el tiempo de espera inactivo de SSLVPN no funciona

Descripción
Este artículo describe cómo la conexión SSLVPN no se desconecta incluso después de que la conexión esté inactiva durante mucho tiempo.

Solución
1) Verifique el valor de tiempo de espera inactivo establecido en FortiGate. El valor de Idletimeout será en segundos.

# mostrar configuración vpn ssl completa | grep "tiempo de espera inactivo"

El valor predeterminado de tiempo de espera inactivo es de 300 segundos (5 minutos).
Para cambiar el valor de tiempo de espera inactivo, use la siguiente configuración
# Configurar la configuración vpn ssl
Establecer tiempo de espera de inactividad xx <----- Valor de segundos de <0> a <259200>.
final

2) Verifique la configuración de DNS en SSLVPN, si usa DNS local en SSLVPN, cada vez que el tráfico de DNS se comunique a través del túnel SSLVPN, el valor de tiempo de espera de ilde se restablecerá.
# mostrar configuración vpn ssl completa | grep "servidor dns"

3) Verifique el valor de tiempo de espera inactivo del usuario usando el siguiente comando:
# obtener monitor vpn ssl | grep

La salida será la siguiente:
# obtener monitor vpn ssl | prueba grep
Usuarios de inicio de sesión de SSL VPN:
Tipo de autenticación de usuario de índice Se acabó el tiempo Desde HTTP de entrada/salida HTTPS de entrada/salida
0 prueba 1(1) 247 10.5.59.93 0/0 0/0 <<<<<<,

Índice Usuario IP de origen Duración E/S Bytes Túnel/IP de destino
0 prueba 10.5.59.93 121 0/0 10.212.134.200

Si la conexión SSLVPN está inactiva, el índice de tiempo de espera se reducirá a 0 y la conexión SSLVPN de 10.5.59.93 se desconectará.

4) Si la conexión SSLVPN está inactiva pero el índice de tiempo de espera se está restableciendo, ejecute el sniffer para monitorear el tráfico.

# dia sniffer paquete any “host ” 4

Nota.
Si el servicio SSDP y LLMNR está habilitado en la PC cliente con Windows, Windows notará el tráfico a la dirección de multidifusión 239.255.255.250 o 224.0.0.252 en el número de puerto UDP 1900 y 5355 respectivamente.
Windows tiene la tendencia de impulsar el tráfico de multidifusión en todas las tarjetas/adaptadores NIC activos y, por lo tanto, FortiGate recibirá tráfico SSDP o tráfico de resolución de nombre de multidifusión local de enlace a través del túnel SSLVPN y se restablecerá el tiempo de inactividad.
Tráfico hacia el Firewall desde PC Cliente:
Línea 185: 2020-04-22 07:52:08.945712 ssl.root en 10.XXX65160 -> 224.0.0.252.5355: udp 21
Línea 191: 2020-04-22 07:52:08.945912 ssl.root en 10. XXX53685 -> 224.0.0.252.5355: udp 21
Línea 197: 2020-04-22 07:52:09.347367 ssl.root en 10. XXX65160 -> 224.0.0.252.5355: udp 21
Línea 203: 2020-04-22 07:52:09.347617 ssl.root en 10. XXX53685 -> 224.0.0.252.5355: udp 21

La solución alternativa para el tráfico SSDP es deshabilitar estos protocolos en la PC cliente para activar un tiempo de espera inactivo.

– Seleccione ‘Inicio’ debajo del tipo ‘servicios’.– En la ventana ‘Servicios’, busque la siguiente entrada: SSDP Discovery.– Seleccione el ‘tipo de inicio’ como ‘Deshabilitado’.– Reiniciar el PC cliente.

La solución alternativa es deshabilitar estos protocolos en la PC cliente para activar un tiempo de espera inactivo.

Verifique aún más el tiempo de espera inactivo de SSLVPN.

5) Si el problema no se resuelve en este punto, abra un ticket de soporte en y adjuntar:

– Archivo de configuración para un ticket de soporte.

– la salida CLI al ticket como un archivo de texto.