En este artículo, abordaremos un problema común que enfrentan los usuarios de FortiGate al intentar acceder a múltiples sitios con el mismo nombre de dominio (FQDN comodín) utilizando SSL VPN. Este problema es relevante porque, si no se gestiona adecuadamente, puede impedir el acceso efectivo a los recursos requeridos. A continuación, se ofrecerá una guía detallada para configurar correctamente una conectividad SSL VPN que permita una solución a este desafío.
Índice
Descripción del problema
Cuando se utilizan dominios comodín en configuraciones de VPN SSL, a menudo puede surgir el problema de que la ruta adecuada no se instala en el sistema del usuario. Como resultado, los usuarios pueden tener dificultades para acceder a los recursos deseados a través de un FQDN comodín, lo que puede afectar su productividad.
Alcance
Este artículo se centra en la configuración relacionada con FortiGate y su manejo de conexiones SSL VPN utilizando dominios comodín.
Diagnóstico paso a paso
Para solucionar este problema, siga los pasos a continuación:
- Configure los ajustes SSL VPN. Para más detalles, consulte el artículo: SSL VPN full tunnel for remote user.
- Vaya a VPN -> Portales SSL-VPN, seleccione un portal SSL VPN, habilite el split tunel y deje el campo de Dirección de Enrutamiento en blanco.
- Para configurar un FQDN comodín, navegue a Política & Objetos -> Direcciones y cree un nuevo objeto de dirección. Asegúrese de especificar el comodín en el formato adecuado (por ejemplo, `*.suempresa.com`) para el FQDN.
En este escenario, el FQDN comodín está configurado como `*.dropbox.com`.
- Para configurar una política de cortafuegos, navegue a Política & Objetos -> Política de Cortafuegos y seleccione ‘Crear nuevo’. Configure la regla para aplicar desde la interfaz ssl.root a la interfaz de salida deseada (en el ejemplo a continuación, está configurada como port1). Especifique los detalles de origen y la información del grupo de usuarios, y para el destino, utilice un FQDN comodín. Consulte la captura de pantalla a continuación para más detalles.
Nota:
En la etapa inicial, si un usuario se conecta a SSL VPN, la ruta del FQDN comodín no se instalará en el sistema del usuario porque la base de datos DNS de FortiGate no tendrá la resolución IP disponible.
Para verificar la ruta en Windows, use el comando: route print.
Para verificar la resolución IP del FQDN en FortiGate, ejecute el siguiente comando:
diagnose test application dnsproxy 6
O:
diagnose firewall fqdn list
Para v7.0 y versiones posteriores:
diagnose firewall fqdn list-all
Una vez que el usuario genere tráfico DNS hacia el destino, la ruta se instalará en la caché DNS de FortiGate. Sin embargo, esta ruta no se instalará en el sistema del usuario de forma inmediata o dinámica. El usuario remoto de SSLVPN necesitará desconectarse de la SSLVPN y luego volver a conectarse para que las rutas se instalen en su sistema.
Solución recomendada
Una vez seguido el proceso anterior, los pasos finales para garantizar que el tráfico DNS se enrute adecuadamente son los siguientes:
- El usuario genera tráfico DNS hacia el destino deseado.
- La ruta se almacena en la caché DNS de FortiGate.
- Para instalar la ruta en el sistema del usuario:
- Desconéctese de SSL VPN.
- Vuelva a conectarse a SSL VPN.
Las rutas solo se instalarán correctamente en el sistema del usuario después de la reconexión.
Comandos CLI utilizados
route print: Muestra la tabla de rutas en el sistema Windows.diagnose test application dnsproxy 6: Comprueba la resolución DNS desde el FortiGate.diagnose firewall fqdn list: Muestra la lista de FQDN conocidos por el cortafuegos.diagnose firewall fqdn list-all: En versiones 7.0 y posteriores, muestra todos los FQDN.
Buenas prácticas y recomendaciones
Para optimizar la configuración de SSL VPN y evitar problemas futuros, se recomienda:
- Documentar todas las configuraciones realizadas para facilitar la gestión futura.
- Actualizar periódicamente el FortiGate y las configuraciones del sistema para incorporar las últimas características y parches de seguridad.
- Realizar pruebas previa a la implementación de cambios significativos en la red.
Notas adicionales
Asegúrese siempre de que las configuraciones DNS en el sistema de los usuarios estén correctamente configuradas, y de que los usuarios sean capacitados sobre cómo realizar el proceso de reconexión después de cambios en la configuración.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!