Tal vez no sea un problema de FortiGate, pero lo publico aquí como punto de partida.
Un cliente obtuvo un nuevo ISP en uno de sus sitios remotos. El sitio ahora tiene un FortiGate con dos ISP y VPN sitio a sitio (con SD-WAN) a Azure vFG.
La autenticación 802.1x para dispositivos de red funciona con el ISP antiguo pero no con el nuevo. El servidor de autenticación 802.1x es el rol NPS en Windows Server 2022.
El error es: “El servidor de políticas de red descartó la solicitud de un usuario. El mensaje de solicitud RADIUS que recibió el servidor de políticas de red del servidor de acceso a la red estaba mal formado.”
Investigaciones rápidas indican que el paquete EAP se fragmenta y el servidor NPS no lo acepta, ya que toda la carga útil EAP debe llegar en un solo paquete.
Algunos hechos:
-
El tamaño del paquete hacia el servidor NPS en el viejo ISP es 1418, mientras que en el nuevo ISP es 1410. Esos 8 bytes parecen marcar la diferencia entre que 802.1x funcione o no.
-
Los valores MTU en interfaces físicas y en interfaces IPsec en cada lado son idénticos. 1500 / 1420.
-
La MTU hacia internet parece ser la misma para ambos ISP: 1472. Sin diferencia de 8 bytes como en el túnel VPN sitio a sitio.
-
Los parámetros de túnel/IPsec son idénticos.
¿Hay algo relacionado con FortiGate que pueda hacer al respecto?
Artículos en internet que abordan este mismo problema sugieren estos dos cambios:
-
Configurar el atributo Framed-MTU en NPS a 1400 o menos. Los administradores de Windows dijeron que lo intentaron y no hizo diferencia.
-
Configurar la interfaz NIC del servidor con 1400. El valor predeterminado es 1500. Tampoco hizo diferencia.
La solución temporal actual es que el tráfico hacia los servidores NPS pase por el viejo ISP, mientras todo el resto pasa por el nuevo ISP.
Agradezco cualquier comentario.