Índice de contenidos
1Requisitos Previos
Antes de comenzar, asegúrate de tener:
- Acceso administrativo al FortiGate (GUI o CLI)
- IP pública o DDNS configurado en la interfaz WAN
- Puerto 443 (o el que elijas) abierto hacia el FortiGate
- Rango de IPs para asignar a clientes VPN (ej: 10.212.134.0/24)
- FortiClient descargado (gratuito desde forticlient.com)
Tip: Si tu FortiGate está detrás de un router/firewall, configura port forwarding del puerto 443 (o el elegido) hacia la IP LAN del FortiGate.
2Configurar Portal VPN SSL
Paso 2.1: Acceder a la configuración SSL-VPN
En la GUI de FortiGate, navega a:
Paso 2.2: Configurar parámetros básicos
- Listen on Interface(s): Selecciona tu interfaz WAN (wan1)
- Listen on Port: 443 (o 10443 si 443 está en uso)
- Server Certificate: Selecciona tu certificado (o usa el auto-firmado)
- Require Client Certificate: No (a menos que uses PKI)
Paso 2.3: Configurar pool de direcciones
En la sección "Tunnel Mode Client Settings":
- Address Range: Crea un nuevo rango (ej: SSLVPN_TUNNEL_ADDR1)
- IP Range: 10.212.134.200 - 10.212.134.250
- DNS Server: Especifica tu DNS interno (ej: 10.0.0.1)
Configuración CLI equivalente:
config vpn ssl settings
set servercert "Fortinet_Factory"
set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
set source-interface "wan1"
set source-address "all"
set default-portal "full-access"
end3Crear Usuarios y Grupos
Paso 3.1: Crear usuarios locales
Ve a User & Authentication → User Definition y crea usuarios:
- Click en "Create New"
- Tipo: Local User
- Username: nombre del usuario
- Password: contraseña segura
Paso 3.2: Crear grupo de VPN
Ve a User & Authentication → User Groups:
- Click en "Create New"
- Name: SSL-VPN-Users
- Type: Firewall
- Members: Añade los usuarios creados
Seguridad: Para entornos de producción, considera usar autenticación de dos factores (FortiToken) o integración con LDAP/Active Directory.
4Crear Política de Firewall
Ve a Policy & Objects → Firewall Policy y crea una nueva política:
| Name | SSL-VPN-to-LAN |
| Incoming Interface | ssl.root (interfaz VPN SSL) |
| Outgoing Interface | internal / lan |
| Source | SSLVPN_TUNNEL_ADDR1, SSL-VPN-Users |
| Destination | all (o redes específicas) |
| Service | all (o servicios específicos) |
| Action | ACCEPT |
Importante: Activa "NAT" si los usuarios VPN necesitan acceder a Internet a través del túnel.
5Configurar FortiClient
Paso 5.1: Descargar FortiClient
Descarga FortiClient VPN gratuito desde forticlient.com. Está disponible para:
- Windows
- macOS
- iOS
- Android
- Linux
Paso 5.2: Configurar conexión
- Abre FortiClient y ve a "Remote Access"
- Click en "Configure VPN"
- Selecciona "SSL-VPN"
- Configura:
- Connection Name: Mi Empresa VPN
- Remote Gateway: tu-ip-publica.com:443
- Customize port: 443 (o el configurado)
- Guarda la configuración
6Verificar Conexión
Probar la conexión
- En FortiClient, selecciona tu conexión VPN
- Introduce usuario y contraseña
- Click en "Connect"
- Verifica que recibes una IP del pool configurado
- Haz ping a recursos internos para confirmar conectividad
Verificar en FortiGate
En la GUI, ve a Monitor → SSL-VPN Monitor para ver las conexiones activas.
Comando CLI para verificar:
get vpn ssl monitor diagnose vpn ssl list
Preguntas Frecuentes
¿Qué puerto usa VPN SSL en FortiGate por defecto?
¿Necesito licencia para VPN SSL en FortiGate?
¿Cuántos usuarios VPN SSL soporta mi FortiGate?
¿VPN SSL o IPsec, cuál debo usar?
¿Necesitas ayuda con la configuración?
Nuestros ingenieros certificados Fortinet pueden configurar tu VPN SSL de forma remota o presencial.
Solicitar Servicio de Configuración