49

Configuración Fortigate – VPN SSL Acceso Remoto

Hola a tod@s.

En este post vamos a ver como configurar una VPN SSL de acceso remoto en un firewall Fortigate, concretamente con el modelo FG 50E, con este tipo de VPN usando SSL nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado mediante SSL.

  • Lo primero que vamos a realizar será crearnos un objeto – dirección que incluirá todo el rango de direcciones IP que usaremos para los equipos que se conecten a través de esta VPN, para ello lo crearemos desde Políticas y Objetos > Dirección > Crear nuevo > Dirección:

  • Ahora nos vamos a crear los usuarios locales que accederán a través de la VPN:

  • Para una correcta administración los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

  • Una vez creados los usuarios y grupos, vamos a configurar los portales SSL-VPN, por defecto, vienen creados estos tres, nosotros vamos a editar el portal full-access:

  • Nos quedaría configurado de la siguiente manera:

  • Ahora configuramos la VPN-SSL, con los siguientes parámetros:

  • Para terminar de configurar la VPNSSL de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual:

  • Como podemos ver aquí las tenemos todas creadas:

  • Como nuestra conexión a Internet se encuentra a través de un router FTTH haciendo las funciones de NAT, debemos mapear el puerto que hemos utilizado para la VPNSSL (10443) hacia nuestro Fortigate:

  • Con esto ya tendríamos configurada y operativa nuestra VPNSSL de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPNSSL para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante SSL:

  • Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

  • Desde el Monitor SSL-VPN de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

  • Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuetra VPNSSL de acceso remoto:

 

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

49 comentarios

  1. muy buen artículo de información de , si puedes algún día , podrías comentar el realizar un enlace vpn ssl entre dos oficinas?, muchas gracias por informar sobre el mundo fortigate y un saludo

  2. Hola como estas, son muy buenos tus tutoriales, te hago una consulta tengo un fortigate D60, y quiero bloquear un IP publica para que no pueda acceder a mi ip, me podrias decir como se haria?, ya que lo que he realizado no ha surtido efecto.
    Desde ya muchas gracias Matias.

    • Tienes que crear en POLITICAS Y OBJETOS en direcciones un grupo como BLOQUEADO(ejemplo) despues si tienes la ip que quieres bloquear tienes que darla de alta en DIRECCIONES y dentro del grupo que creaste añades la misma.

      A continuacion creas una polita en donde como origen pongas el grupo de BLOQUEADO y en destino pon tu Red Interna, en Acciones pon Denegar.

      Espero te ayude amigo

  3. Me gusta mucho tu blog , tengo una duda y no conozco a nadie que lo hubiera hecho. Has hecho algun despliegue de fw fortigate en cluster ha en azure? Si alguna vez lo has hecho me gustaría saber tus impresiones yo te comento las mías.

    • Buenas Francisco, me alegro que te guste mi blog, con respecto a la pregunta que me haces, no lo he hecho nunca, pero si quieres escribir un artículo en el blog explicando como lo has hecho, me lo comentas y te doy permisos para escribir artículos.
      Saludos.

      • Buen día,

        Una consulta, tengo una VPN SSL, por la cual se desea enviar trafico de SIP, pero el Firewall esta dando prioridad a unos puertos que a otros, por ejemplo esta dando prioridad a 4060 y no 5060. Que podría ser y como podria dar prioridad a estos puertos?

  4. Hola como estas, son muy buenos tus tutoriales, más adelante te ire haciendo más consultas para ir aclarando las duda en todo lo relacionado a Networking

  5. Buenos dias
    tengo una consulta cuantas conexiones soporta el forti en conexiones a la vez de forticlient

  6. Excelente tutorial. He seguido paso por paso y he podido conectar el cliente remoto, pero, no tengo acceso a la red local. Imagino en los DNS debo cambiar el 192.168.14.1 que pusiste por el equipo fortigate que tengo yo. ¿Alguna idea de por qué no puedo acceder a direcciones IP de la red local en el cliente remoto?

    • Tienes que poner los DNS que utilicéis en vuestra infrarstructura y crear las politicas para el acceso de los equipos que se conecten por von a la red local

  7. La GATEWAY dedonde la sacas amigo ya tengo todo hecho pero ahi tengo duda o por ello no puedo avanzar.

    Agradeceria tu ayuda.

    Saludos.

    • De igual forma amigo el nombre de la VPN como la consigo ya que en tu tutorial no hace mencion de ello ya al final tu pones vpn_ssl_ragasys no se de donde sale.
      buen dia.

  8. Hola, quería ver si me ayudabas.. no se como dar soporte remoto a usuarios que tienen VPN.

  9. Hola. muy buenos tutoriales. Felicidades. Tengo una pregunta: cómo puedo hacer para que los equipos de la red local tengan acceso a una carpeta de un cliente remoto?

