Este artículo aborda un problema común que los usuarios de FortiClient pueden enfrentar: el error ‘Las credenciales o la configuración de SSLVPN son incorrectas. (-7200)’, a pesar de que la configuración sea correcta. Comprender este error es crucial, ya que afecta la capacidad de los usuarios para conectarse de manera segura a través de la VPN. A través de este artículo, proporcionaremos un análisis detallado del diagnóstico y la solución recomendada para resolver este problema.
Índice
Descripción del problema
El error mencionado ocurre cuando FortiClient no puede autenticarse correctamente en un entorno FortiGate. Este problema puede surgir debido a diversas razones, como configuraciones incorrectas en el gateway o en el FQDN asignado. Además, si el dispositivo FortiGate se encuentra en modo de conservación o si la interfaz SSL no está activa, también puede contribuir a este error.
Alcance
Este artículo se centra específicamente en la plataforma FortiGate y cómo solucionar el error «-7200» en FortiClient.
Diagnóstico paso a paso
Para diagnosticar el error, es esencial seguir una serie de comandos de depuración que ayudan a identificar los problemas subyacentes. A continuación, se describen los pasos a seguir:
Primero, verifique la configuración y asegúrese de que el gateway sea accesible y que cualquier FQDN utilizado resuelva a la dirección IP correcta.
Ejecute los siguientes comandos de depuración en FortiGate:
diagnose debug reset
diagnose vpn ssl debug-filter src-addr4
diagnose debug application fnbamd 1
diagnose debug application sslvpn -1
diagnose debug console timestamp enable
diagnose debug enable
Durante la depuración, es posible que vea el siguiente error:
[2564:root:3b]User Agent: FortiSSLVPN (Windows NT; SV1 [SV{v=02.01; f=07;}])
[2564:root:3b]rmt_web_auth_info_parser_common:533 no session id in auth info
[2564:root:3b]rmt_web_access_check:804 access failed, uri=[/remote/logincheck], ret=4103,
[2564:root:3b]fsv_logincheck_common_handler:1356 sslvpn is in conserve mode or the ssl interface is down.
[2564:root:3b]sslConnGotoNextState:318 error (last state: 1, closeOp: 0)
[2564:root:3b]Destroy sconn 0x7fc8ed441800, connSize=0. (root)
[2564:root:3b]SSL state:warning close notify (192.168.30.2)
Después de esto, verifique si el dispositivo no está en modo de conservación utilizando el siguiente comando:
diagnose hardware sysinfo conserve
Si el dispositivo no está en modo de conservación, el siguiente elemento a verificar es la interfaz ssl.root, utilizando los siguientes comandos:
config system interface
edit ssl.root
show full | grep status
set status up
next
end
Una vez realizados los cambios, el usuario debería poder conectarse.
Solución recomendada
Se recomienda comprobar que el gateway configurado es accesible y que se han hecho las configuraciones necesarias en la interfaz SSL. Asegúrese de que el estado de la interfaz ssl.root esté activo.
Comandos CLI utilizados
La lista de comandos CLI utilizados para la depuración son:
diagnose debug reset– Reinicia el depurador.diagnose vpn ssl debug-filter src-addr4 <usuario-ip-publica>– Filtra el tráfico de depuración SSL VPN basado en la dirección IP pública del usuario.diagnose debug application fnbamd 1– Habilita la depuración de la aplicación FortiNAC.diagnose debug application sslvpn -1– Habilita la depuración de la aplicación SSLVPN.diagnose debug console timestamp enable– Activa las marcas de tiempo en la salida de depuración.diagnose debug enable– Activa el módulo de depuración.diagnose hardware sysinfo conserve– Verifica si el dispositivo está en modo de conservación.config system interface– Accede a la configuración de la interfaz del sistema.edit ssl.root– Edita la configuración de la interfaz SSL.show full | grep status– Muestra el estado completo de la interfaz.set status up– Establece el estado de la interfaz en ‘activo’.
Buenas prácticas y recomendaciones
Algunas buenas prácticas para evitar este tipo de errores incluyen:
- Mantener la configuración del gateway actualizada y documentada.
- Realizar auditorías de configuración periódicas para garantizar que todas las interfaces necesarias estén operativas.
- Establecer alertas y monitoreos para detectar cuándo el dispositivo entra en modo de conservación.
Notas adicionales
Nota:
A partir de la versión v7.6.3, el modo de túnel de SSL VPN ya no será soportado, y el modo web de SSL VPN se llamará «VPN sin agente». Asegúrese de estar al tanto de estas actualizaciones y planifique las configuraciones adecuadas según sea necesario.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!