En este artículo, abordamos cómo configurar la conexión automática a una VPN IPsec utilizando la información de sesión de inicio de Microsoft Entra ID, con el fin de permitir múltiples grupos de usuarios en las políticas de cortafuegos. Este enfoque es importante para mejorar la seguridad y la gestión de accesos en entornos empresariales, y facilita a los administradores de red la configuración de políticas específicas para diferentes equipos y usuarios.
Índice
Descripción del problema
El objetivo es facilitar la configuración de acceso a la VPN IPsec utilizando la información de sesión de inicio de Entra ID. Esto evita la necesidad de definir grupos de usuarios cada vez en el túnel IPsec, permitiendo una gestión más flexible y segura de las políticas de firewall.
Alcance
Este artículo es aplicable a las versiones FortiGate v7.2.9, v7.4.4 y v7.6.0 junto con FortiClient EMS v7.2.3 o superior.
Diagnóstico paso a paso
Para implementar la conexión automática a la VPN, siga los pasos detallados a continuación:
- Configurar el usuario msgraph:
config user external-identity-provider
edit «msgraph»
set type ms-graph
set version v1.0
next
end
- Configurar la fase 1 de IPsec sin utilizar la configuración ‘authusrgrp’:
config vpn ipsec phase1-interface
edit «RemoteAccess»
set type dynamic
set interface «port1»
set ike-version 2
set peertype any
set net-device disable
set mode-cfg enable
set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
set dhgrp 21
set childless-ike enable
set azure-ad-autoconnect enable
set ipv4-start-ip 192.168.100.1
set ipv4-end-ip 192.168.100.255
set dns-mode auto
set save-password enable
set client-auto-negotiate enable
set client-keep-alive enable
set psksecret <password>
next
end
Si el túnel ya ha sido configurado y tiene la configuración ‘authusergrp’, utilice el comando ‘unset’ para eliminar el grupo configurado.
Ejemplo:
config vpn ipsec phase1-interface
edit «RemoteAccess»
unset authusergrp
next
end
- Configurar dos grupos de usuarios diferentes usando diferentes Object Id’s de grupo de Entra ID:
config user group
edit «group1»
set member «msgraph»
config match
edit 1
set server-name «msgraph»
set group-name «<Group Object id>»
next
end
next
edit «group2»
set member «msgraph»
config match
edit 1
set server-name «msgraph»
set group-name «<Group Object id>»
next
end
next
end
- Configurar políticas de firewall usando los diferentes grupos que se han configurado:
config firewall policy
edit 1
set srcintf «RemoteAccess»
set dstintf «port9»
set action accept
set srcaddr «all»
set dstaddr «all»
set schedule «always»
set service «ALL»
set groups «group1»
next
edit 2
set srcintf «RemoteAccess»
set dstintf «port10»
set action accept
set srcaddr «all»
set dstaddr «all»
set schedule «always»
set service «ALL»
set groups «group2»
next
end
Solución recomendada
El soporte para la conexión automática a la VPN IPsec utilizando Microsoft Entra ID se adicionó en las versiones v7.2.8 y v7.4.2, junto con FortiClient EMS v7.2.3. La capacidad para utilizar múltiples grupos de usuarios en las políticas de firewall fue incorporada en las versiones v7.2.9, v7.4.4 y v7.6.0.
Comandos CLI utilizados
A lo largo de este artículo, se han utilizado diversos comandos de la interfaz de línea de comandos (CLI) que son fundamentales para la configuración de los elementos abordados. Asegúrese de consultar la documentación de Fortinet para detalles adicionales sobre cada comando.
Buenas prácticas y recomendaciones
- Realice copias de seguridad de la configuración antes de hacer cambios significativos.
- Pruebe la configuración en un entorno de pruebas antes de aplicarla a la red en producción.
- Documente todos los cambios realizados para futuras referencias.
- Monitoree los registros de la VPN para detectar cualquier anomalía en las conexiones.
Notas adicionales
Se recomienda mantener actualizado FortiGate y FortiClient EMS para garantizar el acceso a las últimas características y correcciones de seguridad. Siempre esté atento a las notas de la versión para conocer las nuevas funcionalidades y ajustes importantes.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!