Hola estimado!. Estoy comenzando en todo esto de la administración de redes y seguridad y la verdad que tus clases han sido de gran utilidad ya que todo lo explicas de forma simple y detallada como para que la práctica sea un placer. Sigue así maestro!. Saludos.
Javier Caceres muchas gracias por tus comentarios y nos complace saber que este material te es de utilidad. Ayúdanos a compartir para que llegue a más personas como tú!
Hola. Una pregunta. luego de alcanzar LAN por medio de la VPN, como hacer para que la navegaciòn hacia Internet del host remoto se realice por medio del ISP del cliente remoto y no por medio de la interfaz Wan del fortinet? Muchas gracias.
Hola José David García, tal y como se muestra en el video, hay que habilitar un split tunnel al momento de crear el SSL Portal. Con gusto podemos apoyarte, saludos!
@@QuantiSolutions Dale, te lo agradecería, puesto a que he usado el split tunnel y aun dependo de una política wan en el Fortinet para poder acceder a Internet
Hola @fortinet guru, gracias por la brillante explicación. Tengo una pregunta en mi trabajo: nos conectamos a través de la aplicación forticlient que apuntaba a un nombre DNS en lugar de una dirección IP. Entonces, ¿cómo se configura eso en el firewall de Fortigate?
Muchas gracias me sirvió para comprender, pero tengo una duda, los usuarios de la configuración de la SSLVPN se conectan a la red, pero cada vez que ellos se conectan se generan nuevos túneles y se llega a saturar el rango asignado y me toca estar borrando amnualemte los tuneles que se les genran como puedo resolver esto.
Excelente explicación. Una duda ya sea que un cliente remoto se conecte ya sea por ssl o por IPSec a el túnel VPN. Con su cuenta. Es posible relacionar la ip con la cuenta del cliente VPN. Para que siempre se otorgue la misma..
Desafortunadamente las evaluaciones limitan el uso de ciertos protocolos de cifrado por lo cual no seria posible. Se puede generar una ipsec con cifrado bastante debil, haremos el esfuerzo de subir un video para montar un laboratorio virtual. Saludos.
Excelente Aporte amigo, me ha servido mucho. Tengo una pregunta por un error que me da, me conecta el forticlient muy bien pero no accedo a las ips internas, solo accedo a ellas si cambio el destino de la politica de "WEBserver" a "all" pero este parametro me obliga a deshabilitar el "Split tunneling". hice tal cual tus indicaciones pero mi red esta algo diferente con un SD-WAN con balanceo (No se si influya, soy nuevo en esto, pero a la hora de llamar algunos destinos y orígenes no me salen las mismas opciones de red).
Amigo creo que ya encontré el error tu ip ".10" es servidor web. en mi caso era el .106 ya estaba creado. la pregunta es como haría si además de un web tengo una NAS, servidor MYSQL, como haría para habilitar todos los pc y servidores que están en la red y no solo el servidor web?
Hola, yo tengo configurada un SSL VPN en mi fortinet y me permite ping y todo el tráfico del CLiente VPN hacia la red LAN, pero no a la inversa, agregue una policy para esto, pero no me funciona, hay que hacer un paso adicional para lograr comunicación de ambos lados ? Es decir desde mi LAN quiero poder mandar cosas a los Clientes VPN
Tengo una duda, si el cliente final se conecta a la vpn de fortinet por medio de una maquina virtual, el administrador de la gestión de la red que brinda el servicio solo tiene acceso a la maquina virtual o también puede visualizar los dispositivos en la red internal local de donde se hace la conexión, ya sea con el fortinet o con algun programa de gestiones de redes o testing?. Saludos
Depende de el destino que configures en la política, si solo pones la maquina virtual solo tendrá acceso a la maquina virtual. El único tema es que si le das acceso por RDP o algún protocolo dentro de ese servidor si podrá saltar lateralmente a la LAN
buen dia, tengo una duda porque desde mi wifi en Casa conecta a la VPN y puedo acceder a las Compartidas, pero al realizarla desde otras redes wifi me conecta la VPN pero no me permite acceder a la información de las compartidas ?. Gracias.
amigo muy buen video solo una consulta= me logre conectarcon vpn cliente ,,, pero en la politica no me levanta navegacion y l ohize tal cual lo hicistes,
Excelente video, tengo una duda al tener un usuario LDAP al hacer la conexión FoticlientVPN no se conecta , si uso usuarios Locales no tengo problemas, En ambos casos en la configuración uso IP publica , el error que me sale es: Credential or SSLVPN configuration is wrong (-7200); si se conecta por el anydesk sin usar FoticlientVPN con su usuario y clave windows accesa sin problemas.
Te recomiendo revisar la configuración del Fortigate hacia el LDAP (intenta con este comando: diagnose test authserver ldap LDAP_SERVER user1 password ) asi como nos lo platicas pudieran ser varias cosas. Si tienes mas dudas o te atoras, no dudes en marcarnos
Excelente vídeo amigo. Una pregunta. Me sucede con mis usuarios de VPN que llega un momento que entran a la VPN vía Forticlient pero ya no pueden consultar nada internamente, ni acceder a servidores de archivos, SAP, Aplicaciones internas, nada. Reviso al usuario y veo que esta conectado al forti pero no pueden consultar nada. Pasa x tiempo y vuelven a entrar y trabajar de manera normal. Espero puedas comentar algo al respecto, muchas gracias
Si el problema se arregla solo y sin desconectarte y conectarte, pudiera ser un problema de recursos, tienes en monitoreo tus equipos de red, tal vez el enlace presente una leve saturación o el CPU, memoria del firewall están al máximo
es Necesario que el Fortinet tenga ip pública o solo que se conecte via Wan hacia el modem/router del ISP , porque e visto que muchos Fortinet tienen una ip publica, pero no entiendo si eso va de la mano con el isp o simplemente ponen el modem/router en modo bridge
Que tal buena tarde una consulta técnica de alto nivel tengo configurada una vpn ssl entro a mis sitios pero cuando estoy dentro no puedo navegar en páginas web
En este caso, tienes tu ONT/modem en modo bridge y la IP publica reside en el Forti??? En caso de que como comentaste, tenga yo una ip nateada (me la da mi ISP), cual sería el camino a tomar?? saludos
Si es posible, seria hacer forwarding de puertos en tu modem, pero no todos los ISP lo permiten. Si ese fuera el caso no te va a quedar de otra mas que cambiar de ISP
Buenos días, Se puede aplicar la configuración VPN SSL en un VDOM distinto al root en un fortigate?, lo estoy intentando implementar pero me da error con la conexión segura con el LDAP.
