En este artículo, abordamos los problemas comunes relacionados con el establecimiento de conexiones VPN y el acceso remoto a través de Direcciones IP Virtuales (VIP) en dispositivos FortiGate situados detrás de un router/modem NAT proporcionado por el ISP. Este asunto es crucial, ya que la falta de configuración adecuada puede afectar gravemente la conectividad y el funcionamiento de servicios importantes. A continuación, describiremos el problema, su alcance, el diagnóstico paso a paso, la solución recomendada, los comandos CLI utilizados, y algunas buenas prácticas y recomendaciones para evitar inconvenientes futuros.
Índice
Descripción del problema
Cuando un dispositivo FortiGate se encuentra detrás de un router/modem ISP que utiliza NAT (Traducción de Direcciones de Red) y se le asigna una IP privada en su interfaz WAN, los servicios externos como VPNs y VIPs pueden no funcionar adecuadamente. En esta configuración, el router/modem del ISP detenta la IP pública, mientras que el FortiGate recibe una IP WAN privada. Si no se configura correctamente, el dispositivo del ISP puede eliminar el tráfico que debería llegar al FortiGate, ocasionando problemas de conectividad.
Alcance
FortiGate, DMZ, router/modem ISP.
Diagnóstico paso a paso
Para confirmar que el tráfico no está llegando al FortiGate, se puede realizar un diagnóstico utilizando el comando diagnose sniffer packet. Este comando permite observar el tráfico en vivo y verificar que no hay paquetes que lleguen a la interfaz del FortiGate.
Consideraciones cuando FortiGate está detrás de CGNAT proporcionado por el ISP
- El acceso externo a servicios (e.g., VPNs, VIPs, Reenvío de Puertos) alojados detrás del FortiGate puede fallar, ya que el CGNAT utiliza direcciones IP públicas compartidas entre múltiples clientes, imposibilitando el acceso directo desde Internet al FortiGate.
- Las VPNs IPsec, VPNs SSL y las características de DNS Dinámico pueden volverse inestables o completamente inoperativas debido a cambios frecuentes en la IP externa o la ausencia de un mapeo NAT 1:1.
- El diagnóstico y la resolución de problemas se vuelven significativamente más complejos debido a la falta de visibilidad y control sobre el comportamiento NAT del upstream.
Solución recomendada
Si el FortiGate se encuentra detrás de un CGNAT, se debe contactar al ISP y solicitar una dirección IP pública única (también conocida como IP pública estática o dedicada). Este cambio es esencial para habilitar un acceso externo consistente, una conectividad VPN confiable, y el correcto funcionamiento de los VIP y otros servicios de entrada.
Configuración de DMZ
Para abordar los problemas de conectividad, es necesario configurar el router/modem del ISP para que reenvíe todo el tráfico entrante de Internet a la IP privada WAN del FortiGate, estableciendo así una DMZ (Zona Desmilitarizada). Esto asegurará que cualquier tráfico dirigido a la IP pública del router/modem ISP sea correctamente dirigido al FortiGate.
Si se tiene acceso al router/modem del ISP, la configuración se puede realizar localmente. De lo contrario, el ISP deberá llevar a cabo este cambio.
Adicionalmente, si el FortiGate, que tiene habilitada la notificación push, se encuentra detrás de otro router/firewall que realiza NAT, se deberá configurar un VIP/reenvío de puertos en esa unidad para permitir que las respuestas alcancen el FortiGate.
Configuración genérica paso a paso:
- Inicie sesión en el router/modem del ISP ingresando su dirección IP en un navegador web y utilizando las credenciales de administrador para acceder a la interfaz web (GUI).
- Navegue hasta la configuración de DMZ (dependiendo del dispositivo del ISP; busque en ‘Configuraciones Avanzadas’, ‘Firewall’, o ‘NAT’).
- Establezca la IP privada WAN del FortiGate como host DMZ; de esta manera, el dispositivo ISP reenviará todo el tráfico entrante de Internet a la IP WAN del FortiGate.
- Guarde los cambios y reinicie el router/modem ISP si es necesario.
- Después de completar los pasos anteriores, verifique el tráfico entrante en el FortiGate en ‘Registro e Informe -> Tráfico Reenviado‘ o utilice la herramienta integrada ‘diag sniffer packet’ para confirmar que el tráfico está alcanzando el dispositivo. Ejemplos a continuación:
Para verificar si el IKE enviado por el compañero remoto es recibido:
diagnose sniffer packet any 'host <remote-GW> and (port 500 or port 4500)' 4 0 a
Para verificar si las solicitudes desde Internet al VIP (es decir, dirección IP externa y puerto) están siendo recibidas:
diagnose sniffer packet any 'host <VIP-IP> and (port 443 or port 3389)' 4 0 a
Para verificar si los pings de Internet hacia la IP privada WAN del FortiGate están llegando:
diagnose sniffer packet any 'host <FGT-Private-WAN-IP> and host <Source-Public-IP>' 4 0 a
- Pruebe los servicios externos (conexiones VPN, VIPs) para verificar su correcto funcionamiento.
Buenas prácticas y recomendaciones
Habilitar DMZ en el router/modem del ISP y reenviar todo el tráfico entrante de Internet a la IP privada WAN del FortiGate garantizará que todos los servicios de acceso externo, como VPNs y VIPs, funcionen correctamente. Si se necesita asistencia adicional con la configuración, es recomendable contactar al soporte del ISP o de Fortinet.
Notas adicionales
Es importante realizar un seguimiento continuo de la configuración y el estado de sus conexiones para resolver problemas proactivamente y garantizar la estabilidad del sistema.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!