En este artículo se aborda un problema enfrentado por los usuarios de FortiClient en sistemas operativos Windows, quienes no pueden conectarse a la VPN SSL SAML cuando el modo web de VPN SSL está deshabilitado a nivel global. Esta cuestión es crítica ya que impide el acceso a recursos necesarios en entornos empresariales. A continuación, se explicará cómo diagnosticar y resolver este inconveniente de manera efectiva.
Índice
Descripción del problema
Los usuarios de VPN SSL SAML pueden experimentar problemas de conexión utilizando FortiClient en Windows cuando el modo web de VPN SSL está deshabilitado globalmente. Sin embargo, al habilitar el modo web, los usuarios pueden conectarse a la VPN sin problemas.
Alcance
FortiGate v7.4.4.
Diagnóstico paso a paso
Para verificar el problema, se pueden examinar los registros generados. Uno de los indicadores es que el Agente de Usuario se muestra como ‘null’. A continuación se presentan los registros relevantes:
[3958:customer1:eb7]req: /remote/saml/start
[3958:customer1:eb7]rmt_web_auth_info_parser_common:533 no session id in auth info
[3958:customer1:eb7]rmt_web_get_access_cache:885 invalid cache, ret=4103
[3958:customer1:eb7]User Agent: (null)<–
[3958:customer1:eb7]Transfer-Encoding n/a
[3958:customer1:eb7]Content-Length n/a
[3958:customer1:eb7]SSL state:fatal decode error (192.168.253.2)
[3958:customer1:0]ap_read,105, error=1, errno=0 ssl 0x7f9baa017000 Success. error:0A000126:SSL routines::unexpected eof while reading
[3958:customer1:eb7]sslvpn_read_request_common,863, ret=-1 error=-1, sconn=0x7f9baacae000.
[3958:customer1:eb7]Destroy sconn 0x7f9baacae000, connSize=0. (customer1)
Solución recomendada
Este problema ha sido resuelto en las versiones v7.4.8 y v7.6.1 (disponibles en el Portal de Soporte de Fortinet).
Solución temporal: Habilite ‘sslvpn-web-mode‘ a nivel global utilizando los siguientes comandos.
config system global
set sslvpn-web-mode enable
end
Comandos CLI utilizados
Registros requeridos por el TAC de FortiGate para la investigación:
- Debugs:
diagnose debug application samld -1
diagnose debug application sslvpn -1
diagnose debug console timestamp enable
diagnose debug enable <—- Reproduzca el problema.
Para deshabilitar los debugs:
diagnose debug reset
diagnose debug disable
Informe TAC:
execute tac report
Archivo de configuración de FortiGate.
Registros Debug de FortiClient: Consejo Técnico: Cómo habilitar el registro de depuración en FortiClient.
Buenas prácticas y recomendaciones
Es recomendable mantener el firmware actualizado y seguir las pautas de implementación de Fortinet para evitar problemas de conectividad en entornos críticos. Además, los registros deben revisarse periódicamente para detectar posibles errores antes de que se conviertan en problemas importantes.
Notas adicionales
Los administradores deben estar al tanto de las versiones de FortiGate y la compatibilidad de FortiClient para garantizar un funcionamiento sin inconvenientes. Siempre que sea posible, se recomienda probar los cambios en un entorno de laboratorio antes de aplicar configuraciones en producción.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!