tengo una consulta: Como creo un tunneling entre mi forti y los usuarios, que naveguen por su internet domestico, pero con las politicas de seguridad del forti? Y por otro lado, si no estan conectados, esas politicas no les bajan? o quedan guardadas? por ejemplo, si los usuarios usan equipos fuera de horario para recreacion, quedan bajo las politicas del forti igual aunque no esten conectads a la vpn?
Simplemente tienes que deshabilitar el split tunnel y crear una politica de la interfaz SSL hacia la WAN de tu empresa; Tus clientes tienen que estar conectados via forticlient para que se apliquen las políticas, es posible forzar la conexión con licencias como Forticlient EMS
HOLA AYUDAME. INGRSO NORMAL AL VPN CON EL USUARIO, PERO CUANDO VOY A VERIFICAR CONEXION POR SSH y INGRESO LA IP COMO HACE UD, NO ME SALE LA OTRA VENTANA DE USUARIO Y CONTRASEÑA SI NO QUE ME SALE EL ERROR DE CONEXION
Hola Tengo un cliente que tiene instalado FortiClient y cuando se quiere conectar por la VPN le da un error. El error es "The VPN Server may be unreachable (-20199)". No encuentro la forma de solucionarlo. Me pueden ayudar?
1. Le puedes decir a tu cliente que nos marque =D info@quanti.mx 2. Yo empezaria por revisar la conectividad entre la ubicacion de tu cliente y tu fortigate. Muchas veces los ISP no rutean de manera correcta y esto se ve directamente con ellos
Es la opción que te da el sistema por default. Si se debe de "setear" (tiene que haber un default) sin embargo, se puede generar un SSL Portal sin privilegios para asignarlo al default.
hola tengo mi vpn pero se desconecta en muy poco tiempo le e buscado como cambiarlo y no e podido requiero que este al menos 12 hrs habilitado la conexion de la vpn
Luis te felicito, Excelente vídeo y explicación! En la oficina estamos por implementar la VPN y me surgen algunas dudas al momento de la seguridad... En los equipos de la oficina utilizamos un antivirus corporativo, sin embargo los usuarios en el hogar no tienen está posibilidad, una vez que se conectaron a la VPN y acceden a las carpetas y archivos del dominio... cómo puedo controlar que no suceda nada raro?
De entrada, se recomienda utilizar antivirus en todos los equipos, si lo que no deseas es que los usuarios entren con sus equipos sin antivirus una opción es comprar licencias premium de forticlient y usar el módulo compliance
Muy bueno, pero realice todos los pasos y me conecta a la red, pero no a las unidades de red que tengo mapeadas en la red interna, que puede pasar, agradezco su ayuda
Hola Daniel... eso se menciona en el minuto 07:40 "Crear usuarios locales y grupos". Comenta si te fue de utilidad o tienes otra duda y con gusto te apoyamos!
Solo vas a user groups le das click en unico usuario se supone tendras si seguiste este tutorial y se habilita la lista de usuarios seleccionables, agrega el que gustes, saludos!
Tengo una pregunta en una red interna que se deve hacer para permitir conexion remota a todas las pc por medio de la aplicacion de anydesk?? Seria tan amable de hecharme una manito....
Excelente, Luis gracias por compartir el conocimiento He cofigurado con exito la vpn, con mi aplicativo ERP; sin embargo la conexion se hace perfecta pero mi sistema ERP va lento en la apertura y consulta de información y aparte despues de un tiempo la vpn se desconecta Que me sugieres hacer para corregir estos dos detalles, desde ya gracias
Muchas gracias por tan buena explicación. Ya tengo a mis usuarios y estos se conectan sin mayor problema, PERO cuando quiero entrar a una carpeta compartida de alguno de mis usuarios por VPN utilizo la IP asignada por el Forticlient pero no alcanzo ese equipo ¿qué debo de hacer para que pueda acceder a esa carpeta compartida de mi usuario? ya sea desde la red a la que apunta la VPN o desde otro cliente que también esté conectado. Gracias!!!
Buenas tardes, primera vez que visito el canal y quede satisfecho por la manera de explicar ya que es muy clara y sencilla, aprovecho para preguntar acerca del tema que describo a continuación, tenemos habilitadas VPNS IPSEC asignadas por grupos y en cada grupo varios usuarios(tomados del active directory) y cada VPN tiene asignado un rango de IPS y conforme se van conectando se les va asignando dichas IP, ahora lo que se busca es que cada vez que se conecta un usuario se le asigne la misma IP, veo que en el forticlient se puede asignar de manera manual pero cuando la pongo no logro conectarme y manda error, de igual manera tengo una VPN SSL de prueba y no logro realizar dicha configuración!, de antemano muchas gracias por tomarse el tiempo de leer mi comentario, saludos!
Esta es una configuración que piden mucho, desafortunadamente Fortinet aun no tiene un control para asignar una IP en base al usuario La única alternativa para realizar esto es generar un tunel/portal por cada usuario (lo cual hace la gestión muy complicada)
Hola Luis excelente video. Mis felicitaciones , dentro de mis consultas puedo utilizar un FortiWifi 60C, para aplicar una VPN tal y como lo indicaste en el video ?
