26

Configuración Fortigate – VPN SSL Acceso Remoto con Usuarios del Active Directory

Hola a tod@s.

En este post vamos a ver como configurar nuestra VPN SSL de acceso remoto para que los usuarios del Active Directory se conecten a nuestras redes internas, en este link de este mismo blog podéis ver como se configura una VPN SSL de acceso remoto.

  • Lo primero que vamos a realizar será crearnos el siguiente grupo en nuestro Active Directory, en este grupo vamos a ir añadiendo los usuarios que posteriormente se van a conectar a la VPN:

  • Ahora vamos a acceder a nuestro Fortigate, y vamos a configurar el LDAP para que se pueda conectar al árbol de directorios del Active Directory, para ello nos vamos a Usuario y Dispositivo > LDAP > Crear nuevo:

 

  • Realizamos las siguientes configuraciones, le indicamos un Nombre, la IP o nombre del servidor, en este caso le indicamos el nombre del dominio, puerto por el que se va a conectar al árbol de directorio LDAP, en este caso 389 que es el puerto de Active Directory para LDAP, le indicamos el Id Common name y el distinguised name, necesitamos un usuario del dominio para conectarnos al árbol LDAP, por lo que le indicamos el usuario y password, como podemos ver al probar la conexión esta todo correcto:

  • Este es el usuario que nos hemos creado para realizar la conexión del Fortigate al LDAP del Active Dirtectory:

  • Ahora en el Fortigate vamos a crear el grupo de acceso a la VPN, para ello accedemos a las opciones de Usuario y Dispositivo > Grupos de Usuario > Crear nuevo:

  • Le indicamos un Nombre y Tipo, y agregamos un Grupo Remoto que será el grupo que hemos creado en el Active Directory:

  • Seleccionamos el Servidor Remoto que configuramos anteriormente y añadimos el grupo del Active Directory Gvpn:

  • Como podemos ver ya está correctamente agregado:

  • Ahora, este grupo remoto que acabamos de crear tenemos que mapearlo al portal de la VPN-SSL, para ello, nos vamos a VPN > Configuración de SSL-VPN > Autenticación/mapeo del portal y lo agregamos como full-access:

  • Para terminar, debemos de crear y configurar las reglas o políticas, para que los usuarios se conecten a las redes internas a través de la VPN configurada en el firewall, para ello, nos vamos a Políticas y Objetos > Política IPv4 > Crear nuevo:

  • Creamos la regla o política para una de nuestras redes internas:

  • Ahora desde un equipo remoto con el Forticlient instalado y conexión a Internet, vamos a verificar que el usuario testvpn se puede conectar a nuestra red interna:

  • Desde el Monitor SSL-VPN de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

  • Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuetra VPNSSL de acceso remoto:

Saludos y espero que os resulte de ayuda 😉

 

Jose Ramon Ramos Gata

Técnico Superior STI

26 comentarios

  1. Excelente sitio José Ramón, gracias por compartir, el contenido es muy intereseante, slds.

  2. Buen día.

    Excelente tutorial muy detallado, tendrás alguno para crear una DMZ.

    Gracias por el aporte.

    • Buenas Rubén, muchas gracias, me alegro que te guste el post, con respecto a la DMZ, solo tienes que configurar las reglas para permitir o denegar el tráfico entre la interface DMZ y las demás redes que cinfigures en el firewall.
      Saludos

  3. Buena tarde, se puede medir la actividad o el uso de datos utilizados durante la conexion SSL?

  4. Estimado Jose… el usuario LDAP debe tener algún permiso dentro del dominio??

    • Buenas, a mi me conecta en el test con LDAP bien pero luego los usuarios no, deben tener algun tipo de permiso?

  5. Hola, excelente tu post.
    Como se hace el proceso teniendo en cuenta que no se tiene un AD, sino es un servidor LDAP que esta sobre un NAS Synology que tiene como SO Linux propio.

  6. Hola Jramos, tengo una duda ahora que casi toda la empresa esta conectada mediante esta configuracion. ¿Hay alguna manera de que Forticlient de un aviso de expiracion de contraseña para que el usuario la cambie antes de que se quede sin acceso? Esto, siendo que X usuarios no utilizan RDP y solo acceden a Carpetas de red o para conectarse a servidores por SSH. La expiracion de contraseña del AD hablo. Muchas Gracias!

  7. Hola Manuel, donde se ubica el certificado del fortigate dentro de las carpetas de windows server

  8. Hola JRAMOS, al habilitar a los usuarios por grupo de AD, ¿ de que forma se puede habilitar el segundo factor de autenticacion para agregar una capa de seguridad?

  9. Gracias por la explicación. Te pregunto, es posible ver desde forti, una lista de los usuarios que están configurados en VPN y los que se han conectado por directorio activo?

  10. Buenos días, muy buen manual, gracias por el.
    Pero me indicarías como cambiar el certificado en la vpn-ssl , lo estoy mirando para aumentar la seguridad. No me deja poner otro.
    Estoy en la 6.0.9 fortios.
    Gracias de antemano.

  11. Buenas,
    Muy buen manual. Muchas gracias por tu ayuda.
    Si tienes configurada la VPN tal y como has explicado en este post y quieres conectarte a la misma con el cliente de vpn de Windows 10 y no el Forticlient, ¿que configuracion debes aplicar en la conexión vpn de windows 10?
    Muchas gracias,
    Gracias de antemano,
    Saludos,

  12. Hola, una consulta. Pueden convivir dos formas de autenticación para el mismo Servicio de VPN SSL, es decir, unos usuarios validan con Certificado Digital y otros con UID/PAS + Doble Factor ???
    Esto es posible ???
    Gracias!!!!

  13. Hola, tengo la misma duda que el usuario:

    Hola JRAMOS, al habilitar a los usuarios por grupo de AD, ¿ de que forma se puede habilitar el segundo factor de autenticacion para agregar una capa de seguridad?

    Me pueden indicar como hacer esto?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.