Cómo solucionar problemas con el portal cautivo en Fortinet: guía práctica y consejos técnicos

Este artículo aborda problemas comunes relacionados con el portal cautivo en dispositivos FortiGate, explicando su flujo y cómo resolver errores potenciales. Comprender cómo funciona esta función es esencial para garantizar una correcta autenticación de usuarios en redes y mejorar la experiencia de conexión. A través de este artículo, se proporcionarán pasos detallados para diagnosticar y solucionar problemas relacionados con el acceso a internet a través de un portal cautivo.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El portal cautivo es una función de las soluciones Fortinet que permite la autenticación de usuarios en redes. Sin embargo, pueden surgir problemas relacionados con su configuración y funcionamiento. Estos problemas afectan la capacidad de los dispositivos finales para acceder a internet, ya que reconocen cuando están detrás de un portal cautivo y requieren autenticación antes de permitir el acceso a la red.

Alcance

Este artículo es aplicable a dispositivos FortiGate y productos relacionados de Fortinet.

Diagnóstico paso a paso

Para diagnosticar un problema de portal cautivo, es fundamental entender cómo el dispositivo del usuario final detecta su acceso a internet. Generalmente, los navegadores y sistemas operativos están diseñados para identificar si están detrás de un portal cautivo. Esto se realiza mediante el envío de una solicitud HTTP GET no cifrada a un sitio web específico. Si la respuesta es inesperada, el dispositivo asume que está detrás del portal cautivo y puede mostrar un mensaje de inicio de sesión. A continuación, se presenta un flujo general del portal cautivo:

Resolución de DNS para algún FQDN externo, idealmente un sitio de detección de portal cautivo no cifrado (para obtener la IP del recurso externo). Cada sistema operativo/navegador tiene algunas páginas web no cifradas integradas que utiliza para pruebas. Ejemplos incluyen captive.apple.com, detectportal.firefox.com, msftconnecttest.com, connectivitycheck.gstatic.com.
Negociación TCP y conexión HTTP (HTTP GET) a esa IP.
FortiGate bloquea la solicitud HTTP y redirige con una respuesta HTTP 302 o 303, o en versiones más recientes con HTTP 200. La respuesta contiene la URL redirigida hacia FortiGate mismo. Esta URL/FQDN debe apuntar a la IP de interfaz de este FortiGate, la cual es típicamente la IP de puerta de enlace del cliente.

Nota: Para HTTPS hacia FortiGate, se requiere configurar ‘config firewall auth-portal‘ con un FQDN resolvible para el FortiGate, que debe resolver a la IP de interfaz del FortiGate, combinándose así con el gateway predeterminado para la subred del cliente.

Solución recomendada

En caso de problemas con el portal cautivo, es recomendable seguir el flujo descrito anteriormente. Si se presentan problemas, la depuración del portal cautivo debe realizarse utilizando una captura de paquetes que muestre las consultas DNS y el tráfico HTTP del usuario final. Los primeros pasos y cualquier seguimiento DNS normalmente son visibles en texto claro.

Si la política de firewall en FortiGate hacia el portal cautivo externo no requiere NAT, la captura de paquetes contra la dirección IP del cliente será suficiente como filtro de captura.

Comandos CLI utilizados

diagnose firewall auth list: Este comando muestra la lista de usuarios autenticados.
config firewall auth-portal: Permite configurar el portal de autenticación, especificando un FQDN resolvible.
captive-portal-exempt: Se utiliza en políticas para permitir excepciones en el tráfico DNS y así facilitar la operación del portal cautivo.

Buenas prácticas y recomendaciones

Se recomienda asegurar que el tráfico DNS esté exento de la redirección del portal cautivo para evitar problemas de detección. Además, asegúrese de que el FQDN utilizado para el portal de autenticación esté correctamente resolviendo a la IP de la interfaz del FortiGate utilizada por los clientes.

Notas adicionales

Durante la depuración de errores relacionados con la seguridad de transporte estricta (HSTS) en el portal cautivo, pueden surgir problemas adicionales. Para más información sobre cómo resolver errores HSTS en portales cautivos, se recomienda consultar fuentes específicas que aborden este tema.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver el problema de cambiar un clúster de Active-Active a Active-Pasive en Fortinet
En este artículo, abordamos un problema común relacionado con el cambio de modo de operación del clúster HA en dispositivos FortiGate. Este asunto es crucial porque, si el modo no se configura correctamente, puede afectar la disponibilidad y el rendimiento de la red. Este artículo te guiará a través de un proceso detallado para resolver Leer
Cómo solucionar problemas con ‘ping-options interval’ en Fortinet
El artículo a continuación aborda la importancia de los comandos de ping en FortiGate y sus opciones de configuración. Los comandos de PING son esenciales para diagnosticar y verificar la conectividad de red entre dispositivos. A través de este artículo, aprenderás a utilizar la opción ‘ping-options interval’ para establecer un intervalo de tiempo entre cada Leer
Cómo solucionar el error de Permiso Denegado -455 en la conexión SSL VPN con 2FA y grupo de usuarios LDAP en Fortinet
En este artículo, abordaremos el problema de «Permiso Denegado» que puede surgir al utilizar FortiClient (SSL VPN) con autenticación de dos factores (2FA). Este problema puede impedir el acceso a recursos críticos, afectando la productividad y la seguridad. Aquí, encontrará una guía paso a paso para diagnosticar y resolver este problema de manera efectiva. Descripción Leer
Cómo solucionar el bloqueo de archivos exe en Fortinet permitiendo URL específicas sin activar otros perfiles UTM
Este artículo aborda un problema común en dispositivos FortiGate: la necesidad de bloquear todos los archivos .exe mientras se permite la descarga de un archivo específico desde una URL sin habilitar múltiples otras características UTM. Este tema es crucial para mantener la seguridad de la red sin comprometer la funcionalidad necesaria. A continuación, se detallarán Leer
Cómo resolver los cambios en el paquete Enterprise de Fortinet
En este artículo, abordaremos los recientes cambios en el paquete empresarial de Fortinet. Estos cambios son cruciales para los clientes que buscan mejorar la protección de datos sensibles y fortalecer la defensa contra amenazas basadas en archivos. A través de este documento, proporcionaremos una descripción clara de los cambios realizados, cómo afectan a la configuración Leer