Muchas gracias por el tutorial es muy bueno. una consulta, espero me puedas iluminar =P mira tengo instalado en un server 2019, Aspel NOI y sus clientes en la misma red, si alcanzan el servicio con el "monitor de licencias"(muestra las licencias disponibles) , el problema se presenta cuando los clientes se conectan a la VPN por la interfaz de tunel SSL, haciendo ping al servidor si lo alcanzan, el directorio de archivos comunes DAC, tambien lo ven, (todas las configuraciones habidas y por haber en el servidor y en el cliente ya las revise y valide) pero sigo sin alcanzar el servicio de licencias de Aspel, y sin ese servicio no se puede ocupar NOI en los clientes. no se si tengas alguna idea o si te hallas topado con este mismo problema algunas vez. de antemano muchas gracias. Saludos.
Que tal Raul, es probable que esta solución use los nombres de los equipos y por eso estando en la misma red con el mismo workgroup es posible que se vean entre ellos, si hay alguna config que apunte a un nombre intenta apuntar a la IP o usar un servidor de DNS interno en la VPN
Tengo una consulta, habrá alguna manera de bloquear el intenert cusbdo me autentico con el forticlient? O es normal que tenga intenert en mi casa, estando autenticado en la vpn?
tu eres la version cambiada... en mi caso cuando me authetico a la red por medio del Forticlient Pierdo el Internet en mi casa no puedo navegar, alguna sugerencia
Hola Luis buenas tardes, en primer lugar saludos desde Ecuador excelentes explicaciones sobre la configuración del firewall; tengo las siguientes consultas: 1. Se puede limitar el ancho de banda por políticas o por grupos a los dispositivos que forman parte de red VLAN? 2. Como reservo una dirección DHCP de un nuevo dispositivo para luego agregarlo a un grupo determinado de políticas de acceso? De antemano agradecido y éxitos
Saludos a todos los hermanos en Ecuador! Mis respuestas: 1. Si es posible con politicas de Traffic shaping, ya prepararemos un video con eso. 2. Tambien es sencillo mediante CLI: config system dhcp reserved-address edit User1 set ip 10.10.10.55 set mac 00:09:0F:30:CA:4F set type regular end
Hola amigo!, gracias por el video!, está excelente!, sólo tengo una duda. a ver si puedes ayudarme!, todo está configurado casi a la perfección, lo único que no logro hacer correctamente es que el DNS resuelva a través de la VPN, lo hace, pero debo colocar el prefijo del dominio, sin el no le llego a nada. Ejemplo para conectarme al srv tengo que hacerlo por IP, o sino colocando nombredesrv.dominio.local ¿Existe manera de poder llegarle sólo con el nombre sin el prefijo?. Gracias!
Hola! Nos comenta nuestro especialista de ciberseguridad que probablemente debas de configurar el DNS Interno y que te asegures que es alcanzable desde el Fortinet
Hola cómo logro conectar una red externa con VPN ssl es decir que mi cliente desde la red de si casa pueda acceder a un servidor a esa VPN, por qué internamente si me funciona desde la red de mi casa que es 1.0 hasta la red del fortigate que es 10.0 pero ya si quiero desde otra red no deja
Saludos, excelente aporte lo felicito, aprovecho tengo una inquietud, mi vpn ssl se cae o desconecta a cierto tiempo si duro largo tiempo sin usarla, y requiero que siempre este activa , cual de estos dos comando me evitaria eso, idle-timeout o auth-timeout agradecería su apoyo.
Ya esta programado! =) puedes revisar nuestra programación de los próximos contenidos aquí: quanti.com.mx/2019/11/14/la-guia-definitiva-para-configurar-un-fortigate/
Muchas gracias excelente guía... Le pregunto cómo puedo llamar un equipo por el nombre y no por la IP, cuando estoy conectado a la vpn. Ya que se tienen aplicaciones que solo responden al nombre.😂 Muchas gracias
Hola Buen DIa yo Tengo un FOrtigate 500e hice la VPN muy FUncional pero al conectarse a la red de la VPN me pierde el internet, no me deja navegar solo me permite estar en la red interna de la empresa. alguna sugerencia
Toma la configuracion de idioma de tu computadora, pero lo puedes cambiar. Aquí te dejamos donde: docs.fortinet.com/document/forticlient/6.0.1/windows-release-notes/45822/language-support
Hola Luis, tengo una vpn y accedemos desde casa perfectamente al fileserver. Hay alguna manera de configurar para que en lugar de sólamente acceder a los archivos del fileserver, podamos acceder a la pc que tenemos en la oficina como si estuviéramos usando Teamviewer?. Muchas gracias
Algunas, empezaríamos por revisar el ancho de banda de la VPN, tambien hay que verificar todo el tema de políticas. Te recomiendo ir haciendo pings a cada salto para ver a donde llegas y a donde no
Buenas amigo intente crear la vpn por ips pero realmente no se que movi y ahora no puedo entrar como admin a la configuracion ya que solo puedo ingresar pero con usuario de vpn (no admin) o launch forticlient sera que me puedas orientar
Lo mas probable es que estas usando el mismo puerto para la VPN y la Gestión. Te recomiendo conectarte por SSH y cambiar el puerto de gestión. Intenta con este comando: config system global set admin-sport 8443
Muy buena tu explicación. ¿Pregunto en caso de ya tener las VPN SSL y todo funciona bien quisiera conectarme remoto a los usuarios de las casas hay una posibilidad o sea en sentido contrario?
Claro! En ese caso seria necesario hacer una regla de tu LAN hacia la interfaz SSL y asegurarte de que los usuarios no tengan activo su firewall de windows (o que este tenga las excepciones adecuadas).
@@QuantiSolutions Ok lo voy a probar . Y dentro de la VPN siendo desde un usuario logueado a otro usuario logueado más allá de las reglas del firewall.
Amigo podrias grabar un video con vpn ssl pero en fase 2, por ejemplo en una empresa en nicaragua y otra en guatemala esta configurado como P2P ipsec en fase 1 y luego la empresa de guatemala quiere proporcionar vpn a sus personal de casa como home office, como se configuraria eso.
