FIREWALLPRO
EspañaPartner Oficial Fortinet
Tutoriales10 min lectura

Cómo Crear Usuarios VPN en FortiGate: GUI, CLI y Active Directory

Guía paso a paso para crear usuarios VPN en FortiGate. Usuarios locales, CLI, integración LDAP/AD, cambiar contraseñas, grupos de usuarios y políticas por usuario.

Por Equipo FirewallPro España

Crear y gestionar usuarios VPN en FortiGate es una tarea habitual para cualquier administrador de red. Ya sea que necesites añadir un usuario local rápidamente, integrar FortiGate con Active Directory para autenticación centralizada, o cambiar la contraseña de un usuario VPN desde CLI, este tutorial cubre todos los escenarios. Veremos la creación de usuarios desde la GUI y CLI, la integración con LDAP/AD, la gestión de grupos y cómo aplicar políticas de acceso por usuario.

Crear un Usuario VPN Local desde la GUI de FortiGate

Los usuarios locales se almacenan directamente en el FortiGate y son la opción más sencilla para empresas pequeñas o para usuarios temporales que no están en Active Directory. Cada usuario local tiene un nombre de usuario, contraseña y opcionalmente una dirección de email para recuperación. Después de crear el usuario, debes añadirlo a un grupo VPN para que pueda conectarse.

  • Ir a User & Authentication → User Definition → Create New.
  • Seleccionar «Local User» como tipo de usuario.
  • Introducir nombre de usuario (sin espacios ni caracteres especiales) y contraseña segura (mínimo 8 caracteres, mayúsculas, números y símbolos).
  • Opcionalmente configurar Two-Factor Authentication con FortiToken o email.
  • Activar la casilla «Status: Enabled» para que el usuario pueda autenticarse.
  • Guardar y luego ir a User & Authentication → User Groups → seleccionar el grupo VPN → añadir el usuario como miembro.

Crear un Usuario VPN desde CLI

La CLI de FortiGate es más rápida para crear usuarios en lote o cuando administras el equipo remotamente por SSH. Los comandos son sencillos y permiten configurar todos los parámetros en pocos segundos. Esta opción es especialmente útil cuando necesitas crear varios usuarios de una vez o automatizar la gestión con scripts.

  • Crear usuario local: «config user local → edit usuario-vpn → set type password → set passwd MiContraseña123! → set status enable → next → end».
  • Añadir al grupo VPN: «config user group → edit grupo-vpn-ssl → append member usuario-vpn → end».
  • Verificar el usuario creado: «config user local → get» muestra la lista completa de usuarios locales.
  • Crear múltiples usuarios: repetir el bloque «edit/set/next» dentro del mismo «config user local» antes del «end» final.
  • Eliminar un usuario: «config user local → delete usuario-vpn → end». El usuario se elimina también del grupo automáticamente.
  • Exportar la configuración de usuarios: «show user local» muestra la configuración completa que puedes guardar como backup.

Cambiar Contraseña de un Usuario VPN

Cambiar la contraseña de un usuario VPN es una de las operaciones más solicitadas en el día a día. Desde la GUI es intuitivo, pero desde CLI es mucho más rápido, especialmente si gestionas decenas de usuarios. Si el usuario se autentica contra Active Directory, la contraseña se cambia en AD, no en el FortiGate.

  • Desde GUI: User & Authentication → User Definition → doble clic en el usuario → cambiar el campo Password → guardar.
  • Desde CLI: «config user local → edit usuario-vpn → set passwd NuevaContraseña456! → end».
  • Para usuarios LDAP/AD: la contraseña se gestiona en Active Directory (Usuarios y Equipos de AD), no en FortiGate. El FortiGate consulta AD en tiempo real.
  • Forzar cambio de contraseña en el próximo login: no soportado nativamente en FortiGate para usuarios locales. Usar AD si necesitas esta funcionalidad.
  • Si el usuario olvidó su contraseña: el administrador puede cambiarla desde CLI sin conocer la anterior.
  • Recomendación de seguridad: implementar política de contraseñas con longitud mínima de 12 caracteres y rotación cada 90 días usando «config user password-policy».

