Este artículo aborda un problema común que se presenta al configurar una VPN SSL en dispositivos FortiGate, donde la conexión se detiene en un 40% tras la reemisión de un certificado, mostrando el mensaje de error: ‘No se puede establecer la conexión VPN. Es posible que el servidor VPN no sea accesible o que su certificado de identidad no sea de confianza. (-5)’. Resolver este error es crucial para garantizar la seguridad y eficiencia en las comunicaciones remotas. A continuación, se detallará el diagnóstico y las soluciones recomendadas para este problema.
Índice
Descripción del problema
La configuración de la VPN SSL experimenta un fallo cuando intenta conectarse, frecuentemente después de que se haya reemitido un certificado. Este problema puede ser causado por una serie de factores, incluyendo configuraciones incorrectas de certificados o problemas de conectividad con el servidor VPN. La identificación y la resolución rápidas de este problema son esenciales para mantener un acceso seguro a la red corporativa.
Alcance
Este problema se aplica a todas las versiones de FortiOS, que es el sistema operativo utilizado por los dispositivos FortiGate para gestionar la seguridad de la red.
Diagnóstico paso a paso
Al realizar un diagnóstico, puede utilizar la función de depuración de SSL para rastrear el problema. Los registros de depuración SSL pueden proporcionar detalles específicos sobre el estado de la conexión y dónde puede estar fallando. A continuación se presenta un ejemplo de salida de los registros de depuración, donde la aceptación de SSL falla:
[238:root:26]allocSSLConn:298 sconn 0x7f99c1fb00 (0:root)
[238:root:26]SSL state:before SSL initialization (X.X.X.X)
[238:root:26]got SNI server name: vpn.domainexample.com realm (null)
[238:root:26]client cert requirement: no
[238:root:26]SSL state:SSLv3/TLS read client hello (X.X.X.X)
[238:root:26]SSL_accept failed, 5:(null)
[238:root:26]Destroy sconn 0x7f99c1fb00, connSize=0. (root)
En estas líneas, se puede observar que la aceptación SSL ha fallado, lo cual indica problemas con el certificado o la configuración del servidor VPN.
Solución recomendada
Una de las soluciones más efectivas para resolver este problema es desinstalar el certificado problemático y luego reinstalarlo. Este procedimiento generalmente corrige el error y permite la correcta conexión a la VPN.
Comandos CLI utilizados
Para llevar a cabo la desinstalación y reinstalación del certificado, se pueden utilizar los siguientes comandos en la interfaz de línea de comandos (CLI) de FortiGate:
- Desinstalar certificado:
config vpn certificate local
delete "nombre_del_certificado"
endconfig vpn certificate local
edit "nombre_del_certificado"
set certificate ""
set private-key ""
next
end Estos comandos permiten gestionar los certificados de forma efectiva en el dispositivo FortiGate.
Buenas prácticas y recomendaciones
Para evitar este tipo de problemas en el futuro, se recomiendan las siguientes prácticas:
- Asegúrese de que los certificados sean emitidos por una autoridad certificadora (CA) de confianza.
- Realice auditorías periódicas de los certificados utilizados en su sistema.
- Mantenga siempre actualizado el firmware de FortiOS para asegurar la compatibilidad con los estándares de seguridad más recientes.
- Considere implementar políticas de acceso más estrictas para la VPN, garantizando que solo los dispositivos autorizados puedan conectarse.
Notas adicionales
Si después de seguir estas recomendaciones el problema persiste, puede ser útil revisar la documentación oficial de Fortinet o contactar con el soporte técnico para recibir asistencia personalizada.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!