Claro que intentamos hacer el esfuerzo, solo me gustaría entender bien. ¿Lo que quieres es redirigir el tráfico de un túnel SSL a una conexión S2S o P2P en otro firewall?
Saludos, muy buenos los vídeos, ayudan y aclaran full inquietudes, qu epro cierto tengo una, seria posible configurar una vpn ssl y que conecte a dos redes privadas??
Hola buenas. Primero que nada agradecer por vuestro esfuerzo. Muy claros los conceptos. Es posible asignar una IP concreta a un usuario en concreto con este tipo de VPN? Un saludo.
Hola Luis, primero felicitarte por el contenido que publicas es de mucha ayuda y muchos éxitos a futuro. Tengo una pregunta, tengo un grupo de usuarios que hacen trabajo remoto conectados mediante VPN apuntando a mi Fortigate... Mi pregunta es... ¿Existe la posibilidad de habilitar un usuario a cierta hora y luego deshabilitarlo a otra cierta hora? Se que se hace manualmente, pero existe la posibilidad de automatizarlo?
Desde Chile felicitaciones muy conciso y preciso buey! :)
Hola estimado!. Estoy comenzando en todo esto de la administración de redes y seguridad y la verdad que tus clases han sido de gran utilidad ya que todo lo explicas de forma simple y detallada como para que la práctica sea un placer. Sigue así maestro!. Saludos.
Javier Caceres muchas gracias por tus comentarios y nos complace saber que este material te es de utilidad. Ayúdanos a compartir para que llegue a más personas como tú!
Gran Saludo desde el Sur del Mundo!!! SOS Grande - CuidaTe Mucho!
Excelente, muy bien explicado.. Ya quedo una nueva VPN que me pidieron en mi trabajo a Corea del Sur... saludos
Felicitaciones, mejor explicado no puede estar mi estimado, te ganaste tu respectivo Like y la suscribción
Muchas gracias!! Te agradecemos mucho tus palabras =)
Muchas gracias, eres un crack. Nunca habia montado una VPN SSL en Forti y con tu tutorial a la primera tío genial
Excelente, soy apenas un auxiliar, pero me ha servido mucho para mejorar mi conocimiento. mil gracias
Con mucho gusto
Esperando el siguiente episodio, muy buenos videos.
Muy pronto =D
Gracias Quanti muy buen video, saludos.
Hola Quanti, me has salvado... muchas gracias por tu tiempo y esfuerzo, por favor síuenos INSTRUYENDO.
Nos alegra saber que estamos aportando nuestro granito de arena para hacer de México, un lugar más seguro. 😀
Hola, ¿cual es el programa que utilizas para la conexión SSH cuando estas conectado por la aplicación de FortiClient?. Gracias, un saludo.
Por favor continua con estos videos, y muchas gracias
Gracias a ti por seguirnos!
Consulta, hay que tener el FortiGate licenciado para poder los bookmarks desde el portal Web?
Muy muy buen vídeo y super explicado! Tanto así que me suscribí a tu canal, veo muchas cosas interesantes!!! 👍🏻 Gracias Luis.
Gracias!!!
excelente video muy bien explicado,gracias y saludos
Muchas gracias exelente video, saludos!
Luis Fernando Rodríguez excelente que te haya servido! Un saludo!
Hola. Una pregunta. luego de alcanzar LAN por medio de la VPN, como hacer para que la navegaciòn hacia Internet del host remoto se realice por medio del ISP del cliente remoto y no por medio de la interfaz Wan del fortinet? Muchas gracias.
Hola José David García, tal y como se muestra en el video, hay que habilitar un split tunnel al momento de crear el SSL Portal. Con gusto podemos apoyarte, saludos!
@@QuantiSolutions Dale, te lo agradecería, puesto a que he usado el split tunnel y aun dependo de una política wan en el Fortinet para poder acceder a Internet
Muchas gracias por el tutorial, pregunta: podria usar mis perfiles de seguridad como web filter en mi conexion de VPN?
Hola @fortinet guru, gracias por la brillante explicación. Tengo una pregunta en mi trabajo: nos conectamos a través de la aplicación forticlient que apuntaba a un nombre DNS en lugar de una dirección IP. Entonces, ¿cómo se configura eso en el firewall de Fortigate?
Muchas gracias me sirvió para comprender, pero tengo una duda, los usuarios de la configuración de la SSLVPN se conectan a la red, pero cada vez que ellos se conectan se generan nuevos túneles y se llega a saturar el rango asignado y me toca estar borrando amnualemte los tuneles que se les genran como puedo resolver esto.
Hola, pudiste resolver este detalle?
Excelente explicación. Una duda ya sea que un cliente remoto se conecte ya sea por ssl o por IPSec a el túnel VPN. Con su cuenta. Es posible relacionar la ip con la cuenta del cliente VPN. Para que siempre se otorgue la misma..
Es dificil, la unica manera es crear un pool de una sola ip y crear varias VPN
Muchas gracias, esto resolvió unas dudas que tenia!
De nada!
buenas estimado , una consulta, se puede realizar un laboratorio de este tema vpn ssl , en entorno virtual (vmware , gns3, vm fortinet) , saludos.
Desafortunadamente las evaluaciones limitan el uso de ciertos protocolos de cifrado por lo cual no seria posible. Se puede generar una ipsec con cifrado bastante debil, haremos el esfuerzo de subir un video para montar un laboratorio virtual. Saludos.
Gracias amigo ,recien empiezo en fortigate
You still have much to learn, my young padawan
Excelente Aporte amigo, me ha servido mucho.
Tengo una pregunta por un error que me da, me conecta el forticlient muy bien pero no accedo a las ips internas, solo accedo a ellas si cambio el destino de la politica de "WEBserver" a "all" pero este parametro me obliga a deshabilitar el "Split tunneling".
hice tal cual tus indicaciones pero mi red esta algo diferente con un SD-WAN con balanceo (No se si influya, soy nuevo en esto, pero a la hora de llamar algunos destinos y orígenes no me salen las mismas opciones de red).
