En este artículo abordamos un problema que afecta a los usuarios de VPN al intentar establecer un túnel IPSec de marcación con autenticación SAML. Este inconveniente es crítico ya que interrumpe la conectividad para los usuarios que necesitan acceso remoto seguro. A través de un diagnóstico detallado y soluciones recomendadas, te ayudaremos a resolver este problema, asegurando que la conexión VPN funcione sin inconvenientes en FortiGate.
Índice
Descripción del problema
Este artículo describe un método alternativo y una solución para el problema en el que los usuarios de VPN no logran establecer un túnel IPSec de marcación con autenticación SAML. La dificultad se presenta cuando los usuarios no coinciden con el grupo de Entra ID durante la fase EAP, debido a una limitación en el tamaño del búfer.
Alcance
Este problema afecta a las versiones de FortiGate v7.2.8, v7.2.9 y v7.2.10.
Diagnóstico paso a paso
Los usuarios pueden fallar al establecer el túnel VPN debido a la configuración del nombre del grupo en el grupo de usuarios SAML. El problema se puede verificar examinando los registros, como se indica a continuación:
config user group
edit "IPSEC"
set member "SAML-IPSEC"
config match
edit 1
set server-name "SAML-IPSEC"
set group-name "6fcfg1ea33017-43y1-9c47-fce98e1299"
next
end
next
endSe pueden observar los siguientes registros en las salidas de depuración:
2024-09-24 11:21:29 [1623] fnbam_user_auth_group_match-req id: 1174100459, server: entra-id-saml, local auth: 0, dn match: 0
2024-09-24 11:21:29 [1592] __group_match-Group 'IPSEC' passed group matching
... (continúa) ...
Not enough buffer for groups
... (continúa) ...
Este problema ha sido resuelto en las versiones v7.2.11, v7.4.5 y v7.6.1.
Solución recomendada
Como solución alternativa, se recomienda eliminar el nombre del grupo del grupo de usuarios SAML. Utiliza el siguiente comando para realizar esta configuración:
config user group
edit "IPSEC"
set member "SAML-IPSEC"
config match
delete 1
end
endComandos CLI utilizados
- diagnose debug application ike -1 – Activa la depuración para la aplicación IKE.
- diagnose debug application authd 60 – Activa la depuración para el demonio de autenticación.
- diagnose debug application samld -1 – Activa la depuración para el daemon SAML.
- diagnose debug application fnbamd -1 – Activa la depuración para el daemon de manejo de autenticación.
- diagnose debug application eap_proxy -1 – Activa la depuración para el proxy EAP.
- diagnose debug console timestamp enable – Habilita la marca de tiempo en la consola de depuración.
- diag debug enable – Habilita la depuración.
Para deshabilitar las depuraciones, usa el comando diag debug disable.
Buenas prácticas y recomendaciones
Asegúrate de actualizar a las versiones más recientes de FortiGate para evitar problemas de compatibilidad. También se recomienda realizar copias de seguridad de la configuración antes de implementar cambios significativos en la política de acceso, así como de realizar pruebas después de realizar ajustes en la configuración.
Notas adicionales
Los registros requeridos por el soporte técnico de FortiGate (TAC) para la investigación incluyen:
- Informe TAC:
execute tac report - El archivo de configuración de FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!