El presente artículo aborda cómo resolver el error ‘Credenciales Incorrectas’ que se presenta al utilizar Azure SAML SSO con VPN IPsec Dial-up. Este problema es importante porque impide el acceso adecuado a los recursos a través de la VPN, afectando la productividad. A continuación, se presentará un diagnóstico detallado y una solución recomendada para solucionar esta incidencia.
Índice
Descripción del problema
A la hora de conectarse a la VPN IPsec Dial-up mediante Azure SAML SSO, se puede observar el error de ‘credenciales incorrectas’. Este fallo puede causar inconvenientes a los usuarios que intentan establecer una conexión segura para trabajar.
Alcance
Este artículo está dirigido principalmente a usuarios y administradores de FortiGate que se encuentran configurando o gestionando VPNs utilizando SAML en un entorno de Azure.
Diagnóstico paso a paso
Al ejecutar samld e ike en modo debug en el FortiGate, se puede obtener la siguiente salida que ayudará a identificar el origen del problema:
FGT_1 # diagnose debug reset
FGT_1# diagnose debug application ike -1
FGT_1# diagnose debug application samld -1
FGT_1 # diagnose debug enable
Al revisar la salida del debug, se podría observar lo siguiente:
samld_send_common_reply [95]: Attr: 10, 55, ‘username’ ‘test@xxxx’
samld_send_common_reply [119]: Sent resp: 12592, pid=298, job_id=563437.
ike 0: IKEv1 exchange=Aggressive id=4e59072d51c40463/0000000000000000 len=508
A pesar de que SAML envía el nombre de usuario correcto, el problema radica en que la fase 1 se está emparejando al túnel equivocado debido a que hay múltiples túneles configurados en la misma puerta de enlace. Esto puede ser corregido utilizando la configuración peer id en FortiGate y local id en FortiClient para emparejar el túnel adecuado.
Solución recomendada
La solución consiste en ajustar la configuración en FortiGate y FortiClient para asegurar que el túnel correcto se esté utilizando:
config vpn ipsec phase1-interface
edit <phase1-name>
set peertype one
set peerid <CustomerPeerIdString>
El <CustomerPeerIdString> debe ser utilizado como ID Local en los perfiles de acceso remoto de FortiClient.
Comandos CLI utilizados
Los comandos utilizados para diagnosticar y corregir el problema fueron:
- diagnose debug reset: Resetea cualquier debug previo activo.
- diagnose debug application ike -1: Activa el debug para la aplicación IKE.
- diagnose debug application samld -1: Activa el debug para la aplicación SAML.
- diagnose debug enable: Permite la salida de debug.
Buenas prácticas y recomendaciones
- Verifique que no haya conflictos entre múltiples túneles. Utilice diferentes peer id para cada túnel individual.
- Realice pruebas de conexión después de aplicar cambios en la configuración para asegurar que todo esté funcionando correctamente.
- Mantenga siempre una copia de seguridad de la configuración anterior antes de realizar modificaciones en FortiGate.
Notas adicionales
Después de configurar el peer id, reconéctese y confirme que la VPN esté emparejando el túnel correcto. Si el problema persiste, asegúrese de revisar los registros de eventos para identificar pistas adicionales sobre el error.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!