解锁 SSL VPN 用户
2025/10/29大约 2 分钟
解锁 SSL VPN 用户
重要
此功能在 FortiOS 7.2.6 及以上版本、7.4.1 及以上版本、7.6.0 及以上版本支持。
功能介绍
默认配置下,SSL VPN 用户登录失败 2 次后会被锁定 60s。
config vpn ssl setting set login-attempt-limit 2 set login-block-time 60 endSSL VPN 用户被锁定后,FortiClient 登录会有如下提示。
FortiGate 的 SSL VPN Debug 会有如下提示。
diagnose debug application sslvpn -1 diagnose debug enable [15356:root:6]req: /remote/logincheck [15356:root:6]fsv_blocklist_check:65 locked: rowid=1,host=192.168.100.177 [15356:root:6]Transfer-Encoding n/a [15356:root:6]Content-Length 75 [15356:root:6]readPostEnter:19 Post Data length 0. [15356:root:6]sslConnGotoNextState:318 error (last state: 1, closeOp: 0) [15356:root:6]Destroy sconn 0x7fb0ea2800, connSize=0. (root) [15356:root:6]SSL state:warning close notify (192.168.100.177)
解锁方法
查看当前 SSL VPN 被锁定的用户列表,其中包含第一次尝试登录时间、最后一次尝试登录时间、登录失败次数、所属 VDOM ID。
FortiGate # diagnose vpn ssl blocklist list |id|addr|status|first-attempt|last-attempt|fail-count|vfid| |1|192.168.100.177|locked|2024-12-27 15:51:07|2024-12-27 15:51:11|2|0| Total 1 entry.通过 FortiView 页面“按认证失败排名”可以看到每个用户在特定时间范围内的尝试登录失败次数。
通过如下 CLI 命令可以解锁已被锁定的 SSL VPN 用户。
FortiGate # diagnose vpn ssl blocklist del <all|vfid|addr>all:解锁所有被锁定的 SSL VPN 用户。vfid:解锁特定 VDOM ID 下被锁定的所有 SSL VPN 用户。addr:解锁特定 IP 被锁定的 SSL VPN 用户。
通过 IP 地址的形式解锁 SSL VPN 用户,可以看到 IP 192.168.100.177 被锁定的用户被解锁。
FortiGate # diagnose vpn ssl blocklist del 192.168.100.177 FortiGate # diagnose vpn ssl blocklist list |id|addr|status|first-attempt|last-attempt|fail-count|vfid|