Puertos VPN SSL en FortiGate: Puerto por Defecto, Cómo Cambiarlo y Configuración Completa
Guía técnica sobre los puertos VPN SSL en FortiGate. Puerto por defecto TCP 443 vs 10443, UDP vs TCP, cómo cambiarlos, conflictos habituales y reglas de firewall.
Uno de los problemas más frecuentes al configurar una VPN SSL en FortiGate es elegir el puerto correcto y entender la diferencia entre TCP y UDP. El puerto por defecto de la VPN SSL en FortiGate es TCP 443, aunque en muchas instalaciones se cambia a TCP 10443 para evitar conflictos con la interfaz de administración web. En esta guía explicamos los puertos por defecto, cuándo y cómo cambiarlos, y cómo resolver los conflictos más habituales.
Puertos por Defecto de la VPN SSL en FortiGate
FortiGate utiliza TCP como protocolo de transporte para la VPN SSL. El puerto por defecto es TCP 443, el mismo que utiliza HTTPS. Esto significa que la VPN SSL puede atravesar la mayoría de firewalls corporativos y redes restrictivas sin problemas, ya que el puerto 443 rara vez está bloqueado. Sin embargo, si la interfaz de administración web del FortiGate también usa el puerto 443, se produce un conflicto que obliga a cambiar uno de los dos.
| Servicio | Protocolo | Puerto por Defecto | Configurable | Notas |
|---|---|---|---|---|
| VPN SSL (web mode) | TCP | 443 | Sí | Compartido con HTTPS admin por defecto |
| VPN SSL (tunnel mode) | TCP | 443 | Sí | Mismo puerto que web mode |
| Interfaz admin HTTPS | TCP | 443 | Sí | Conflicto habitual con VPN SSL |
| VPN SSL (puerto alternativo) | TCP | 10443 | Sí | Recomendado si admin usa 443 |
| FortiClient DTLS | UDP | 443 o 10443 | Sí | Acelera túnel, mismo puerto que SSL |
| VPN IPsec | UDP | 500 / 4500 | No | Diferente de VPN SSL |
¿UDP o TCP? Diferencias en VPN SSL FortiGate
La VPN SSL de FortiGate usa TCP para el establecimiento del túnel y la negociación TLS. Sin embargo, FortiClient puede usar DTLS (Datagram TLS sobre UDP) para el tráfico de datos una vez establecido el túnel, lo que mejora el rendimiento en conexiones con latencia. DTLS usa el mismo número de puerto que la VPN SSL (443 o el que hayas configurado), pero sobre UDP en lugar de TCP. Si necesitas máximo rendimiento, asegúrate de abrir tanto TCP como UDP en el puerto elegido.
- TCP 443 — Protocolo principal para establecer el túnel VPN SSL y para web mode. Obligatorio.
- UDP 443 (DTLS) — Opcional, pero recomendado. FortiClient lo usa para mejorar rendimiento del túnel.
- Si solo abres TCP, la VPN funciona pero con mayor latencia en aplicaciones interactivas (RDP, VoIP).
- En CLI: «config vpn ssl settings → set dtls-tunnel enable» para activar DTLS.
- Si tu ISP o firewall intermedio bloquea UDP 443, FortiClient caerá automáticamente a TCP sin intervención del usuario.
- IPsec usa UDP 500/4500 y es un protocolo completamente diferente — no confundir con VPN SSL.
Cómo Cambiar el Puerto VPN SSL en FortiGate
Cambiar el puerto es recomendable cuando la administración web del FortiGate ya ocupa el 443, o cuando quieres usar un puerto no estándar por seguridad. El cambio se hace desde la GUI en VPN → SSL-VPN Settings o desde CLI. Tras el cambio, recuerda actualizar las políticas de firewall, las reglas del router/NAT externo y la configuración de FortiClient en todos los clientes.
- Desde GUI: VPN → SSL-VPN Settings → Listen on Port → cambiar a 10443 (u otro) → Apply.
- Desde CLI: «config vpn ssl settings → set port 10443 → end».
- Actualizar la política de firewall que permite el tráfico VPN SSL al nuevo puerto.
- Actualizar el NAT/port forwarding en el router de borde si el FortiGate está detrás de NAT.
- En FortiClient: cambiar el puerto en el perfil de conexión (ejemplo: vpn.empresa.com:10443).
- Verificar con «diagnose vpn ssl statistics» que las conexiones llegan al nuevo puerto.
- Si usas HA (alta disponibilidad), el cambio se replica automáticamente al nodo secundario.
Conflictos de Puerto Habituales y Cómo Resolverlos
El conflicto más común es entre la VPN SSL y la interfaz de administración HTTPS, ambos en TCP 443. Otro problema frecuente es cuando un servidor web interno también necesita el 443. FortiOS muestra una advertencia cuando detecta el conflicto, pero no siempre impide guardar la configuración, lo que causa errores difíciles de diagnosticar.
- Conflicto admin HTTPS vs VPN SSL: mover admin a un puerto alternativo (8443) con «config system global → set admin-sport 8443».
- Conflicto con servidor web en DMZ: usar un puerto VPN SSL diferente (10443) o separar por interfaz.
- VPN SSL no aparece en la GUI: verificar que la licencia incluye VPN SSL y que «set sslvpn enable» está activo en la interfaz.
