Este artículo aborda un problema común que los usuarios de FortiGate pueden enfrentar: la autenticación de la VPN IPsec mediante SAML que no genera un registro IKE. Este problema es relevante porque impide una conexión segura y efectiva a través de la VPN, lo que puede afectar la productividad de los usuarios y la seguridad de la red. Aquí aprenderá cómo diagnosticar y solucionar este problema utilizando comandos CLI adecuados y prácticas recomendadas.
Índice
Descripción del problema
Al configurar una VPN IPsec con autenticación SAML en FortiGate, es posible que los registros de IKE no se generen, lo que dificulta la identificación de problemas de conexión. Esto puede deberse a configuraciones incorrectas, problemas en la red o requisitos de versión específicos de FortiGate o FortiClient.
Alcance
Este artículo es aplicable a las versiones de FortiGate v7.2 y FortiClient v7.2. A partir de la versión 7.4.0, hay ligeros cambios en los comandos que se deben tener en cuenta.
Diagnóstico paso a paso
Para solucionar problemas de autenticación IPsec VPN SAML, se puede utilizar los seguimientos de ike y saml como se describe a continuación:
diagnose vpn ike log-filter dst-addr4 x.x.x.x
diagnose debug console timestamp enable
diagnose debug application authd 60
diagnose debug application ike -1
diagnose debug application samld -1
diagnose debug application eap_proxy -1
diagnose debug enable
Para versiones 7.4.0 y superiores, los comandos deben ajustarse ligeramente:
diagnose vpn ike log filter rem-addr4 x.x.x.x
diagnose debug console timestamp enable
diagnose debug application authd 60
diagnose debug application ike -1
diagnose debug application samld -1
diagnose debug application eap_proxy -1
diagnose debug enable
Para detener el debugging, utilice:
diagnose debug disable
diagnose debug reset
Solución recomendada
El registro SAML se generará antes que el registro IKE, mostrando atributos como grupo, nombre de usuario, URL, etc., al final del registro de depuración SAML. El registro de depuración IKE comenzará de la siguiente manera:
samld_send_common_reply [99]: Attr: 17, 31, magic=00070284969a10d4
samld_send_common_reply [99]: Attr: 18, 29, 2024-09-26T06:53:40Z
En caso de que el registro de depuración IKE no se muestre justo después del registro de depuración SAML:
samld_send_common_reply [119]: Sent resp: 14955, pid=2012, job_id=563485.
Realice una captura de paquetes en la interfaz de salida para confirmar si es posible ver el tráfico del par remoto. Si no, asegúrese de que el tráfico IKE en los puertos 500/4500 esté permitido en el dispositivo de red conectado upstream.
Comandos CLI utilizados
Los comandos CLI que se utilizan para las pruebas y diagnósticos son los siguientes:
diagnose vpn ike log-filter dst-addr4 x.x.x.xdiagnose debug console timestamp enablediagnose debug application authd 60diagnose debug application ike -1diagnose debug application samld -1diagnose debug application eap_proxy -1diagnose debug enablediagnose debug disablediagnose debug resetdiagnose sniffer packet any 'host <remote-peer-ip> and port (500 or 4500)' 4 0 l
Buenas prácticas y recomendaciones
Al realizar pruebas, asegúrese de que el dispositivo de red local esté correctamente configurado para permitir el tráfico en los puertos requeridos. Además, considere actualizar el FortiClient si está utilizando una versión anterior, ya que las versiones más recientes ofrecen mejoras y correcciones que pueden resolver problemas de conectividad.
Notas adicionales
Si la recopilación de registros desde FortiClient -> Configuración -> Registro -> Exportar registros no muestra ninguna información relacionada con IKE y el FortiClient IPsec VPN está atascado en ‘Conectando a VPN’, considere actualizar la versión del cliente. La autenticación SAML utilizando un navegador externo para la VPN IPsec es compatible a partir de FortiOS v7.6.1 y FortiClient v7.2.5/v7.4.1 (Windows & macOS) y v7.4.3 (Linux).
Desmarque (o desactive) ‘Utilizar un navegador externo como agente de usuario para la autenticación de usuario SAML’ para resolver este problema.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!