解锁SSL VPN用户

重要

此功能在FortiOS 7.2.6及以上版本、7.4.1及以上版本、7.6.0及以上版本支持。

功能介绍

1. 默认配置下，SSL VPN用户登录失败2次后会被锁定60s。

   config vpn ssl setting
       set login-attempt-limit 2
       set login-block-time 60
   end

2. SSL VPN用户被锁定后，FortiClient登录会有如下提示。

   

3. FortiGate的SSL VPN Debug会有如下提示。

   diagnose debug application sslvpn -1
   diagnose debug enable
   
   [15356:root:6]req: /remote/logincheck
   [15356:root:6]fsv_blocklist_check:65 locked: rowid=1,host=192.168.100.177
   [15356:root:6]Transfer-Encoding n/a
   [15356:root:6]Content-Length 75
   [15356:root:6]readPostEnter:19 Post Data length 0.
   [15356:root:6]sslConnGotoNextState:318 error (last state: 1, closeOp: 0)
   [15356:root:6]Destroy sconn 0x7fb0ea2800, connSize=0. (root)
   [15356:root:6]SSL state:warning close notify (192.168.100.177)

解锁方法

1. 查看当前SSL VPN被锁定的用户列表，其中包含第一次尝试登录时间、最后一次尝试登录时间、登录失败次数、所属VDOM ID。

   FortiGate # diagnose vpn ssl blocklist list 
   |id|addr|status|first-attempt|last-attempt|fail-count|vfid|
   |1|192.168.100.177|locked|2024-12-27 15:51:07|2024-12-27 15:51:11|2|0|
   Total 1 entry.

2. 通过FortiView页面“按认证失败排名”可以看到每个用户在特定时间范围内的尝试登录失败次数。

   

3. 通过如下CLI命令可以解锁已被锁定的SSL VPN用户。

   FortiGate # diagnose vpn ssl blocklist del <all|vfid|addr>

   • all：解锁所有被锁定的SSL VPN用户。
   • vfid：解锁特定VDOM ID下被锁定的所有SSL VPN用户。
   • addr：解锁特定IP被锁定的SSL VPN用户。

4. 通过IP地址的形式解锁SSL VPN用户，可以看到IP 192.168.100.177被锁定的用户被解锁。

   FortiGate # diagnose vpn ssl blocklist del 192.168.100.177
   
   FortiGate # diagnose vpn ssl blocklist list
   |id|addr|status|first-attempt|last-attempt|fail-count|vfid|