Integración con Active Directory / LDAP

Para empresas con más de 10 usuarios VPN, la integración con Active Directory es la opción recomendada. Los usuarios se autentican con sus credenciales de dominio Windows, lo que elimina la necesidad de gestionar contraseñas duplicadas en el FortiGate. La integración se configura en dos pasos: primero el servidor LDAP y luego el grupo de usuarios remotos.

  • Configurar servidor LDAP: User & Authentication → LDAP Servers → Create New → IP del controlador de dominio, puerto 389 (o 636 para LDAPS), Distinguished Name base (ej: DC=empresa,DC=local).
  • Cuenta de servicio: configurar un usuario de bind con permisos de lectura en AD (ej: cn=fortigate-ldap,ou=service,dc=empresa,dc=local).
  • Crear grupo de usuarios remotos: User & Authentication → User Groups → Create New → tipo Remote → añadir el servidor LDAP configurado.
  • Filtro de grupo AD: en el grupo de FortiGate, configurar «Remote Groups → Add» y seleccionar el grupo de AD (ej: VPN-Users) para que solo los miembros de ese grupo puedan conectarse.
  • Probar la autenticación desde CLI: «diagnose test authserver ldap <nombre-servidor> <usuario> <contraseña>» debe devolver «successful».
  • Si cambias la contraseña en AD: el cambio es inmediato. La próxima conexión VPN usará la nueva contraseña sin necesidad de tocar el FortiGate.
  • LDAPS (puerto 636): recomendado para cifrar las consultas LDAP. Requiere importar el certificado de la CA del dominio en el FortiGate.

Grupos de Usuarios y Políticas por Grupo

Los grupos de usuarios en FortiGate permiten aplicar diferentes niveles de acceso VPN según el departamento o rol del empleado. Por ejemplo, el equipo de IT puede tener acceso completo a la red, mientras que el departamento comercial solo accede al CRM y al correo. Los grupos se asignan en la política de firewall que controla el tráfico del túnel VPN.

  • Crear grupos diferenciados: «grupo-vpn-admin» (acceso total), «grupo-vpn-comercial» (solo CRM y email), «grupo-vpn-externo» (solo web interna).
  • Asignar portal SSL por grupo: VPN → SSL-VPN Settings → Authentication/Portal Mapping → asignar un portal diferente a cada grupo.
  • Crear políticas de firewall por grupo: ssl.root → LAN, origen «grupo-vpn-comercial», destino solo el servidor CRM y el servidor de correo.
  • Split tunneling por grupo: en el portal SSL de cada grupo, definir qué subredes pasan por el túnel.
  • Limitar horario de conexión: en la política de firewall, configurar Schedule para restringir el acceso VPN a horario laboral.
  • Auditoría: activar logging en cada política para saber qué usuario accedió a qué recurso y cuándo.

Buenas Prácticas de Seguridad para Usuarios VPN

Una VPN SSL mal gestionada es una puerta de entrada para atacantes. Implementar buenas prácticas de seguridad desde el principio evita brechas costosas. Fortinet recomienda aplicar el principio de mínimo privilegio, activar autenticación de dos factores y monitorizar los accesos regularmente.

  • Autenticación de dos factores (2FA): activar FortiToken (hardware o mobile) o token por email para todos los usuarios VPN.
  • Principio de mínimo privilegio: cada grupo VPN debe tener acceso solo a los recursos que necesita, nunca acceso completo a la red.
  • Deshabilitar usuarios inactivos: revisar mensualmente los usuarios que no han conectado y deshabilitarlos.
  • Política de contraseñas: mínimo 12 caracteres, complejidad activada, rotación cada 90 días.
  • Limitar intentos de login: «config vpn ssl settings → set login-attempt-limit 3 → set login-block-time 120» para bloquear tras 3 intentos fallidos.
  • Actualizar FortiClient: mantener todos los clientes en la última versión estable para parchar vulnerabilidades conocidas.
  • Monitorización activa: configurar alertas por email cuando un usuario VPN se conecta fuera de horario o desde una IP/país inusual.

Conclusión

Gestionar usuarios VPN en FortiGate es una tarea fundamental que todo administrador de red debe dominar. Ya sea con usuarios locales para empresas pequeñas o con integración Active Directory para organizaciones más grandes, FortiGate ofrece flexibilidad total en la gestión de accesos remotos. Recuerda siempre aplicar el principio de mínimo privilegio, activar 2FA y monitorizar los accesos. Si necesitas un FortiGate con capacidad para más usuarios VPN o quieres implementar una solución de acceso remoto segura para tu empresa, en FirewallPro España somos Partner Oficial Fortinet y podemos ayudarte. Usa nuestro cotizador online o contacta con nuestro equipo de ingenieros.

