Este artículo aborda un problema común en la configuración de la VPN IPsec de FortiClient, donde los usuarios no pueden acceder a subredes remotas debido a una configuración redundante del grupo de usuarios. Este problema es importante porque puede afectar la conectividad y la seguridad de una red. Aquí, proporcionaremos pasos claros para diagnosticar y resolver este problema, asegurando que los usuarios puedan acceder a los recursos necesarios sin inconvenientes.
Índice
Descripción del problema
El problema se presenta cuando un usuario no puede acceder a una subred remota mientras está conectado a la VPN IPsec de FortiClient, debido a una configuración incorrecta de grupos de usuarios que se define tanto en la política del firewall como en la configuración de fase 1 de IPsec.
Alcance
Este artículo es aplicable a dispositivos FortiGate en entornos que utilizan la configuración de VPN IPsec para acceso remoto.
Diagnóstico paso a paso
Para diagnosticar el problema, el administrador debe seguir estos pasos e ingresar los comandos CLI que permitirán identificar la causa del fallo en la conexión:
diagnose debug flow filter saddr X.X.X.X<—– Especificar la IP de VPN asignada al usuario.diagnose debug flow filter daddr Y.Y.Y.Y<—– Dirección del recurso en la LAN remota.diagnose debug flow show function-name enablediagnose debug flow show iprope enablediagnose debug console timestamp enablediagnose debug enablediagnose debug flow trace start 500
El resultado del flujo de depuración se verá similar al siguiente:
Solución recomendada
Existen dos métodos para configurar un grupo de usuarios en una conexión de acceso remoto:
- Herencia desde la política: En este método, el grupo de usuarios se configura en la política del firewall IPsec. La ventaja de este método es que permite que el administrador configure múltiples grupos de usuarios para un solo flujo de tráfico o política.
- Configuración directa en fase 1 de IPsec: En este método, solo se permite configurar un grupo. No es necesario configurar el grupo de usuarios en la política del firewall.
Configuración de Fase 1 de IPsec:
Configuración de la Política del Firewall:
Surge un problema cuando el grupo de usuarios se define tanto en la política del firewall como en la configuración de fase 1 de IPsec. El tráfico IPsec no se corresponderá con la política correcta y terminará en un rechazo implícito.
Comandos CLI utilizados
Los comandos CLI mencionados anteriormente son esenciales para rastrear el flujo de tráfico y verificar la configuración de la VPN. Estas herramientas permiten identificar la dirección de origen y destino, así como habilitar opciones adicionales para un diagnóstico detallado.
Buenas prácticas y recomendaciones
Para evitar problemas, es recomendable seguir estas buenas prácticas:
- Configurar el grupo de usuarios solo en uno de los lugares: ya sea en la fase 1 de IPsec o en la política del firewall, pero no en ambos.
- Mantener una documentación clara y actualizada de las configuraciones aplicadas.
- Realizar pruebas periódicas de conectividad después de cualquier modificación en la configuración.
Notas adicionales
El uso de herramientas de depuración y un enfoque metódico en la configuración de la VPN IPsec puede ayudar a resolver problemas de conectividad y optimizar el acceso a recursos remotos. Asegúrese de tener acceso a los registros y se familiarice con las herramientas de diagnóstico disponibles en los dispositivos FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!