你好网络工程师，

我在两个办公室之间有一个 IPSEC VPN 隧道，总部是 fortigate 200B(os:v5.0,build0292 (GA Patch 9))，分支机构是 fortigate 30D(os:5.2.3)。

两者现在都在静态 IP 上。分支端虽然有一个 PPPoE。auto-reconnect is also enabled on the branch side.

从第 1 天起，我们面临的问题是隧道在当天运行良好，但第二天早上出现故障并且根本不会自行启动，直到对分支侧的阶段 1 配置进行了一些小的更改。

从那以后，我有一个案例被 fortigate TAC 锁定，向他们提交日志已经超过 2 个月，但根本没有提供任何解决方案。向他们提交日志现在是每天的事情。

在分支 30D 上出现问题期间运行调试，初始输出为2015-08-24 21:44:34 ike 0:mandhana: could not locate phase1 configuration.

我只能在他们的论坛上找到这个类似的案例，我的分支端已经在 5.2.3 上，所以更新到 5.2 的解决方案在那里工作对我不起作用。

真的很感谢对可能导致这种情况的任何帮助。

2015 年 11 月 4 日更新：

wan 接口有一个静态 IP 地址，但它通过 PPPoE，所以我想即使 wan 接口获得的 IP 地址仍然相同并且是静态的，仍然会发生某种 IP 地址更新。

当 ip 更新时，隧道会关闭并且由于某种原因不会自行启动。

TAC 现在已经宣布这是一个错误，并告诉我要等到 FortiOS 5.4.0 发布。

我认为这与硬件本身有关。如果这是一个错误，我们会在这里和其他地方有更多这样的案例，但我找不到任何。

这是 Fortinet TAC 的日志信息：

Hi,

` - 这是今天早上开始出现的问题。2015-09-08 18:29:41 是 PST 时间（您的设备有 PST 时区），而不是 IST 时区。所以实际上问题开始于今天 IST 时间上午 7:30。---/--- 2015-09-08 18:29:41 ike 0: IP 59.xxx (59) is down ----<<<< 可能 pppoe 接口因为“IP 已关闭”而关闭在调试日志中。2015-09-08 18:29:41 ike 0:mandhana: 删除 2015-09-08 18:29:41 ike 0:mandhana: 冲洗 2015-09-08 18:29:41 ike 0:mandhana:79: 发送IPsec SA 删除，spi c21221f8 ---<<<<

-The below debug logs confirms that default route was no longer available in FGT as per 'len=92: error 101:Network is unreachable'
-So it's highly possible that default route was removed from FGT routing table.
---/---
2015-09-08 18:29:41 ike 0:mandhana:79: could not send IKE Packet(ISAKMP SA DELETE-NOTIFY):59.x.y.z:500->14.x.z.c:500, len=92: error 101:Network is unreachable
---/---

Above continues till next 1 min.

-Next min, we see the following error

2015-09-08 18:30:16 ike 0:mandhana: could not locate phase1 configuration.

` 我怀疑，发生此问题时，pppoe 相关 -（路由、IP 地址、策略）存在问题。我将在明天上午 9:00 登录 fortigate，然后弄清楚。请不要进行任何更改。

我之前建议您的另一个选项（我认为最好）是在 L3 模式下配置调制解调器，使用公共 IP 将 nat 端口转发到 Fortigate。这样做可以避免在 fortigate 中使用 pppoe 配置。

您有从调制解调器到 FGT 的端口转发（https、http、VPN 流量）。

谢谢。