Cómo solucionar el error de autenticación en SSL VPN cuando la interfaz de origen de la política del firewall está configurada en "Cualquiera"

En este artículo, abordaremos un problema que pueden enfrentar los usuarios remotos al intentar autenticarse a través de la política de firewall de SSL VPN en FortiGate. Cuando la interfaz de origen está configurada como ‘any’, los usuarios pueden experimentar fallos en la autenticación. Este artículo ofrecerá una guía paso a paso para solucionar este problema y mejorar la configuración de su entorno Fortinet.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Los usuarios remotos que utilizan la política de firewall de SSL VPN en FortiGate pueden encontrarse con dificultades al intentar autenticarse si la interfaz de origen se establece como ‘any’. Este problema es relevante porque impide que los usuarios accedan a los recursos de la red, causando interrupciones en las operaciones diarias.

Alcance

Este artículo se aplica a dispositivos FortiGate que utilizan la función de SSL VPN. Se centrará en la configuración incorrecta de las políticas de firewall que afectan la autenticación de los usuarios remotos.

Diagnóstico paso a paso

Si la opción de ‘Políticas de múltiples interfaces’ está habilitada bajo la visibilidad de características, esto permite configurar políticas con múltiples interfaces de origen/destino o utilizar «any» como interfaz de origen/destino. Sin embargo, si hay múltiples políticas para SSL VPN que utilizan la interfaz de túnel ‘ssl.root’ junto con ‘any’ como interfaz de origen, las políticas con ‘any’ no se activarán.

Por ejemplo, consideremos las siguientes políticas de firewall:

Política de firewall con interfaz ‘any’ que permite a los usuarios remotos de LDAP/Radius que pertenecen al grupo ‘SSLVPN_LDAP_admin’;
Política de firewall con la interfaz ‘ssl.root’ que permite a los usuarios remotos de LDAP/Radius pertenecientes al grupo por defecto ‘SSLVPN_LDAP_users’.

Si un usuario del grupo ‘SSLVPN_LDAP_admin’ intenta autenticarse, el proceso fnbamd finalizará con el mensaje ‘Error de coincidencia de grupo’, y el resultado se devolverá al proceso de SSL-VPN, que terminará con un mensaje de ‘nombre de usuario/contraseña inválido’.

[2863] fnbamd_ldap_result-Failed group matching
[209] fnbamd_comm_send_result-Sending result 1 (nid 0) for req 558161773, len=2856
[7658:root:1c]fam_auth_proc_resp:1371 fnbam_auth_update_result return: 1 (invalue username/password)
[7658:root:1c]login_failed:405 user[jfelix],auth_type=16 failed [sslvpn_login_permission_denied]

Esto podría indicar que falta una política para el grupo ‘SSLVPN_LDAP_admin’. Al cambiar la interfaz de origen de ‘any’ a la interfaz ‘ssl.root’, es posible que un usuario del grupo ‘SSLVPN_LDAP_admin’ se autentique correctamente.

Solución recomendada

Para resolver este problema, revise las siguientes configuraciones:

Verifique que no existan múltiples políticas que interfieran en la autenticación cuando se utiliza ‘any’ como interfaz de origen.
Si es necesario, ajuste la interfaz de origen de ‘any’ a ‘ssl.root’ en las políticas relevantes.

Comandos CLI utilizados

Los siguientes comandos pueden ser útiles durante la solución de problemas:

show firewall policy: Muestra todas las políticas de firewall configuradas.
diagnose debug application fnbamd : Proporciona salida de depuración para el proceso de autenticación, lo que ayuda a identificar problemas específicos.

Buenas prácticas y recomendaciones

Para garantizar un funcionamiento óptimo de la SSL VPN en FortiGate, considere las siguientes recomendaciones:

Evite utilizar ‘any’ como interfaz de origen a menos que sea absolutamente necesario.
Revise y documente todas las políticas de firewall de forma regular para evitar conflictos de configuración.
Asegúrese de que todos los grupos de usuarios estén definidos correctamente y con políticas de autenticación adecuadas.

Notas adicionales

Es importante tener en cuenta que, a partir de la versión 7.6.3, el modo túnel de SSL VPN ya no será compatible, y el modo web de SSL VPN será denominado ‘VPN sin agente’. Manténgase actualizado con las notas de la versión y ajuste su configuración conforme a las nuevas pautas de Fortinet.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver el error de SSL VPN que asigna una dirección IP fuera del rango de la red del túnel
En este artículo, analizaremos un problema relacionado con la configuración de direcciones IP en un entorno de FortiGate, donde los clientes de una VPN SSL no reciben las direcciones IP esperadas de un rango predefinido. Esto es importante porque una configuración incorrecta puede afectar la conectividad y el acceso de los usuarios remotos a la Leer
Cómo resolver el problema de deshabilitar las alertas por correo electrónico para intentos de inicio de sesión de administrador en Fortinet
En este artículo, abordaremos el problema de las notificaciones por correo electrónico que se envían para los intentos de inicio de sesión del administrador en FortiGate sin que estén configurados los «automation stitches». Este asunto es importante porque, aunque las notificaciones se han actualizado en las versiones recientes de FortiOS, puede resultar molesto e innecesario Leer
Cómo solucionar el fallo en la conmutación por error al servidor real ZTNA cuando se configura una ruta de agujero negro en Fortinet
En este artículo abordamos un problema relacionado con la sincronización en servidores de respaldo de FortiGate. Este inconveniente se presenta cuando un servidor real activo se apaga y la conmutación por error a un servidor en espera falla, provocando errores de conectividad, como el error 504. A continuación, se detallarán las causas de este problema Leer
Cómo solucionar el error de ruta redundante no instalada en la tabla de enrutamiento con eBGP en Fortinet
En este artículo se abordará un problema común en FortiGate relacionado con la instalación de rutas por defecto o redundantes aprendidas a través de eBGP. Este asunto es importante, ya que la configuración incorrecta puede afectar la conectividad y el rendimiento de la red. A continuación, se proporcionará un diagnóstico paso a paso para identificar Leer
Cómo solucionar problemas de conexión segura entre FortiGate y los servidores de FortiGuard
Este artículo aborda un problema común relacionado con la conexión entre FortiGate y los servidores de FortiGuard, que es crucial para la seguridad y funcionalidad de las soluciones de Fortinet. El establecimiento de una conexión segura garantiza la integridad de las actualizaciones y la comunicación segura del dispositivo. A continuación, se detallará qué pasos seguir Leer

Cómo solucionar el error de autenticación en SSL VPN cuando la interfaz de origen de la política del firewall está configurada en «Cualquiera»