En este artículo, analizaremos un problema relacionado con la configuración de direcciones IP en un entorno de FortiGate, donde los clientes de una VPN SSL no reciben las direcciones IP esperadas de un rango predefinido. Esto es importante porque una configuración incorrecta puede afectar la conectividad y el acceso de los usuarios remotos a la red. A lo largo del artículo, proporcionaremos un diagnóstico paso a paso y una solución recomendada para resolver este problema.
Índice
Descripción del problema
Los clientes que se conectan a una VPN SSL de FortiGate están recibiendo direcciones IP que no pertenecen al rango definido para sus conexiones. Esto puede dificultar la comunicación eficaz y generar problemas de acceso dentro de la red.
Alcance
Este artículo se aplica a dispositivos FortiGate y sus configuraciones de VPN SSL.
Diagnóstico paso a paso
La configuración establecida para que los usuarios de la VPN SSL reciban sus direcciones IP es de 10.212.134.200 a 10.212.134.210. A continuación, se muestra una captura de pantalla que ilustra este rango de IP:
Sin embargo, cuando un usuario se conecta a la VPN SSL, no siempre recibe una dirección IP dentro de este rango configurado.
El motivo principal es que el rango de direcciones dentro del portal VPN SSL tiene prioridad sobre el rango definido en la configuración de la VPN SSL. En este escenario, se utilizó un portal VPN de ‘acceso completo’, y el usuario ‘testuser’ forma parte del grupo ‘Guest-group’.
En el portal VPN SSL de ‘acceso completo’, el pool de direcciones IP aplicado como pool de IPs de origen está tomando prioridad sobre el pool de IPs de la VPN SSL definido en la configuración.
El pool tiene el siguiente rango, y esta es la razón por la cual, al conectarse a la VPN SSL, el usuario recibe una IP del pool definido en el portal VPN SSL:
config firewall address
edit «SSLVPN-Test-2»
set uuid 81e6abc4-8a74-51ef-45e5-291bad963a60
set subnet 192.168.1.0 255.255.255.0
next
end
Se cambió el pool y se aplicó el mismo pool definido en la configuración de la VPN SSL.
Solución recomendada
Realiza las siguientes configuraciones en la CLI para asegurar que los usuarios de la VPN SSL reciban direcciones IP del rango definido en la configuración:
El comando que se mostró es parte de la configuración general de direcciones en la firewall:
Después de realizar estas modificaciones, se probó que el usuario recibió la dirección IP definida en el pool predeterminado:
Comandos CLI utilizados
Los siguientes comandos fueron utilizados en la configuración:
config firewall address
edit "SSLVPN_TUNNEL_ADDR1"
set type iprange
set start-ip 10.212.134.200
set end-ip 10.212.134.210
next
end
Buenas prácticas y recomendaciones
Es recomendable revisar las configuraciones de los grupos de usuarios de la VPN SSL y asegurarse de que el rango de direcciones IP esperado esté bien documentado. Siempre verifica las prioridades de los pools de IPs y asegúrate de que la configuración de la VPN SSL no tenga conflictos con otros ajustes de red.
Notas adicionales
En caso de que surjan más problemas relacionados con la conectividad de los usuarios, revise los registros del sistema en FortiGate y consulte esta guía para obtener más información.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!