Guía de campo FortiGate
Una práctica que vive con FortiGates en producción gasta la mayor parte del tiempo en cuatro frentes: volver a entrar al equipo cuando nadie recuerda la contraseña, construir configuración que sobreviva a un reboot, planificar la salida de SSL VPN que Fortinet ya confirmó, y diagnosticar túneles desde la CLI cuando la GUI muestra un ícono verde y nada útil. Esta página es la ruta ordenada por esos cuatro frentes — los posts referenciados están escritos desde despliegues reales en FortiOS 7.4 y 7.6, con comandos específicos y los modos de falla que efectivamente aparecen.
Nota de cobertura: la mayoría del contenido FortiGate está actualmente en inglés. Los enlaces marcados (EN) abren el post en inglés; el post de diagnóstico de túneles IPsec está en español y marcado (ES). La versión bilingüe completa se irá ampliando — si hay un tema FortiGate específico que necesitas en español, escríbenos.
En esta página
Recuperación y acceso
Lo primero que falla en un FortiGate que lleva dos años en producción es que nadie recuerda la contraseña de admin. SSH deja de servir, la GUI te bota, y necesitas acceso físico al equipo. La ruta de recuperación en FortiOS 7.6 — cable de consola al puerto USB-C, login con la cuenta maintainer dentro de una ventana de 60 segundos, reset de contraseña desde CLI — es corta pero implacable. Si fallas el timing, la cuenta maintainer se bloquea hasta el próximo reboot.
→ FortiGate Admin Password Reset on FortiOS 7.6 (60F Console Method) (EN) — paso a paso con el formato bcpb<SERIAL_NUMBER> (sensible a mayúsculas) y los cinco modos de falla más comunes.
Configuración
Dos tareas de configuración aparecen en cada engagement con FortiGate: segmentar el equipo en VDOMs para que tráfico de invitados, IoT y corporativo no compartan tabla de routing, y construir túneles IPsec site-to-site contra firewalls de otros vendors. Ambos están bien documentados en los PDFs de Fortinet, pero las partes que realmente deciden si el cambio sale bien — la asignación de interfaces antes de activar multi-VDOM, el alineamiento de los selectors entre Phase 2 del FortiGate y el ACL del crypto-map del ASA — son las que la documentación oficial pasa por alto.
→ How to Configure FortiGate VDOM (FortiOS 7.4): Complete Guide with Inter-VDOM Routing (EN) — recorrido completo: activar multi-VDOM, crear un VDOM Guest para invitados/IoT, el inter-VDOM link, y el routing y políticas en ambos lados. Incluye el error “Object is in use” que aparece si intentas reasignar una interfaz sin limpiar primero las referencias.
→ FortiGate IPsec Site-to-Site VPN to Cisco ASA on FortiOS 7.4 (EN) — túnel IKEv2 con AES-256/SHA-256 y DH group 14, ambos lados de la configuración, y los modos de falla no SA proposal chosen y TS_UNACCEPTABLE que atrapan a la mayoría de los builds en Phase 2.
Planificación de migración
Fortinet está retirando SSL VPN. No lo está deprecando — está retirando activamente los binarios en combinaciones específicas de modelo y firmware, con la línea 7.4.x y FortiOS 7.6.3 como los cortes de referencia. Detrás del retiro hay una serie documentada de CVEs de severidad alta (FG-IR-22-398, FG-IR-23-097, FG-IR-24-015, entre otros) que convirtieron al portal SSL VPN en la superficie más explotada del producto. El reemplazo es IPsec dialup con IKEv2 para usuarios de tunnel mode, o ZTNA para portales en web mode — y las implicaciones de licenciamiento y endpoint para cada ruta son distintas.
La migración en sí es un trabajo de configuración. La parte difícil es la auditoría previa: qué modelo en qué firmware, quién está realmente conectado (versus provisionado), qué cadena de autenticación se rompe en silencio cuando cambia el protocolo, y cómo se ve el filtrado UDP upstream desde las redes donde tus usuarios efectivamente se conectan.
→ FortiGate SSL VPN Migration Checklist: What to Audit Before You Touch Anything (FortiOS 7.6) (EN) — cinco categorías de auditoría previa (licencia/firmware/modelo, endpoints, cadena de auth, red, planificación del cambio), los umbrales de decisión de rollback que conviene escribir en el ticket antes de abrir la ventana, y las fallas silenciosas que aparecen la mañana siguiente al cutover.
Diagnóstico
Cuando un túnel no levanta o se cae intermitentemente, la GUI del FortiGate da un ícono rojo y nada accionable. El flujo desde CLI siempre es el mismo: Phase 1 primero (diagnose vpn ike gateway list), luego Phase 2 (diagnose vpn tunnel list), y debug IKE solo cuando necesitas ver la negociación paquete por paquete — y siempre apagar el debug al terminar.
→ Cómo verificar un túnel IPsec en FortiGate por CLI (FortiOS 7.4.4) (ES) — flujo de diagnóstico para túneles FortiGate ↔ Cisco ASA, ordenado de más rápido a más invasivo: diagnose vpn ike gateway list → diagnose vpn tunnel list → debug IKE → sniffer ESP/IKE → revisión de tabla de routing → iprope lookup para verificar el match de policy. Conecta directamente con la configuración cubierta en el post de IPsec site-to-site de arriba.
Más allá de esta guía
Los cuatro posts referenciados son la ruta curada. El archivo automático con todo el contenido etiquetado FortiGate — incluyendo nuevos posts a medida que se publican — está en /es/articulos/tag/fortigate/.