  10. Hola. Excelente tutorial.
    Como debo hacer para yo minitorear a través de una herramienta de monitoreo las conexiones VPN sobre mi red local. Estoy intentando a través de snmp pero no logro hallar la interfaz de VPN a la que se refiere en la politica. Te agradezco cualquier ayuda.

  11. Estimados:
    He creado mi portal VPN y puedo loguerarme de manera correcta ala VPN ya sea por forticlient como asi tambien por portal web, tengo creadas las politcas pertines en el forti, por ejmplo como interfaz de entrada la ssl-root-ssl y como interfaz de salida mi LAN INSIDE, pero no me funciona ninguna politica, debo crear alguna ruta estatica? cabe destacar que en mi portal VPN tengo habilitado el SPLIT tunneling y publicadas mi redes internas.

  12. Hola! muy instructivo tu articulo. Una consulta que consideraciones o cambios habria que tener si entre medio del Fortinet y la red interna, hay un servidor actuando de firewall?. Muchas gracias

  13. Estimados, cuanto es el requisito mínimo de BW internet que necesita Forticlient?

  14. Buenos dias, me pasa lo siguiente con la vpn,me encontrado con el problema que los usuarios al conectarse con los equipos con el cliente Forticlient por SSL-VPN, en mi red de dominio me muestra la ip que asigna en mi caso 10.212.134.xxx, pero también muestra la ip que tiene la tarjeta de red del cliente de su casa.
    Ejemplo, el usuario con su portátil desde casa conectado a su wifi su router le asigna la 192.168.1.101, cuando el equipo se muestra en mi red una vez que ha conectado muestra al hacerle un ping al nombre del equipo como 192.168.1.101, y en otras ocasiones con la 10.212.134.100, si le haces un nslookup mi DNS, te da las 2 ip´s. Muchas gracias por la ayuda que me puedas ofrecerme, no se si esto es normal en Forti. El modelo es 61E, he probado con distintas versiones de cliente Forticlient. Al tener dos en HA, los he separado completamente con distintas ip´s publicas para hacer pruebas, y me esta pasando con FortiIOS 6.4.1 en uno de ellos y el otro esta esta versión 5.6.2, muchas gracias, un saludo

      • Nada, no ha habido manera y Fortinet indica que es así, la única solución es no registrar DNS en las tarjetas de red. Con esto desde la VPN solo muestra una IP el equipo. El problema es que cuando el equipo vuelve a la Oficina, no lo resuelve el DNS, como es lógico….solución, mantener la VPN conectada, solo para que sea visible por el DNS de tu dominio local. Es lo que hay. Si pagas las licencias de VPN-IPSEC para los usuarios este problema no existe, y puedes asignar ip fijas a equipos que se conectan si lo deseas. Si has averiguado algo mas por tu lado agradecería que lo comentaras. Un saludo

        • Hola Julio! Lo único que conseguí con el TAC de fortinet es que a partir de cierta versión de forticlient, me parece que es la 6.4, puedes modificar un registro para que solo registre el DNS del adaptar de red virtual de la VPN, pero finalmente sucede lo que indicas de cuando llegas a la oficina.
          Si encuentras algo, me avisas.
          Saludos

          • Buenas tardes, gracias por responder.
            Estoy 6.4.1, si tienes datos indícame donde puedo ver eso, y lo hecho un vistazo. Se que ya hay la 6.4.2, pero , no se si lo soluciona. Un saludo, quedo a la espera.

  15. Buenos días a todos!! antes de nada felicitarte por tu blog y lo bien que detallas todas las entradas.
    Mi consulta es la siguiente, tengo creados varias vpn para que varios proveedores se conecten a sus máquinas de mi empresa, lo que me interesa saber si es posible si con una sola validación en vpn es posible conectarse a distintos rangos de red simultáneamente , he probado a añadir a los usuarios de vpn a varios grupos pero solamente cuando conecta tiene acceso al primero de ellos.
    Gracias, saludos.

    • Si se pueden conectar a todas las reded que tu le definas en las Políticas.
      Me alegro que te guste el blog.
      Saludos

  16. Hola , te hago una pregunta , hay alguna configuracion para cuando me conecte a la vpn , me verifique mi pc si tienen todas las condiciones de seguridad, como antivirus actualizado , y otras cosas y depsues cuado este todo bien entrar a la vpn y trabajar remoto? muchas gracias

  17. Buenas, una consulta con este proceso tendria salida a internet por la vpn?

  18. Gracias por contestarne, la verdad la idea es que , si tiene algun virus la maquina, no tiene antivirus o lo tiene desactualizado, algun programa no original , esto haga que cuando me conecte a la vpn , osea cierra el candado no valla a pasar cualquier cosa a la empresa.Estamos hablando de maquinas perosnales , que no sabemos que tienen, y se conectan a una vpn para trabajar remoto a su pc del trabajo o algun sitio o servidor de la empresa.
    Muchas gracias

  19. Hola,

    gracias por el articulo. Tengo una duda, tengo un Fortigate que muchos usuarios utilizan para acceder a través de SSL. Ahora queremos limitar el acceso de uno de estos usuarios a una IP origen. Sabes si esto es posible? Sé que desde la configuración genérica del servicio SSL puedo limitar las conexiones a determinados host origen, pero no se como limitarlo sólo para un usuario en concreto sin que afecte al resto.

