En este artículo, abordaremos un problema común que enfrentan los dispositivos FortiGate en un clúster HA: la incapacidad de conectarse a FortiManager debido a un desajuste entre el número de serie en su certificado local y el que se espera en FortiManager. Este problema es crítico ya que puede afectar la gestión y supervisión del dispositivo, así que es fundamental entender cómo diagnosticar y resolver esta situación para asegurar una configuración adecuada y una sincronización efectiva en el entorno de HA.
Índice
Descripción del problema
Cuando un dispositivo FortiGate en un clúster de alta disponibilidad (HA) experimenta un fallo, puede ocurrir que la unidad secundaria no se sincronice correctamente con su certificado local, razón por la cual puede adoptar el número de serie del dispositivo primario. Este desajuste provoca problemas en la comunicación con FortiManager, que depende de una coincidencia precisa entre los certificados para autenticar los dispositivos.
Alcance
Este artículo es aplicable a FortiGate en la versión 7.2.8.
Diagnóstico paso a paso
La sincronización incorrecta del certificado puede provocar que, tras un failover del HA, la unidad secundaria no se conecte a FortiManager. Para diagnosticar el problema, ejecuta el siguiente comando en ambos dispositivos FortiGate para verificar los detalles del certificado local:
fw01# get vpn certificate local detailsEsto mostrará información como el número de serie del certificado. Por ejemplo:
== [ Fortinet_Factory ]
Nombre: Fortinet_Factory
Sujeto: C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = FortiGate, CN = FG180FTK2390XXXX, emailAddress = [email protected]
Emisor: C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Certificate Authority, CN = fortinet-subca201, emailAddress = [email protected]
Válido desde: 2023-09-13 01:53:38 GMT
Válido hasta: 2056-05-26 20:48:33 GMT
Huella digital: 56:F8:57:16:E6:1D:58:79::3C:86:4D:25:5E
Número de serie: 02:67:5a:25Al observar que el número de serie no coincide, es probable que existan problemas de conexión con FortiManager. Al activar el failover, la unidad secundaria puede convertirse en la principal, lo cual genera conflictos de conexión.
Solución recomendada
Para resolver este problema, se recomienda que se actualice FortiOS a versiones que aborden esta incidencia, tales como 7.0.16, 7.2.9, 7.4.5 y 7.6.0. Alternativamente, para versiones anteriores, puede deshabilitarse la verificación de coincidencia del certificado utilizando los siguientes comandos en la línea de comandos (CLI) del FortiManager:
config system global
set fgfm-peercert-withoutsn enable <- Deshabilitado a partir de v7.2.10/7.4.6/v7.6.1 en adelante.
endNota: Este comando se considera obsoleto a partir de FortiOS v.7.4.6.
Una solución temporal para estas versiones es revertir el failover al dispositivo anterior para que el número de serie en el campo CN del certificado presentado a FortiManager coincida con el número de serie del dispositivo que intenta establecer la conexión.
Comandos CLI utilizados
Los siguientes comandos son útiles para recopilar información o realizar diagnósticos pertinentes que podrían ser requeridos por el soporte técnico de Fortinet (TAC):
- Informe TAC:
execute tac report - Depuración en FortiGate:
diag debug reset diag debug application fgfm 255 diag debug console time enable diag debug enable - Depuración en FortiManager:
diag debug reset diag debug application fgfmsd 255 <deviceName> diag debug time enable diag debug enable
Para deshabilitar la depuración, utilice:
diag debug disable
diag debug resetBuenas prácticas y recomendaciones
Es fundamental mantener las versiones de FortiOS actualizadas para asegurarse de que se estén aplicando las últimas correcciones y mejoras de seguridad. Además, realizar auditorías periódicas de la configuración y documentación de los certificados puede prevenir problemas de sincronización en el futuro.
Notas adicionales
Los logs generados durante el diagnóstico pueden ser cruciales para identificar y resolver problemas de conectividad. Asegúrese de seguir los pasos descritos y comparta los resultados con el soporte técnico cuando sea necesario.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!