Cómo solucionar el error 'Timeout del Watchdog SSL VPN' y el fallo del daemon sslvpnd con señal 11 en Fortinet

En este artículo se aborda un problema crítico relacionado con el proceso de la VPN SSL en FortiGate, que puede causar que el demonio sslvpnd se bloquee con un error de señal 11 (fallo de segmentación) tras un ‘timeout del watchdog de la VPN SSL’. Comprender y resolver este problema es esencial para mantener la seguridad y la disponibilidad de la conexión VPN. Aquí, se ofrecerán pasos de diagnóstico y soluciones recomendadas para mitigar este inconveniente.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Este artículo describe el problema en el que el demonio de la VPN SSL (sslvpnd) se bloquea con un Signal 11 (fallo de segmentación) cuando se reporta un ‘timeout del watchdog de la VPN SSL’. Este problema suele manifestarse durante periodos de lentitud en el proceso de la VPN SSL, lo que impacta directamente en la experiencia de los usuarios y en la seguridad de la red.

Alcance

Este problema afecta a las siguientes versiones de FortiGate: v7.0.14, v7.2.7, v7.2.8, v7.2.10 y v7.4.8. Es importante tener en cuenta que las versiones de firmware pueden incluir correcciones críticas que afectan la estabilidad del sistema.

Diagnóstico paso a paso

Para verificar la existencia del problema, se pueden consultar los registros de eventos en el sistema y el crashlog. Los mensajes de registro indican un fallo en el proceso de sslvpnd. Navega hasta Registro & Reporte -> Eventos del Sistema -> Eventos Generales del Sistema y busca las siguientes entradas de registro:

date=2024-02-12 time=11:22:53 eventtime=1707754973186739333 tz=»-0500″ logid=»0100032546″ type=»event» subtype=»system» level=»warning» vd=»root» logdesc=»La aplicación se ha bloqueado» action=»crash» msg=»Pid: 08678, aplicación: sslvpnd, Firmware: FortiGate-100E v7.2.7, build1577b1577, 240131 (GA.M) (Release), Signal 11 recibido, Backtrace: [0x36acf192]»
date=2024-02-12 time=11:22:20 eventtime=1707754939626667478 tz=»-0500″ logid=»0100032546″ type=»event» subtype=»system» level=»warning» vd=»root» logdesc=»La aplicación se ha bloqueado» action=»crash» msg=»Pid: 08733, aplicación: sslvpnd, Firmware: FortiGate-100E v7.2.7, build1577b1577, 240131 (GA.M) (Release), Signal 11 recibido, Backtrace: [0x36acf192]»

diagnose debug crashlog read
5051: 2024-02-13 15:23:12 timeout de watchdog sslvpn
5052: 2024-02-13 15:23:12 sslvpnd anteriormente se bloqueó 1 vez. El último bloqueo fue a las 2024-02-13 15:23:00.
5053: 2024-02-13 15:23:12 <14460> firmware FortiGate-100E v7.2.7, build1577b1577, 240131 (GA.M) (Release)
5054: 2024-02-13 15:23:12 <14460> aplicación sslvpnd
5055: 2024-02-13 15:23:12 <14460> *** señal 11 (fallo de segmentación) recibida ***
5056: 2024-02-13 15:23:12 <14460> Registro de volcado:
5057: 2024-02-13 15:23:12 <14460> R0: 36f13adc R1: 00000005 R2: 3eba4510 R3: 00000005
5058: 2024-02-13 15:23:12 <14460> R4: 36aeb000 R5: 36f13adc R6: 3eba45b0 R7: 3eba44f0
5059: 2024-02-13 15:23:12 <14460> R8: 3eba4540 R9: 36ed826c R10: 00000000 FP: 3ebb0fd8
5060: 2024-02-13 15:23:12 <14460> IP: 36aeb048 SP: 3eba44f0 LR: 36acf41f PC: 36acf192
5061: 2024-02-13 15:23:12 <14460> CPSR: 200f0030 Addr: 00000005
5062: 2024-02-13 15:23:12 <14460> Trap: 0000000e Error: 00000017 OldMask: 00002000
5063: 2024-02-13 15:23:12 <14460> Backtrace:
5064: 2024-02-13 15:23:12 <14460> [0x36acf192] => /usr/lib/arm-linux-gnueabi/libunwind.so.8 liboffset
5065: 2024-02-13 15:23:12 00004192
5066: 2024-02-13 15:23:12 <14460> fortidev 6.0.1.0005

Solución recomendada

Este problema se ha resuelto en las versiones de FortiOS 7.2.11, 7.4.7, y 7.6.0. Actualizar a estas versiones es imperativo para evitar futuros bloqueos del demonio sslvpnd.