Amigo creo que ya encontré el error tu ip ".10" es servidor web. en mi caso era el .106 ya estaba creado. la pregunta es como haría si además de un web tengo una NAS, servidor MYSQL, como haría para habilitar todos los pc y servidores que están en la red y no solo el servidor web?
Muchas gracias. Me ha servido de gran ayuda.
Esa es la idea!! No olvides suscribirte al canal =D
Hola, yo tengo configurada un SSL VPN en mi fortinet y me permite ping y todo el tráfico del CLiente VPN hacia la red LAN, pero no a la inversa, agregue una policy para esto, pero no me funciona, hay que hacer un paso adicional para lograr comunicación de ambos lados ? Es decir desde mi LAN quiero poder mandar cosas a los Clientes VPN
Tengo una duda, si el cliente final se conecta a la vpn de fortinet por medio de una maquina virtual, el administrador de la gestión de la red que brinda el servicio solo tiene acceso a la maquina virtual o también puede visualizar los dispositivos en la red internal local de donde se hace la conexión, ya sea con el fortinet o con algun programa de gestiones de redes o testing?. Saludos
Depende de el destino que configures en la política, si solo pones la maquina virtual solo tendrá acceso a la maquina virtual. El único tema es que si le das acceso por RDP o algún protocolo dentro de ese servidor si podrá saltar lateralmente a la LAN
buen dia, tengo una duda porque desde mi wifi en Casa conecta a la VPN y puedo acceder a las Compartidas, pero al realizarla desde otras redes wifi me conecta la VPN pero no me permite acceder a la información de las compartidas ?. Gracias.
Felicidades por el vídeo tengo un problema porque pierdo el internet cuando me conecto por forticlient ? que pasos tengo que realizar
estamo sigual tambien me pasa lo mismo
Hola! Hay que habilitar el Split Tunnel como se indica en el video y asegúrate de asignar DNS públicos (o que alcances los internos).
muy bueno tu video Luis, porfa si puedes hacer el video para IPsec Vpn, estaría genial
Ese video está en el horno, esperalo muy pronto 😉 Gracias por seguirnos!
@@QuantiSolutions salio?
Exelente!!
Gracias!
amigo muy buen video solo una consulta= me logre conectarcon vpn cliente ,,, pero en la politica no me levanta navegacion y l ohize tal cual lo hicistes,
Excelente video, tengo una duda al tener un usuario LDAP al hacer la conexión FoticlientVPN no se conecta , si uso usuarios Locales no tengo problemas, En ambos casos en la configuración uso IP publica , el error que me sale es: Credential or SSLVPN configuration is wrong (-7200); si se conecta por el anydesk sin usar FoticlientVPN con su usuario y clave windows accesa sin problemas.
Te recomiendo revisar la configuración del Fortigate hacia el LDAP (intenta con este comando:
diagnose test authserver ldap LDAP_SERVER user1 password
) asi como nos lo platicas pudieran ser varias cosas. Si tienes mas dudas o te atoras, no dudes en marcarnos
@@QuantiSolutions Gracias por su respuesta
EXCELENTE VIDEO
Gracias =D
Excelente vídeo amigo. Una pregunta. Me sucede con mis usuarios de VPN que llega un momento que entran a la VPN vía Forticlient pero ya no pueden consultar nada internamente, ni acceder a servidores de archivos, SAP, Aplicaciones internas, nada. Reviso al usuario y veo que esta conectado al forti pero no pueden consultar nada. Pasa x tiempo y vuelven a entrar y trabajar de manera normal. Espero puedas comentar algo al respecto, muchas gracias
Si el problema se arregla solo y sin desconectarte y conectarte, pudiera ser un problema de recursos, tienes en monitoreo tus equipos de red, tal vez el enlace presente una leve saturación o el CPU, memoria del firewall están al máximo
@@QuantiSolutions muchas gracias por los comentarios. Voy a revisar esos puntos. Saludos
es Necesario que el Fortinet tenga ip pública o solo que se conecte via Wan hacia el modem/router del ISP , porque e visto que muchos Fortinet tienen una ip publica, pero no entiendo si eso va de la mano con el isp o simplemente ponen el modem/router en modo bridge
Muchas gracias por el aporte.
Gracias! No olvides suscribirte al canal!
Que tal buena tarde una consulta técnica de alto nivel tengo configurada una vpn ssl entro a mis sitios pero cuando estoy dentro no puedo navegar en páginas web
Buen dia a,igo tengo un fortigate 60D V6.0.14 mi pregunta es porque en la wan no me aparece mi ip publica?
Hola buenas tardes, cuando realizo la conexion por el cliente vpn el usuario no puede navegar a internet, solo puede ingresar a las ip que les indico.
Una consulta Doctor, por que en routing address pones 10.0.0.10/32 si la red donde esta el webserver es IP/24 ???
En este caso es un objeto de acceso, no una ruta. Por lo tanto se dio de alta ese objeto con esa mascara
En este caso, tienes tu ONT/modem en modo bridge y la IP publica reside en el Forti??? En caso de que como comentaste, tenga yo una ip nateada (me la da mi ISP), cual sería el camino a tomar??
saludos
Si es posible, seria hacer forwarding de puertos en tu modem, pero no todos los ISP lo permiten. Si ese fuera el caso no te va a quedar de otra mas que cambiar de ISP
@@QuantiSolutions o contratar una IP al menos dinámica para poder alcanzar el forti (obvio con la apertura de puertos)
Buenos días, Se puede aplicar la configuración VPN SSL en un VDOM distinto al root en un fortigate?, lo estoy intentando implementar pero me da error con la conexión segura con el LDAP.
tengo una consulta:
Como creo un tunneling entre mi forti y los usuarios, que naveguen por su internet domestico, pero con las politicas de seguridad del forti?
Y por otro lado, si no estan conectados, esas politicas no les bajan? o quedan guardadas?
por ejemplo, si los usuarios usan equipos fuera de horario para recreacion, quedan bajo las politicas del forti igual aunque no esten conectads a la vpn?
