Bazen, SSL VPN performansı beklenenden daha yavaş olabilir. SSL VPN, bir TCP bağlantısını başka bir TCP bağlantısı içinde kapsüllediğinden, bu zaman aşımı süreleri arasında parazite ve diğer sorunlara neden olabilir.
v5.4′ten beri, bu sorunu çözmek için DTLS kullanmak mümkündür. DTLS, SSL ile aynı güvenliğe sahiptir, ancak TCP yerine UDP kullanır. Bu, performansı önemli ölçüde iyileştirebilir.
SSL VPN’de DTLS’yi etkinleştirmek için aşağıdaki komutları çalıştırın:
config vpn ssl settings
set dtls-tunnel enable
end
Bu, 5.4′ten beri varsayılan olarak etkinleştirilmiştir.
Kullanıcı(lar) hala TCP kullanıyorsa, ayarlarda ‘Tercih Edilen DTLS Tüneli’ seçeneğinin işaretli olduğundan emin olmak için FortiClient ayarlarını kontrol edin. Seçenek gri renkteyse, kilidini açmak için sağ üstteki asma kilidi seçin (Aşağıdaki ekran görüntüsü).
FortiClient’lar EMS tarafından yönetildiğinde, DTLS seçeneği doğrudan FortiClient konsolunda etkinleştirilemez. Değişikliklerin yönetici tarafından EMS’den iletilmesi gerekir.
FortiClient’ın DTLS kullanıp kullanmadığını görmek için doğrulama adımları:
1- FortiClient’a bağlı PC’nin Genel IP’sini ve SSL VPN Portunu kontrol edin.
get vpn ssl monitor
show full vpn ssl settings | grep “port “
2- Genel IP ve SSL VPN Portu ile bir paket yakalama gerçekleştirin. UDP paketleri görülmelidir:
diagnose sniffer packet any ‘host <PC Public IP> and port <SSLVPN Port>’ 4 10 l
Performansı artırmanın bir diğer seçeneği, SSL VPN tarafından kullanılan politika için NPU boşaltmayı devre dışı bırakmaktır. Bunu yaparken dikkatli olun çünkü trafik yalnızca CPU tarafından işlenir ve politika kullanımı yüksekse yüksek CPU kullanımına neden olabilir:
config firewall policy
edit <SSLVPN policy ID>
set auto-asic offload disable
end
26 total views, 2 views today