Nota:

El proceso de sslvpnd puede ser terminado de forma temporal usando el comando (fnsysctl killall sslvpnd). Sin embargo, esto debe considerarse una solución temporal hasta que se aplique la actualización adecuada.

Comandos CLI utilizados

Los siguientes comandos pueden ser útiles en el proceso de diagnóstico y solución del problema:

diagnose debug crashlog read – Este comando se utiliza para leer el registro de errores y obtener información sobre fallos recientes de la aplicación.
fnsysctl killall sslvpnd – Este comando termina el proceso de sslvpnd como un remedio temporal.

Buenas prácticas y recomendaciones

Para evitar problemas con la VPN SSL, se recomienda aplicar las siguientes buenas prácticas:

Realizar actualizaciones regularesdel firmware de FortiGate.
Monitorear los registros de eventos del sistema en busca de advertencias relacionadas con la VPN SSL.
Implementar una configuración de alta disponibilidad (HA) para aumentar la resiliencia del sistema.

Notas adicionales

Se sugiere realizar copias de seguridad periódicas de la configuración del firewall y de la VPN, de manera que, en caso de un fallo significativo, se pueda restaurar rápidamente el servicio sin pérdida de información crítica.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar problemas de estadísticas de tráfico DNS local en Fortinet
Este artículo aborda un asunto importante relacionado con el tráfico DNS local generado por FortiGate. El correcto monitoreo de este tráfico es esencial para asegurar el funcionamiento óptimo de diversas funciones y servicios de FortiGate, como la conexión a FortiGuard, actualizaciones del sistema, resolución de FQDN y verificación de certificados. A continuación, se describirán los Leer
Cómo cambiar las columnas de la política del cortafuegos por defecto
Bienvenidos 🙌, me llamo Mila Jiménez y hoy nos toca tratar con: ⬇️ Cómo cambiar las columnas de la política del cortafuegos por defecto La configuración por defecto de las columnas de la política del cortafuegos puede cambiarse, utilizando esta opción. Para poder cambiar qué columnas ver en la política del cortafuegos. Comandos a ejecutar. Leer
Cómo solucionar la autenticación IKEv2 SAML en FortiGate con FortiAuthenticator como IdP
En este artículo, exploraremos cómo configurar una autenticación IPSec IKEv2 basada en SAML, utilizando FortiAuthenticator como proveedor de identidad (IdP). La correcta configuración de este proceso es crucial para garantizar la seguridad y la eficiencia en el acceso remoto a través de VPN. Este artículo guiará a los administradores de red en la configuración adecuada Leer
Cómo resolver el error ‘504 DNS look up failed’ en FortiClient para acceso ZTNA usando FQDN
En este artículo abordamos el error ‘504 DNS lookup failed‘ que puede surgir al intentar acceder al servidor ZTNA utilizando un nombre de dominio completo (FQDN). Este problema es significativo ya que interrumpe el acceso a los recursos de red, afectando la productividad y la conectividad. A continuación, proporcionaremos un análisis profundo del problema, posibles Leer
Cómo identificar la pérdida de paquetes RTP en Wireshark
Descripción Este artículo describe una forma de identificar la calidad degradada en el tráfico de VoIP. Solución de captura de paquetes. Como primer paso, identificar y capturar el tráfico afectado. Por lo general, se necesita encontrar la dirección IP de un teléfono y realizar una captura de paquetes en el mecanismo integrado de GUI de Leer

Cómo solucionar el error ‘Timeout del Watchdog SSL VPN’ y el fallo del daemon sslvpnd con señal 11 en Fortinet