Simplemente tienes que deshabilitar el split tunnel y crear una politica de la interfaz SSL hacia la WAN de tu empresa; Tus clientes tienen que estar conectados via forticlient para que se apliquen las políticas, es posible forzar la conexión con licencias como Forticlient EMS
HOLA AYUDAME.
INGRSO NORMAL AL VPN CON EL USUARIO, PERO CUANDO VOY A VERIFICAR CONEXION POR SSH y INGRESO LA IP COMO HACE UD, NO ME SALE LA OTRA VENTANA DE USUARIO Y CONTRASEÑA SI NO QUE ME SALE EL ERROR DE CONEXION
Estimado cuando conecto la VPN por forticlient me deja sin internet el equipo
estimado como puedo hacer para poder ver los equipos de la red vpn por nombre de equipo?
Buenos días, tendrás para una versión mas vieja tengo el firmware 5.2 y hay opciones que no me aparecen conforme a tu video.
Hola Susana, lamentablemente no tenemos algo con una versión mas vieja. ¿Por que no te actualizas mejor? Te podemos ayudar en algo ahi?
Hola Tengo un cliente que tiene instalado FortiClient y cuando se quiere conectar por la VPN le da un error. El error es "The VPN Server may be unreachable (-20199)". No encuentro la forma de solucionarlo. Me pueden ayudar?
1. Le puedes decir a tu cliente que nos marque =D info@quanti.mx
2. Yo empezaria por revisar la conectividad entre la ubicacion de tu cliente y tu fortigate. Muchas veces los ISP no rutean de manera correcta y esto se ve directamente con ellos
En la parte SSL VPN SETTINGS porque agregar full access a "all other users/groups" ? Se puede dejar sin setear?
Es la opción que te da el sistema por default. Si se debe de "setear" (tiene que haber un default) sin embargo, se puede generar un SSL Portal sin privilegios para asignarlo al default.
Disculpa amigo existe alguna manera de tener acceso a mi fortinet para poderlo administrar desde casa ???
hola tengo mi vpn pero se desconecta en muy poco tiempo le e buscado como cambiarlo y no e podido requiero que este al menos 12 hrs habilitado la conexion de la vpn
Luis te felicito, Excelente vídeo y explicación! En la oficina estamos por implementar la VPN y me surgen algunas dudas al momento de la seguridad... En los equipos de la oficina utilizamos un antivirus corporativo, sin embargo los usuarios en el hogar no tienen está posibilidad, una vez que se conectaron a la VPN y acceden a las carpetas y archivos del dominio... cómo puedo controlar que no suceda nada raro?
De entrada, se recomienda utilizar antivirus en todos los equipos, si lo que no deseas es que los usuarios entren con sus equipos sin antivirus una opción es comprar licencias premium de forticlient y usar el módulo compliance
Muy bueno, pero realice todos los pasos y me conecta a la red, pero no a las unidades de red que tengo mapeadas en la red interna, que puede pasar, agradezco su ayuda
Una pregunta, ¿¿¿cuántos usuarios puedo dar de alta para conectar a VPN???
Buen día, cual seria la mejor manera para conectarse a una VPN usando un iPhone? usando la aplicación FortiClient, o la VPN nativa que trae el equipo?
buenas si quiero agregar un usuario a un grupo vnp ssl como seria ??
Hola Daniel... eso se menciona en el minuto 07:40 "Crear usuarios locales y grupos". Comenta si te fue de utilidad o tienes otra duda y con gusto te apoyamos!
Solo vas a user groups le das click en unico usuario se supone tendras si seguiste este tutorial y se habilita la lista de usuarios seleccionables, agrega el que gustes, saludos!
@@QuantiSolutions gracias me fue de mucha ayuda
@@luiscorona8078 gracias
Tengo una pregunta en una red interna que se deve hacer para permitir conexion remota a todas las pc por medio de la aplicacion de anydesk?? Seria tan amable de hecharme una manito....
La unica manera que se me ocurre en este momento es utilizando el "application control" permitiendo la aplicacion any desk y bloqueando todo lo demas
hola amigo una consulta sabes si se puede hacer una vpn ssl con un fortigate Modelo fwf- 60c? de antemano gracias :D
Excelente video Luis, Una pregunta: creaste el video para VPN con IPSEC?. Saludos y felicitaciones
Aun esta pendiente
Excelente, Luis gracias por compartir el conocimiento
He cofigurado con exito la vpn, con mi aplicativo ERP; sin embargo la conexion se hace perfecta pero mi sistema ERP va lento en la apertura y consulta de información y aparte despues de un tiempo la vpn se desconecta
Que me sugieres hacer para corregir estos dos detalles, desde ya gracias
Hola, porque podria darse que no acepte mis credenciales de dominio pero si acepta credenciales locales de la pc para conectarse por mstsc?
Probablemente sea un tema de permisos hacia el remote desktop, te sugiero verificar si el grupo de active directory tiene accesso o permisos de RDP
disculpa porque la columna de acceso remoto desaparece de mi forticlient despues de cierto tiempo
Excelente. consulta como puedo configurar 2 vlan y administrarla por la misma vpn
Se tendria que generar una regla para cada VLAN asi como habilitar las 2 redes en el split tunnel
Muchas gracias por tan buena explicación. Ya tengo a mis usuarios y estos se conectan sin mayor problema, PERO cuando quiero entrar a una carpeta compartida de alguno de mis usuarios por VPN utilizo la IP asignada por el Forticlient pero no alcanzo ese equipo ¿qué debo de hacer para que pueda acceder a esa carpeta compartida de mi usuario? ya sea desde la red a la que apunta la VPN o desde otro cliente que también esté conectado. Gracias!!!
Algo así cómo lo que se logra hacer con Hamachi. Gracias una vez más.
