Descripción
Este artículo describe un escenario en el que se configuró la verificación de host basada en SSLVPN MAC. Aunque la dirección MAC estaba permitida en la regla, la VPN se alcanza al 80 %.
Solución
Error obtenido:
No se puede establecer la conexión VPN. El servidor VPN puede no estar disponible (-14)
Depuración observada:
[229:root:38a]SSL establecido: TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384
[229:root:38a]req: /remoto/comprobación de inicio de sesión
[229:root:38a]rmt_web_auth_info_parser_common:470 sin ID de sesión en la información de autenticación
[229:root:38a]rmt_web_access_check:723 acceso fallido, uri=[/remote/logincheck],ret=4103,
[229:root:38a]Agente de usuario: FortiSSLVPN (Windows NT; SV1 [SVv=02.01; f=07;])
[229:root:38a]rmt_logincheck_cb_handler:1189 el usuario 'prueba' tiene una entrada local coincidente.
[229:root:38a]sslvpn_auth_check_usrgroup:2039 formando una lista de usuarios/grupos a partir de la política.
[229:root:38a]sslvpn_authenticate_user:191 autenticar usuario: [test]
[229:root:38a]sslvpn_authenticate_user:198 crear estado familiar
la autenticación local se realiza con el usuario 'prueba', ret=0
[229:root:38a]fam_auth_send_req_internal:461 fnbam_auth retorno: 0
[229:root:38a]fam_auth_send_req_internal:470 autenticación OK
[229:root:38a]fam_do_cb:654 fnbamd devolvió el éxito de autenticación.
[229:root:38a]Regla coincidente de inicio de sesión SSL VPN (1).
[229:root:38a]Agente de usuario: FortiSSLVPN (Windows NT; SV1 [SVv=02.01; f=07;])
[229:root:38a]rmt_web_session_create:781 crear sesión web, idx[3]
[229:root:38a]login_succeeded:523 redirigir a hostcheck >>> se realiza la redirección a host check y la sesión se desconecta
[229:root:38a]Agente de usuario: FortiSSLVPN (Windows NT; SV1 [SVv=02.01; f=07;])
[229:root:38a]deconstruct_session_id:426 decodificar ID de sesión ok, usuario=[test],grupo=[Developers],servidor de autenticación=[],portal=[full-access],anfitrión=[117.194.164.191],reino=[],idx=3,auth=1,sid=192c3652,inicio de sesión=1617175942,acceso=1617175942,saml_logout_url=no
[230:root:389]sslvpn_read_request_common,648, ret=-1 error=-1, sconn=0x33a6d280.
[230:root:389]Destruye sconn 0x33a6d280, connSize=2. (raíz)
Solución:Al cambiar a la versión 6.0 de FortiClient, se pudo conectar a la VPN con éxito.
La causa principal fue el problema de la licencia de FortiClient.
SSL VPN MAC Host Check Configuration no funciona como se esperaba a continuación FortiClientes
1) Versión gratuita de FortiCliente 6.2 (Windows, mac, Linux) no admite ningún tipo de verificación de host.
Utilice una versión inferior como solución alternativa.
2) Mobile FortiClients (todas las versiones de Android y iOS)