En este artículo abordaremos un problema común que enfrentan los usuarios de FortiGate al configurar su VPN IPsec utilizando la autenticación DUO SAML. El problema se presenta cuando el cliente queda atascado en el estado de conexión y un depuración de IKE muestra ‘EAP failure’. Es crucial resolver este problema para garantizar el acceso seguro y eficiente a la red. Aquí, explicaremos cómo diagnosticar y solucionar este inconveniente paso a paso.
Índice
Descripción del problema
Durante la configuración de una VPN IPsec con autenticación DUO SAML, los usuarios pueden experimentar que el cliente se queda atrapado en el estado de conexión. Esto se debe a un fallo en la autenticación EAP, como se puede observar en los logs de depuración de IKE.
Alcance
Este artículo se centra en la integración de FortiGate con DUO SAML y cómo evitar problemas de conexión en entornos de VPN. La solución es aplicable a cualquier dispositivo FortiGate que esté configurado para utilizar DUO como método de autenticación.
Diagnóstico paso a paso
Para diagnosticar el problema, primero asegúrese de habilitar el modo de depuración en FortiGate. Esto se puede hacer con los siguientes comandos de CLI:
FGT_1 # diagnose debug reset
FGT_1 # diagnose debug application ike -1
Debug messages will be on for 30 minutes.
FGT_1 # diagnose debug enableUna vez habilitada la depuración, revise los mensajes de depuración que aparecerán en el log. Un ejemplo de salida es el siguiente:
ike 0:RA-IPsec:1907: responder received EAP msg
ike 0:RA-IPsec:1907: send EAP message to FNBAM
ike 0:RA-IPsec:1907: initiating EAP authentication
ike 0:RA-IPsec: EAP user "42DA54BF24EB4AE5A007AF33CF4D167A"
ike 0:RA-IPsec: auth group DUO SAML
ike 0:RA-IPsec: EAP 1351799958 pending
ike 0:RA-IPsec:1907 EAP 1351799958 result FNBAM_DENNIED
ike 0:RA-IPsec: EAP failed for user "42DA54BF24EB4AE5A007AF33CF4D167A"
ike 0:RA-IPsec: connection expiring due to EAP failureEsto indica que la autenticación EAP ha fallado. A continuación, verifique la configuración de los grupos de usuarios en User & Authentication -> User Groups. Asegúrese de que la coincidencia de grupos se configure para coincidir con el atributo específico del grupo, en este caso, ‘Co-operate’.
Solución recomendada
Para resolver el problema, verifique si el valor especificado en la configuración del grupo en FortiGate coincide con el atributo configurado en DUO. Si hay alguna discrepancia, modifique la coincidencia de grupos a ‘Any’ y realice la prueba nuevamente.
Por ejemplo, si se habilita la coincidencia de grupos, la salida de la depuración debería mostrar:
[581] __group_match-Check if DuoSSO is a group member
[587] __group_match-Group 'VPN-Users' passed group matching
[590] __group_match-Add matched group 'DUO SAML'(2)
[206] find_matched_usr_grps-Passed group matching
[239] fnbamd_comm_send_result-Sending result 0 (nid 0) for req 32014794493961
[600] destroy_auth_session-delete session 32014794493961
ike V=root:0:RA-IPsec:14 EAP 32014794493961 result FNBAM_SUCCESS
ike V=root:0:RA-IPsec: EAP succeeded for user "42DA54BF24EB4AE5A007AF33CF4D167A" group "DUO SAML" 2FA=noCon esto, la autenticación EAP debería ser exitosa, y la VPN debería estar operativa.
Comandos CLI utilizados
A continuación, se presenta un resumen de los comandos CLI utilizados para la depuración:
diagnose debug reset– Resetea la salida de depuración.diagnose debug application ike -1– Activa la depuración para la aplicación IKE.diagnose debug enable– Habilita la depuración de mensajes.
Buenas prácticas y recomendaciones
Al utilizar DUO SAML para la autenticación, se recomienda lo siguiente:
- Asegúrese de que los atributos de grupo en DUO y FortiGate coincidan exactamente.
- Realice pruebas de configuración regularmente para prevenir problemas de autenticación.
- Revisar las actualizaciones de FortiGate y DUO SAML para asegurar que su integración se mantenga segura y funcional.
Notas adicionales
Si está utilizando Azure SAML, asegúrese de que el valor configurado bajo el atributo ‘Attribute used to identify groups’ coincida con el atributo de grupo en el lado de Azure.
Documento relacionado.
Lógica de coincidencia de grupos en FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!