Buenas tardes, primera vez que visito el canal y quede satisfecho por la manera de explicar ya que es muy clara y sencilla, aprovecho para preguntar acerca del tema que describo a continuación, tenemos habilitadas VPNS IPSEC asignadas por grupos y en cada grupo varios usuarios(tomados del active directory) y cada VPN tiene asignado un rango de IPS y conforme se van conectando se les va asignando dichas IP, ahora lo que se busca es que cada vez que se conecta un usuario se le asigne la misma IP, veo que en el forticlient se puede asignar de manera manual pero cuando la pongo no logro conectarme y manda error, de igual manera tengo una VPN SSL de prueba y no logro realizar dicha configuración!, de antemano muchas gracias por tomarse el tiempo de leer mi comentario, saludos!
Esta es una configuración que piden mucho, desafortunadamente Fortinet aun no tiene un control para asignar una IP en base al usuario La única alternativa para realizar esto es generar un tunel/portal por cada usuario (lo cual hace la gestión muy complicada)
Hola Luis excelente video. Mis felicitaciones , dentro de mis consultas puedo utilizar un FortiWifi 60C, para aplicar una VPN tal y como lo indicaste en el video ?
Si, sin problema. Solo asegúrate de que los recursos de consumo no estén muy altos (CPU, Memoria, etc.)
Hola para recordar como se crea una regla de acceso desde Internet hacia la LAN con otra dirección ip publica diferente al Firewall
Te sugerimos hacer un Forward de puertos en tu modem de internet
Muchas gracias por el tutorial es muy bueno.
una consulta, espero me puedas iluminar =P
mira tengo instalado en un server 2019, Aspel NOI y sus clientes en la misma red, si alcanzan el servicio con el "monitor de licencias"(muestra las licencias disponibles) , el problema se presenta cuando los clientes se conectan a la VPN por la interfaz de tunel SSL, haciendo ping al servidor si lo alcanzan, el directorio de archivos comunes DAC, tambien lo ven, (todas las configuraciones habidas y por haber en el servidor y en el cliente ya las revise y valide) pero sigo sin alcanzar el servicio de licencias de Aspel, y sin ese servicio no se puede ocupar NOI en los clientes. no se si tengas alguna idea o si te hallas topado con este mismo problema algunas vez.
de antemano muchas gracias.
Saludos.
Que tal Raul, es probable que esta solución use los nombres de los equipos y por eso estando en la misma red con el mismo workgroup es posible que se vean entre ellos, si hay alguna config que apunte a un nombre intenta apuntar a la IP o usar un servidor de DNS interno en la VPN
Tengo una consulta, habrá alguna manera de bloquear el intenert cusbdo me autentico con el forticlient? O es normal que tenga intenert en mi casa, estando autenticado en la vpn?
tu eres la version cambiada... en mi caso cuando me authetico a la red por medio del Forticlient Pierdo el Internet en mi casa no puedo navegar, alguna sugerencia
Hola! Hay que desahbilitar el Split Tunnel
Excelente video brother, please realiza uno pero con un active directory ELDA, muchas gracias. Saludos desde Ecuador
Intentaremos hacerlo lo mas pronto posible!
Hola Luis buenas tardes, en primer lugar saludos desde Ecuador excelentes explicaciones sobre la configuración del firewall; tengo las siguientes consultas:
1. Se puede limitar el ancho de banda por políticas o por grupos a los dispositivos que forman parte de red VLAN?
2. Como reservo una dirección DHCP de un nuevo dispositivo para luego agregarlo a un grupo determinado de políticas de acceso?
De antemano agradecido y éxitos
Saludos a todos los hermanos en Ecuador!
Mis respuestas:
1. Si es posible con politicas de Traffic shaping, ya prepararemos un video con eso.
2. Tambien es sencillo mediante CLI:
config system dhcp reserved-address
edit User1
set ip 10.10.10.55
set mac 00:09:0F:30:CA:4F
set type regular
end
@@QuantiSolutions, gracias por la respuesta lo pondre en practica
Excelente, ahora vamos con el IPSEC
Ya mero, ya mero =) Hoy tenemos video nuevo!!!
CRACK!
Hola amigo!, gracias por el video!, está excelente!, sólo tengo una duda. a ver si puedes ayudarme!, todo está configurado casi a la perfección, lo único que no logro hacer correctamente es que el DNS resuelva a través de la VPN, lo hace, pero debo colocar el prefijo del dominio, sin el no le llego a nada. Ejemplo para conectarme al srv tengo que hacerlo por IP, o sino colocando nombredesrv.dominio.local
¿Existe manera de poder llegarle sólo con el nombre sin el prefijo?. Gracias!
Hola! Nos comenta nuestro especialista de ciberseguridad que probablemente debas de configurar el DNS Interno y que te asegures que es alcanzable desde el Fortinet
Hola cómo logro conectar una red externa con VPN ssl es decir que mi cliente desde la red de si casa pueda acceder a un servidor a esa VPN, por qué internamente si me funciona desde la red de mi casa que es 1.0 hasta la red del fortigate que es 10.0 pero ya si quiero desde otra red no deja
Necesitaria mas informacion para poder ayudarte, pero por como nos lo platicas es un tema de capa 3, empieza tirando pings para ver donde se atora
Saludos, excelente aporte lo felicito, aprovecho tengo una inquietud, mi vpn ssl se cae o desconecta a cierto tiempo si duro largo tiempo sin usarla, y requiero que siempre este activa , cual de estos dos comando me evitaria eso, idle-timeout o auth-timeout agradecería su apoyo.
En este caso seria idle-timeout pero te recomiendo dejar un ping extendido hacia algun equipo dentro de tu red
Maestraso, me están haciendo sindicato jeje, que subas un ejemplo integrando a active directory 🙏
Ya esta programado! =) puedes revisar nuestra programación de los próximos contenidos aquí: quanti.com.mx/2019/11/14/la-guia-definitiva-para-configurar-un-fortigate/
@@QuantiSolutions cuando sacarán más vídeos de la guía?? O ya no están enfocados en How to Fortigate?
Pregunta rapida.
¿Afecta en algo si quito las VPN´s que vienen por defecto en el fortigate?