    Gracias

  20. Como puedo hacer para que un usuario vpn acceda a la ip publica desde la que gestiono el fw ?

  21. Hola Como activar la opcion «Siempre Activa»: no me permite por no tener permiso,,, existe alguna forma para seleccionar, la casilla.. sin la necesidad de tener una versión full

    Saludos y Gracias

  22. buen tutorial tengo un tema ya cree mi tunel y me conecto correctamente , el detalle es que cuando quiero acceso a mis carpetas compartidas solo puedo por medio de ip y no por nombre del equipo que puedo hacer

  23. Hola, me gustaria saber la cantidad maxima de usuarios conectados de forma simultanea puede haber, sin que efecte tanto la maquina

  24. Hey mil gracias, ya me funcionó la conexión pero tengo un problema para acceder a la red interna, pero validaré lo que está sucediendo; Mil gracias.

  25. Muy Buen articulo, tengo otro escenario. Una Lan, un firewall fortigate. Estando dentro de la lan, requiero conectarme a otro sitio por VPN, con el cliente FortiClient, a pesar de configurar el cliente, no pasa del 10%,cuando trata de establecer conexion que regla(s) debería configurar en el firewall, para dejar pasar ese trafico ?. fuera de la Lan, funciona perfecto.

  26. Hola, tengo configurada correctamente la VPN SSL con un fortigate 40f. Pero tengo el problema de que necesito que al servidor accedan varias tablet Android sin pasar por VPN si es posible, al puerto 80 de dicho servidor de mi LAN. He probado a mapear el puerto en el firewall para la IP del servidor, con este manual: https://blog.ragasys.es/mapear-puertos-en-firewall-fortigate, pero desde fuera no accede, ni conectando por VPN ni fuera de la VPN. ¿Debo configurar el puerto 80 de alguna manera especial?

    También he abierto el puerto en el router de Movistar para la IP del firewall y he cambiado el acceso al firewall al puerto 8085 para que no entren en conflicto.

    • Hola, debes mapear el puerto sobre la IP Pública del servidor en Virtual IPs, de esta manera puedes acceder.

  27. Buen sistema el Fortinet, estamos implantándolo con túneles en varias sedes de una empresa y nos viene muy esta guía.

  28. una consulta el cliente VPN manejas normalmente 1.5 mbit
    Se puede aumentar dicho valr para que maneje al menos 5 mbits en el tunel ?

  29. Hola, he configurado mi 60-F tal y como dices en tu manual. Pero cuando intento conectarme con FortiClient me da siempre el error -5029. He estado buscando y parece ser que es un tema de incompatibilidad de versiones de TLS entre el Fortigate y las opciones de internet del Windows donde corre el FortiClient. He modificado los valores del cliente de todas las maneras, pero no he tenido éxito. ¿Sabes que más puedo mirar? Gracias.

  30. Hola, yo tengo totalmente configurado y puedo usar la VPN, pero me sucede algo curioso, despues de un tiempo en la Aplicación de FortiClient, desaparece la opción de Acceso Remoto, Y en el icono del área de Notificaciones, no puedo hacer “clic derecho/Conectar a VPN”, simplemente ya no está la opción de VPN en el software. Entonces debo reinstalar la Aplicación y vuelve a aparecer por un tiempo nuevamente.

  31. Hola buen Dia; tengo un problema ya tengo todo configurado y los usuarios ya pueden ingresar a trabajar, pero la aplicacion que se maneja genera unos archivos en pdf los cuales deben ser copiadas y pegadas en el pc local como activo esta opcion

  32. Estimados muy buenas tardes.
    Buenas tardes.
    Cada vez que me conecto por vpn con forticlient quedan los DNS de mi organización configurados en mi computadora, al desconectarme no puedo navegar ni volverme a conectar a la vpn ya que los DNS no responden.
    Como puedo resolver este ISSUE?
    Muchas gracias. Saludos.

  33. Hola, ojala me puedan ayudar con la siguiente consulta.
    Teniendo definidos los usuarios y Schedules con las configuraciones para la conexión para un día y horario especifico para los usuarios,
    ahora… en los reportes los usuario tienen mas horas que no concuerdan con los horarios definidos, entiendo que seria porque la regla ya creada no permite que se establezcan nuevas conexiones, pero si la conexión esta establecida esta no se corta, existe en Forti la opción de que dicha conexión VPN de los usuario de corte automáticamente? saludos.

Responder a jose ignacio Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.