Preguntas Frecuentes

¿Cómo añado un usuario VPN en un firewall FortiGate?

Para añadir un usuario VPN en FortiGate, ve a User & Authentication → User Definition → Create New → selecciona Local User, introduce nombre y contraseña, y activa el estado. Luego ve a User Groups, selecciona tu grupo VPN (ej: grupo-vpn-ssl) y añade el usuario como miembro. Finalmente, verifica que la política de firewall del túnel SSL incluye ese grupo.

¿Cómo agrego un usuario VPN en Fortinet desde CLI?

Desde CLI ejecuta: «config user local», «edit nombre-usuario», «set type password», «set passwd TuContraseña123!», «set status enable», «next», «end». Luego añádelo al grupo: «config user group», «edit grupo-vpn-ssl», «append member nombre-usuario», «end». El usuario ya puede conectarse con FortiClient.

¿Cómo cambio la contraseña de un usuario VPN en FortiGate por CLI?

Ejecuta: «config user local», «edit nombre-usuario», «set passwd NuevaContraseña!», «end». El cambio es inmediato y la próxima vez que el usuario se conecte deberá usar la nueva contraseña. No es necesario desconectar la sesión activa, aunque puedes hacerlo con «execute vpn sslvpn del-tunnel».

¿Cómo cambio la contraseña de Active Directory para VPN SSL en FortiGate?

Si tus usuarios VPN se autentican contra Active Directory, la contraseña se cambia en AD (Usuarios y Equipos de Active Directory), no en el FortiGate. El FortiGate consulta AD en tiempo real con cada intento de login. El cambio de contraseña en AD es inmediato para la VPN: la próxima conexión usará la nueva contraseña automáticamente.

¿Cómo creo un grupo de usuarios VPN en FortiGate?

Ve a User & Authentication → User Groups → Create New. Elige un nombre descriptivo (ej: grupo-vpn-comercial), selecciona tipo Firewall, y añade los usuarios miembros. Luego asigna este grupo en VPN → SSL-VPN Settings → Authentication/Portal Mapping y en la política de firewall que controla el tráfico del túnel VPN.

¿Puedo limitar qué recursos accede cada usuario VPN en FortiGate?

Sí, FortiGate permite políticas de firewall por grupo de usuarios. Crea grupos diferentes (ej: vpn-admin, vpn-comercial) y asigna políticas con destinos específicos. El grupo comercial puede acceder solo al CRM, mientras que IT accede a toda la red. También puedes configurar split tunneling diferente por grupo en los portales SSL.

¿Necesitas ayuda para elegir el firewall ideal?

Nuestros expertos en FirewallPro España te asesorarán gratuitamente

Consulta Gratuita

Productos Relacionados

FortiGate 60F

VPN SSL hasta 200 túneles simultáneos

Ver producto →

FortiGate 80F

Rendimiento avanzado para empresas medianas

Ver producto →

FortiGate 100F

Hasta 500 túneles VPN SSL simultáneos

Ver producto →

Artículos Relacionados

Tutoriales

Puertos VPN SSL en FortiGate: Puerto por Defecto, Cómo Cambiarlo y Configuración Completa

Guía técnica sobre los puertos VPN SSL en FortiGate. Puerto por defecto TCP 443 vs 10443, UDP vs TCP, cómo cambiarlos, conflictos habituales y reglas de firewall.

Leer más →Tutoriales

FortiClient VPN SSL: Guía Completa para Teletrabajo Seguro

Configura VPN SSL con FortiClient para trabajadores remotos. Tutorial paso a paso: instalación, configuración, troubleshooting. Compatible con Windows, Mac, Linux, iOS y Android.

Leer más →Tutoriales

Solucionar Errores VPN SSL en FortiGate y FortiClient: Códigos de Error y Soluciones

Guía completa para resolver los errores más comunes de VPN SSL en FortiGate y FortiClient. Códigos -7200, -455, desconexiones, credenciales incorrectas y más.

Leer más →

Comparte este artículo

TwitterLinkedInFacebook
¿Necesitas ayuda?
Escríbenos por WhatsApp