No debería afectar, sin embargo por seguridad es recomendable eliminar toda configuración default
Excelente video amigo, una consulta... ¿Es necesario que el proveedro de internet nos de una IP estática?
No necesariamente, pero esta debe de ser publica. Recuerda poner tu modem de internet en modo bridge y usar un DYNDNS
Hola, hay alguna forma de poder calcular la cantidad máxima de usuarios conectados de forma simultáneos, si que se afecte el dispositivo?
Esto depende de la actividad de cada usuario, asi que no, no hay una forma de...
gracias
Muchas gracias excelente guía... Le pregunto cómo puedo llamar un equipo por el nombre y no por la IP, cuando estoy conectado a la vpn. Ya que se tienen aplicaciones que solo responden al nombre.😂 Muchas gracias
bien explicado
Por que no puedo hacer ping a mi red local despues de haber configurado con exito y conectado via forticlient?
Perdón por la tardanza, ya revisaste que no tengas un FW local como el FW de windows o de algún antivirus bloqueando ese ping?
Hola Buen DIa yo Tengo un FOrtigate 500e hice la VPN muy FUncional pero al conectarse a la red de la VPN me pierde el internet, no me deja navegar solo me permite estar en la red interna de la empresa. alguna sugerencia
Hola! Hay que habilitar el Split Tunnel como se indica en el video y asegúrate de asignar DNS públicos (o que alcances los internos).
Hola, podrías hacer un video con IPsec para conexión remota de un usuario con el forticlient?, Gracias
Proximamente!! Hoy tenemos video nuevo =D
Como haces para traducir FortiClient? me queda en ingles y no encuentro opción x_x versión 6.0.9
Toma la configuracion de idioma de tu computadora, pero lo puedes cambiar. Aquí te dejamos donde: docs.fortinet.com/document/forticlient/6.0.1/windows-release-notes/45822/language-support
@@QuantiSolutions muchas gracias, voy a revisar eso.
Hola Luis, tengo una vpn y accedemos desde casa perfectamente al fileserver.
Hay alguna manera de configurar para que en lugar de sólamente acceder a los archivos del fileserver, podamos acceder a la pc que tenemos en la oficina como si estuviéramos usando Teamviewer?. Muchas gracias
Hola Tendrías que agregar a la regla la dirección Ip de tu maquina y el puerto que usa el teamviewer. saludos
Claro, tendrias que habilitar algun protocolo como RDP (Remote Desktop Protocol) en Windows y permitir el puerto 3389
Buenas tardes, tengo una aplicacion windows que no carga con la VPN, solo me permite ingresar usuario y contraseña y luego se cuelga. alguna idea?
Algunas, empezaríamos por revisar el ancho de banda de la VPN, tambien hay que verificar todo el tema de políticas. Te recomiendo ir haciendo pings a cada salto para ver a donde llegas y a donde no
Buenas amigo intente crear la vpn por ips pero realmente no se que movi y ahora no puedo entrar como admin a la configuracion ya que solo puedo ingresar pero con usuario de vpn (no admin) o launch forticlient sera que me puedas orientar
Lo mas probable es que estas usando el mismo puerto para la VPN y la Gestión. Te recomiendo conectarte por SSH y cambiar el puerto de gestión. Intenta con este comando:
config system global
set admin-sport 8443
Muy buena tu explicación. ¿Pregunto en caso de ya tener las VPN SSL y todo funciona bien quisiera conectarme remoto a los usuarios de las casas hay una posibilidad o sea en sentido contrario?
Claro! En ese caso seria necesario hacer una regla de tu LAN hacia la interfaz SSL y asegurarte de que los usuarios no tengan activo su firewall de windows (o que este tenga las excepciones adecuadas).
@@QuantiSolutions Ok lo voy a probar . Y dentro de la VPN siendo desde un usuario logueado a otro usuario logueado más allá de las reglas del firewall.
Muchas gracias tu video me ha salvado, yo tengo infinitum sin enlace dedicado, ¿ocupa el modem tener algun puerto abierto?
En este caso si, es el que definas en la parte de SSL Settings (en este ejemplo creo que pusimos el 443)
saludos, otra vez yo por aquí amigo, existirá alguna manera para que la VPN ssl siempre este activa , conectada? estén o no usándola por lago tiempo??
En este caso seria idle-timeout pero te recomiendo dejar un ping extendido hacia algun equipo dentro de tu red
Amigo podrias grabar un video con vpn ssl pero en fase 2, por ejemplo en una empresa en nicaragua y otra en guatemala esta configurado como P2P ipsec en fase 1 y luego la empresa de guatemala quiere proporcionar vpn a sus personal de casa como home office, como se configuraria eso.
Claro que intentamos hacer el esfuerzo, solo me gustaría entender bien. ¿Lo que quieres es redirigir el tráfico de un túnel SSL a una conexión S2S o P2P en otro firewall?
Saludos, muy buenos los vídeos, ayudan y aclaran full inquietudes, qu epro cierto tengo una, seria posible configurar una vpn ssl y que conecte a dos redes privadas??
Si es posible, seria seguir los pasos del video pero es necesario hacer políticas hacia las 2 redes privadas en lugar de solo 1
Hola buenas. Primero que nada agradecer por vuestro esfuerzo. Muy claros los conceptos. Es posible asignar una IP concreta a un usuario en concreto con este tipo de VPN? Un saludo.
No es posible, es una limitante de Fortinet.
Muy buenos los videos... seguimos esperando conexion vpn con el Active Directory ojalá ya lo saques saludos
Hola Luis, primero felicitarte por el contenido que publicas es de mucha ayuda y muchos éxitos a futuro.
Tengo una pregunta, tengo un grupo de usuarios que hacen trabajo remoto conectados mediante VPN apuntando a mi Fortigate...
Mi pregunta es... ¿Existe la posibilidad de habilitar un usuario a cierta hora y luego deshabilitarlo a otra cierta hora?
Se que se hace manualmente, pero existe la posibilidad de automatizarlo?
Podrias crear una policy con un schedule donde incluyas a ese usuario