Este artículo aborda un error común en utilidades de Fortinet, específicamente en FortiClient, donde se muestra el mensaje ‘No se puede establecer la conexión VPN. El servidor VPN puede no estar accesible (-6005)’ al 40%. Este problema es relevante porque puede ocasionar interrupciones en la conectividad y la seguridad de la red. A través de este artículo, aprenderás a diagnosticar y solucionar este error de manera eficiente.
Índice
Descripción del problema
El error ‘wrong vdom (0:0) o tiempo expirado’ también puede indicar problemas de sincronización temporal entre el cliente y el servidor. Comprender el origen de estos errores es crucial para mantener una infraestructura de red segura y operativa.
Alcance
FortiGate.
Diagnóstico paso a paso
- Ejecuta el debug SSL VPN con los siguientes comandos y verifica los errores que aparecen:
diagnose debug application sslvpnd -1
diagnose debug enable
Para detener los debugs:
diagnose debug disable
diagnose debug reset
2024-01-11 10:00:53 [1654:root:70d]req: /remote/saml/login
2024-01-11 10:00:53 [1654:root:70d]Transfer-Encoding n/a
2024-01-11 10:00:53 [1654:root:70d]Content-Length 9059
2024-01-11 10:00:53 [1654:root:70d]readPostEnter:17 Post Data length 9059.
2024-01-11 10:00:53 [1654:root:70d]fsv_rmt_saml_login_cb:91 SAML resp 8908.
2024-01-11 10:00:53 [1654:root:70d]fsv_rmt_saml_login_cb:121 wrong vdom (0:0) or time expired.
2024-01-11 10:00:53 [1654:root:70d]Destroy sconn 0x7f9bee8800, connSize=2. (root)
2024-01-11 10:00:53 [1654:root:70d]SSL state:warning close notify (1.192.64.53)
Solución recomendada
- Aumenta el valor de remoteauthtimeout con el siguiente comando:
config system global
set remoteauthtimeout 60
end
- Si el problema persiste, es necesario sincronizar el tiempo de la máquina local con el tiempo de FortiGate, esto debería resolver el error.
- Si eso no funciona, reinicia el SSL VPN y actualiza a FortiClient v7.2.4 o superior.
Comandos CLI utilizados
Los comandos utilizados son vitales para el diagnóstico y la solución del problema. Asegúrate de comprender la funcionalidad de cada uno antes de ejecutarlos:
- diagnose debug application sslvpnd -1: Inicia el seguimiento para la aplicación SSL VPN.
- diagnose debug enable: Activa el modo de depuración.
- diagnose debug disable: Desactiva la depuración.
- diagnose debug reset: Reinicia el estado de depuración.
- Comandos de configuración en el CLI para ajustar el tiempo de espera de autenticación remota.
Buenas prácticas y recomendaciones
Asegúrate de manterner la hora y fecha de todos los dispositivos de red sincronizadas para evitar problemas de autenticación y conexión. Utiliza servidores NTP para mantener la sincronización.
Notas adicionales
Desde la versión v7.6.3, la función de modo túnel VPN SSL ya no se admite, y ha sido reemplazada por IPSEC VPN: Modo túnel SSL VPN reemplazado por IPsec VPN.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!