iT邦幫忙

1

Fortigate60F 負載平衡421 Gateway Timeout

fortigate fortigate60f load balance gateway timeout 421
breakgod 2025-06-16 09:21:251233 瀏覽

  • 分享至 

  • xImage

各位專家好

小弟我最近在作fortigate60f的負載平衡

按照網路上的教學設定起來,後端的2台機器也有work
但就是時不時會發生421的Gateway Timeout

我也有在GPT上問過,將我網站的憑證上傳至fortigate中
但狀況仍然一樣沒有改善

以下是我的設定檔,憑證我是用twca的
還請各位專家們幫忙指點一下,萬分感謝,謝謝

https://ithelp.ithome.com.tw/upload/images/20250616/20137870IWoIrSXNMT.png

https://ithelp.ithome.com.tw/upload/images/20250616/20137870tQ58cBNvuQ.png

登入發表討論
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

2
bluegrass
iT邦高手 1 級 ‧ 2025-06-16 11:20:33

問題應該是SESSION的一致性出問題

而間接引起WEB SERVER的防護機制

TCP情況下, 3 WAY HANDSHAKE 很重要, 用weighted LB 不是一個好方向

試想想, 如果你是先跟SERVER A建立3 WAY, 旦被LB 到了 B SERVER

B SERVER 只會認為這個PACKET是來混的. 然後干掉.

你LB試試別用weighted, 改用least session

如果非weighted不可, 你POLICY上的NAT建議啟用

That is not perfect, but it works.

https://ithelp.ithome.com.tw/upload/images/20250616/20102031LEpGzxGCyk.png

望空 iT邦研究生 5 級 ‧ 2025-06-16 17:28:34 檢舉

我覺得搞個反向代理伺服器會比用這個好...?

登入發表回應
0
playerk
iT邦新手 3 級 ‧ 2025-06-17 08:02:49

試試看在您的第一張圖中,"連線固定條件"選擇"SSL連線ID",讓交易連線可以維持在同一台伺服器上。

breakgod iT邦新手 2 級 ‧ 2025-06-17 09:14:20 檢舉

目前更改設定如下:
連線固定條件:SSL連線ID
負載平衡方法:最少連線的優先發配

但仍會有421的錯誤
我是有用UptimeRobot去定期監控得到的結果

ming9900 iT邦新手 3 級 ‧ 2025-06-18 12:16:49 檢舉

也可改成 Http cookie "試試看"
我認為 Fortigate 提供的 LB,基本上就是 "在可用級別",如果太常會發生問題,那還不如不用。

像F5 BIGIP 或 Citrix Netscaler 類專業的 LB設備,Persistence
的條件多了很多可設定,包含依 Source IP / Destination IP 等等其他的判斷方式。

bluegrass iT邦高手 1 級 ‧ 2025-06-24 10:45:45 檢舉

你試試在FORTIGATE上放行不對稱路由吧. 看看還有沒問題-.-

config system global
set asymroute enable
end

登入發表回應
0
mytiny
iT邦超人 1 級 ‧ 2025-06-17 09:28:38

首先,這種深入需要付費的技術問題
應該去詢問賣設備的SI
因為沒有做過的經驗(或架過LAB)
就胡亂猜測可能的情況
對USER是不健康的行為

看設定的截圖
有些DNAT觀念與設定手冊做法不一樣
不過,最重要的是60F並不支援此功能

Proxy-related features not supported on FortiGate 2 GB RAM models

  • Layer 7 Virtual server types (HTTP/HTTPS/IMAPS/POP3S/SMTPS/SSL)
playerk iT邦新手 3 級 ‧ 2025-06-18 08:57:36 檢舉

同意,若無法自己解決,就是付費去找廠商處理。

關於"Proxy-related features not supported "應該是v7.4.4版本以後:https://docs.fortinet.com/document/fortigate/7.4.0/new-features/519079/proxy-related-features-no-longer-supported-on-fortigate-2-gb-ram-models-7-4-4
開版版大的截圖底下看起來是v7.0.17,看文件只有FortiGate 90E and 91E 不支援,所以應該不受限於上面不支援Proxy-related features的問題。

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22215
完賽人數
600
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