VPN SSL + AD

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Cerrado
llucsito
Mensajes: 2
Registrado: 21 Feb 2019, 09:49

VPN SSL + AD

Mensaje por llucsito »

Buenos días a todos,

Voy e explicar el problema que tengo con la validación de usuario en una VPNSSL vinculada con un AD.

La versión del Firewall y modelo es el siguiente --> Fortigate 1000D versión v5.4.6,build1165 (GA)

He configurado la VPN y con usuarios locales funciona correctamente, la vincualción con el AD ha funcionado correctamente ya que al crear los Usuarios y Grupos en el AD los puedo añadir sin problemas en el Firewall, y este es capaz de ver el arbol del AD.

Al hacer pruebas cuando intento acceder con un usuario del AD me sale permission denied y no me deja acceder. Tras ver este problema en el forti lanzo el siguiente comando para revisar que los usuarios se validan con el AD:

"diag test authserver ldap NOMBRE_LDAP USUARIO PASSWORD"

Tras ejecutar este comando me dice que la autenciación es fallida, por lo que entiendo que el problema esta con la validación de los usuarios que no funciona correctamente.

he revisado el debug cuando se intenta la validación del usuario:

"2019-02-20 09:03:17 [13232:"":343c]sslvpn_authenticate_user:168 authenticate user: [user4]
2019-02-20 09:03:17 [13232:"":343c]sslvpn_authenticate_user:175 create fam state
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:528 with server blacklist:
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:625 clear local user flag and do authentication again.
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:528 with server blacklist:
2019-02-20 09:03:17 [13232:"":343c]fam_auth_send_req:634 task finished with 5
2019-02-20 09:03:17 [13232:"":343c]login_failed:255 user[user4],auth_type=0 failed [sslvpn_login_unknown_user]
2019-02-20 09:03:17 [13232:"":0]dump_one_blocklist:82 status=1;host="";fails=1;logintime=1550649797
2019-02-20 09:03:17 [13232:"":343c]req: /remote/login?&err=sslvpn_login_permission_denied&lang=en
2019-02-20 09:03:17 [13232:"":343c]rmt_web_auth_info_parser_common:418 no session id in auth info
2019-02-20 09:03:17 [13232:"":343c]rmt_web_get_access_cache:729 invalid cache, ret=4103
2019-02-20 09:03:17 [13232:"":343c]req: /css/main-blue.css
2019-02-20 09:03:17 [13232:"":343c]mza: 0x212bc70 /css/main-blue.css
2019-02-20 09:03:17 [13233:"":3439]allocSSLConn:276 sconn 0x7f515427b000 (12:"")
2019-02-20 09:03:17 [13234:"":3437]allocSSLConn:276 sconn 0x7f5153eb4800 (12:"")
2019-02-20 09:03:17 [13233:"":3439]SSL state:before/accept initialization ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client hello A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write server hello A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write certificate A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write key exchange A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 write server done A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 flush data ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client certificate A ("")
2019-02-20 09:03:17 [13233:"":3439]SSL state:SSLv3 read client key exchange A:system lib("")
2019-02-20 09:03:17 [13234:"":3437][13233:"":3439]SSL state:before/accept initialization ("")
SSL state:SSLv3 read client key exchange A:system lib("")"

He estado revisando y haciendo diferentes pruebas pero no consigo hacer que valide correctamente.

En la configuración del LDAP_SERVER lo tengo que no sea seguro.

Muchas gracias de antemano.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN SSL + AD

Mensaje por makco10 »

Hola,

Como vinculaste el AD, mediante FSSO o LDAP?

Si es por FSSO lo hiciste en modo agente standard o avanzado.

Es importante te asegures tienes todos los puertos permitidos en el firewall de tu server: [Debes identificarte para poder ver enlaces.]

En caso no tengas un cliente firewall o nativo omite ese link.


Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
llucsito
Mensajes: 2
Registrado: 21 Feb 2019, 09:49

Re: VPN SSL + AD

Mensaje por llucsito »

Hola,

Al final ya se solventó el problema, por lo que vi fue un problema con la resolución de nombres, es decir, yo puse el servidor ldap por nombre y parecía que todo lo resolvia correctamente, y cuando lo hacia por CLI resolvía correctamente los nombres, pero cuando se tenia que acceder a la VPN me daba permissos Denegados y era motivo porque no estaba conectando correctamente con el AD.
Tras revisar los logs y debugar las conexiones encontre que decía un error con el nombre y modifique el nombre por la IP e immeditamente ya funciono todo correctamente.

Muchas gracais por tu respuesta.

Saludos
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN SSL + AD

Mensaje por gabyrossi »

dejemos claro que vpn se manejan por ldap-... aca no tiene nada que ver el fsso.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Cerrado