Tarda en rechazarme la conexión de SSL en forticlient

[Super_Majete]

Buenos días,

Tengo un fortigate con la SSL configurada atacando a un RAdius que a su vez tiene una autenticación de DUO, el tema es que tenemos dos FW, uno que me tarda un minuto y medio en decirme que las credenciales están mal y el otro me lo dice al instante,

Tengo la misma configuración en los dos FW, y la misma versión de fortigate (7.4., y mismo modelo (120G), lo único es que apuntan a distintos servidores de radius, que comandos puedo hacer para ponerle que me rechace los login falsos o malos automáticamente, o desde el propio Radius?

¿A alguien le ha pasado una situación similar?

Muchas gracias de antemano,
Un saludo.

[cmendoza]

Hola,

Este comportamiento suele estar relacionado con el timeout de RADIUS. Si un servidor RADIUS tarda en responder (o no responde y espera a agotar el timeout antes de pasar al siguiente), el FortiGate esperará ese tiempo antes de devolver el error.

Algunas cosas a revisar:

- Comprueba en User & Authentication > RADIUS Servers el valor de Timeout configurado en cada servidor. Si en uno está a 90 segundos y en el otro a un valor bajo, ahí está la causa.
- Verifica que los dos servidores RADIUS (de DUO) estén respondiendo con la misma latencia. Puedes hacer un diagnóstico desde la CLI para ver cuánto tarda en responder cada uno:

Código: Seleccionar todo

diagnose test authserver radius <nombre_radius_server> pap usuario_prueba contraseña_mala

- Si DUO está configurado en modo offline o tiene alguna diferencia de configuración entre los dos servidores RADIUS (timeouts de challenge, etc.), eso también puede causar este comportamiento.

El comando de diagnóstico te dirá exactamente cuánto tarda en rechazar y qué responde el RADIUS, lo que te ayudará a confirmar si el problema está en el FortiGate o en el servidor RADIUS de DUO.

¡Espero que te ayude!

Un saludo