En este artículo, abordaremos un problema relacionado con la funcionalidad de auto conexión en FortiClient utilizando autenticación SAML en dispositivos FortiGate. Esta cuestión es relevante, ya que puede provocar fallos en la conexión entre un 40% y un 50% cuando se utiliza una dirección IP NAT en lugar de una IP pública. A través de este artículo, proporcionaremos un diagnóstico detallado y la solución recomendada para garantizar el correcto funcionamiento de su configuración.
Índice
Descripción del problema
Este artículo discute un escenario donde FortiClient utiliza la funcionalidad de auto conexión, como se menciona en Guardar contraseña, auto conectar y siempre disponible, con autenticación SAML. La interfaz WAN del FortiGate no está configurada con una IP pública, y se ha usado un grupo de NAT para enviar tráfico hacia Internet.
Con base en el consejo técnico, el comando set auth-url bajo la configuración config user saml ha sido eliminado y reemplazado con config user external-identity-provider a partir de la versión 7.2.8.
La función principal de set auth-url es especificar la URL del endpoint de autenticación del Proveedor de Identidad SAML (IdP). Esta URL es donde FortiGate redirigirá a los usuarios para que se autentiquen al intentar iniciar sesión mediante SAML Single Sign-On (SSO).
Alcance
FortiGate v7.2.8 y superiores.
Diagnóstico paso a paso
En el escenario descrito, se observó que el tráfico SAML generado para acceder a Microsoft Azure Entra ID sale del FortiGate sin ser NAT. Basándose en los registros de tráfico y la tabla de sesiones, se puede deducir que el tráfico está atravesando el dispositivo sin la traducción de dirección IP.
Referirse a los siguientes artefactos para obtener más información:
session info: proto=6 proto_state=02 duration=0 expire=9 timeout=3600 flags=00000000 socktype=0 sockport=0 av_idx=0 use=3origin-shaper=reply-shaper=per_ip_shaper=class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=255/255state=log local ndsstatistic(bytes/packets/allow_err): org=60/1/1 reply=0/0/0 tuples=2tx speed(Bps/kbps): 0/0 rx speed(Bps/kbps): 0/0orgin->sink: org out->post, reply pre->in dev=14->3/3->0 gwy=0.0.0.0/0.0.0.0hook=out dir=org act=noop 172.16.119.86:18694->20.190.177.17:443(0.0.0.0:0) <<<<<<<No NAThook=in dir=reply act=noop 20.190.177.17:443->172.16.119.86:18694(0.0.0.0:0)pos/(before,after) 0/(0,0), 0/(0,0)misc=0 policy_id=0 pol_uuid_idx=0 auth_info=0 chk_client_info=0 vd=0serial=00af4b24 tos=ff/ff app_list=0 app=0 url_cat=0rpdb_link_id=00000000 ngfwid=n/anpu_state=00000000no_ofld_reason: localtotal session 1
Nota: 20.190.177.17 es la IP de Microsoft Azure.
Solución recomendada
Como se mencionó en la descripción anterior, la función de auto-conexión de SSL VPN con autenticación SAML falla entre un 40% y un 50%. En este contexto, se requiere que el tráfico generado desde FortiGate pase a través de una IP pública. Por lo tanto, es necesario definir la IP de origen como la IP pública del grupo NAT.
La configuración debería verse de la siguiente manera:
config user external-identity-provider edit "msgraph" set type ms-graph set version v1.0 set source-ip "X.Y.Z.R" <—– X.Y.Z.R es la IP pública del grupo NAT. nextend
Comandos CLI utilizados
A continuación, se presentan los comandos CLI utilizados en la configuración:
config user external-identity-provider edit "msgraph" set type ms-graph set version v1.0 set source-ip "X.Y.Z.R" nextend
Buenas prácticas y recomendaciones
Es crucial siempre asegurarse de que el tráfico destinado a servicios externos esté configurado para utilizar una IP pública. Esto no solo facilita la conexión, sino que también mejora la seguridad de sus transacciones. Asegúrese de revisar periódicamente las configuraciones y de realizar pruebas de conectividad para evitar problemas en el futuro.
Notas adicionales
Recuerde que cualquier actualización en la versión de FortiGate puede alterar la forma en que se configuran ciertos parámetros. Mantenga siempre sus dispositivos actualizados y revise la documentación oficial para estar al tanto de los cambios.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!