores.
Dica Fortilab: problemas intermitentes de VPN são os mais difíceis de diagnosticar — porque a falha não é reproduzível on demand. Habilite logging detalhado de VPN Events no FortiGate e, se disponível, configure envio para FortiAnalyzer para ter um histórico completo dos eventos de desconexão.