- Habilitar VPN Settings en la GUI: System → Feature Visibility → SSL-VPN debe estar marcado.
- Puerto bloqueado por ISP: probar con puerto 443 (rara vez bloqueado) o 8443 como alternativa.
- Verificar que no hay otra sesión ocupando el puerto: «diagnose sys session filter dport 10443» → «diagnose sys session list».
Reglas de Firewall Necesarias para VPN SSL
No basta con configurar el puerto de escucha — necesitas una política de firewall que permita el tráfico desde la interfaz WAN al FortiGate en el puerto VPN SSL, y otra política que permita el tráfico del túnel VPN hacia los recursos internos. Sin estas políticas, la conexión VPN se establecerá pero el usuario no podrá acceder a nada.
- Política de entrada: WAN → ssl.root (interfaz de túnel), origen «all», destino la IP del FortiGate, servicio SSL-VPN.
- Política de tráfico: ssl.root → LAN, origen el grupo de usuarios VPN, destino la subred interna, servicios necesarios.
- Si usas split tunneling: solo el tráfico hacia las subredes definidas pasa por el túnel.
- Si usas full tunneling: todo el tráfico del cliente pasa por el FortiGate, incluido Internet.
- NAT en la política de tráfico: activar si los recursos internos no tienen ruta de vuelta hacia la subred VPN.
- Logging: activar «Log Allowed Traffic → All Sessions» en ambas políticas para diagnóstico.
Conclusión
Configurar correctamente los puertos VPN SSL en FortiGate es fundamental para garantizar la conectividad remota de tus empleados. Recuerda: el puerto por defecto es TCP 443, DTLS usa UDP en el mismo puerto para mejor rendimiento, y el conflicto con la administración web se resuelve moviendo uno de los dos servicios a un puerto alternativo. Si necesitas un FortiGate nuevo con soporte VPN SSL para tu empresa, en FirewallPro España tenemos stock de todos los modelos con configuración incluida. Usa nuestro cotizador online o contacta con nuestro equipo técnico para una recomendación personalizada.
Preguntas Frecuentes
¿Cuál es el puerto por defecto de la VPN SSL en FortiGate?
El puerto por defecto de la VPN SSL en FortiGate es TCP 443 (HTTPS). Es el mismo puerto que usa el tráfico web seguro, lo que permite que la VPN funcione en redes restrictivas. Si la administración web del FortiGate también usa el 443, se recomienda cambiar la VPN SSL a TCP 10443.
¿El puerto VPN SSL de Fortinet es UDP o TCP?
El túnel VPN SSL de FortiGate se establece sobre TCP (puerto 443 por defecto). Sin embargo, FortiClient puede utilizar DTLS sobre UDP en el mismo puerto para mejorar el rendimiento una vez establecida la conexión. Ambos protocolos (TCP y UDP) deben estar abiertos en el firewall perimetral para un rendimiento óptimo.
¿Por qué la VPN SSL no aparece en la GUI de FortiGate?
Si no ves la opción VPN SSL en el menú de FortiGate, ve a System → Feature Visibility y activa «SSL-VPN». En algunos modelos entry-level con firmware antiguo, la opción puede estar desactivada por defecto. También verifica que tu licencia FortiGate incluye la funcionalidad VPN SSL.
¿Cómo habilito VPN Settings en la GUI de FortiGate?
Para habilitar VPN Settings en la GUI de FortiGate, accede a System → Feature Visibility y marca la casilla «SSL-VPN». Guarda los cambios y la opción VPN → SSL-VPN Settings aparecerá en el menú lateral. En FortiOS 7.x esta opción viene activada por defecto en la mayoría de modelos.
¿Cómo configuro el servidor VPN SSL en un FortiGate 40F?
En un FortiGate 40F, ve a VPN → SSL-VPN Settings: configura el puerto de escucha (recomendado 10443 para evitar conflicto con admin), selecciona la interfaz WAN, configura el rango de IPs del túnel y el portal web. Luego crea una política de firewall desde ssl.root hacia la LAN con los usuarios VPN como origen. El 40F soporta hasta 30 túneles VPN SSL simultáneos.
¿Cómo cambio el puerto VPN SSL de 443 a otro en FortiGate?
Desde la GUI: VPN → SSL-VPN Settings → cambia «Listen on Port» al nuevo valor (ej. 10443) → Apply. Desde CLI: «config vpn ssl settings», «set port 10443», «end». Después actualiza la política de firewall, el NAT del router y el perfil de conexión en FortiClient con el nuevo puerto.
¿Necesitas ayuda para elegir el firewall ideal?
Nuestros expertos en FirewallPro España te asesorarán gratuitamente
Consulta GratuitaProductos Relacionados
Artículos Relacionados
VPN SSL vs IPSec: Diferencias y Cuándo Usar Cada Una
Diferencias entre VPN SSL y VPN IPSec en FortiGate. Cuándo usar cada tipo de VPN.
Leer más →TutorialesFortiClient VPN SSL: Guía Completa para Teletrabajo Seguro
Configura VPN SSL con FortiClient para trabajadores remotos. Tutorial paso a paso: instalación, configuración, troubleshooting. Compatible con Windows, Mac, Linux, iOS y Android.
Leer más →TutorialesCómo Configurar FortiGate por Primera Vez: Guía Paso a Paso
Tutorial para configurar FortiGate desde cero. Setup inicial, interfaces y políticas.
Leer más →