Fortigate y TLS 1.3 con HA virtual clusters: Parte 2

El problema del post anterior se solucionó solo con los vdoms que estaban en el virrtual cluster 1, pero el problema siguió en aquellos vdoms en el virtual cluster 2. Aquellos vdoms que tenían el sni-server-cert-check enable con un perfil de webfilter aplicado y la política en modo flow en el virtual cluster 2, daba error de certificado en los navegadores de lo usuarios porque fallaba la sesión autogenerada por el propio fortigate para poder categorizar la URL visitada.

Parece que las opciones de tls-active-probe configuradas en el ips no se aplicaban en el virtual cluster2 o por lo menos no funcionaban de la forma que se esperaba.

Abrí un ticket de soporte técnico comentando este problema, tras diferentes debugs y comentarlo con los desarrolladores, generaron una nueva versión del IPS engine que solucionaba este problema.

Me pasaron la versión, la instale en mi equipo y probé que ya no se producia el problema.

Cada versión de FortiOS traé asociada una versión del Ips engine, por ejemplo:

FortiOS 6.2.7 --> IPS engine 5.229

FortiOSS 6.2.8 --> IPS engine 5.239

FortiOSS 6.2.9 --> IPS engine 5.239

La versión del IPS engine que soluciona el problema es la 5.240

Fortiguard:

GUI --> System --> Fortiguard

CLI

FW #diagnose autoupdate versions

...........

IPS Attack Engine
---------
Version: 5.000240
Contract Expiry Date: Fri Dec 15 2021
Last Updated using manual update on Mon May 10 16:47:00 2021
Last Update Attempt: Fri Jun 11 22:45:08 2021
Result: No Updates
..........

Gracias al soporte por su ayuda.