Solucionar Errores VPN SSL en FortiGate y FortiClient: Códigos de Error y Soluciones

Tabla de Códigos de Error VPN SSL en FortiClient

FortiClient devuelve códigos de error numéricos negativos cuando la conexión VPN SSL falla. Estos códigos ayudan a identificar rápidamente la causa del problema. A continuación los más frecuentes con su significado y acción correctiva.

Error -7200: Credenciales o Configuración SSL VPN Incorrecta

El error -7200 es el más frecuente y el más confuso porque no siempre es un problema de contraseña. FortiClient muestra este error cuando no puede completar la autenticación, lo que puede deberse a credenciales erróneas, pero también a una mala configuración del portal SSL, un certificado inválido o incluso un realm incorrecto. Antes de pedir al usuario que cambie su contraseña, revisa todos los posibles orígenes.

• Verificar usuario y contraseña en User & Authentication → User Definition del FortiGate.
• Comprobar que el usuario pertenece al grupo asignado en VPN → SSL-VPN Settings → Authentication/Portal Mapping.
• Revisar que el portal SSL-VPN (full-access o web-access) está correctamente configurado con IP pool y split tunneling.
• Si usas LDAP/RADIUS: ejecutar «diagnose test authserver ldap <nombre-servidor> <usuario> <contraseña>» desde CLI para probar la autenticación.
• Verificar que el certificado SSL del FortiGate no ha expirado: System → Certificates.
• En FortiClient, borrar la conexión VPN y recrearla desde cero — configuraciones corruptas causan este error.
• Comprobar que no hay un bloqueo por intentos fallidos: «config user local → get» muestra el estado de la cuenta.

VPN SSL Se Desconecta Constantemente

Las desconexiones intermitentes de VPN SSL son especialmente problemáticas porque interrumpen sesiones RDP, transferencias de archivos y llamadas VoIP. Las causas más habituales son timeouts agresivos, problemas de MTU, keepalive desactivado o conflictos con el modo ahorro de energía del equipo cliente. FortiOS permite ajustar varios parámetros para mejorar la estabilidad.

• Aumentar el idle timeout: «config vpn ssl settings → set idle-timeout 3600» (por defecto son 300 segundos, demasiado corto para muchos usuarios).
• Activar DTLS para mejor rendimiento: «set dtls-tunnel enable» en vpn ssl settings.
• Reducir MTU en FortiClient a 1200 si hay fragmentación: Settings → VPN → Advanced → MTU Size.
• Desactivar el modo ahorro de energía de la tarjeta de red del equipo cliente (Windows: Administrador de dispositivos → Adaptador de red → Propiedades → Administración de energía).
• Verificar que el ISP no hace NAT timeout agresivo — si lo hace, reducir el «login-timeout» y activar keepalive TCP.
• Revisar los logs en Log & Report → VPN Events — buscar mensajes «tunnel-down» con la razón específica.
• Si el problema es masivo (afecta a muchos usuarios a la vez), verificar que el FortiGate no está al límite de CPU/RAM con «get system performance status».

SSL VPN No Aparece en FortiGate o Falta el Portal

Algunos administradores no encuentran la opción de configurar VPN SSL en la GUI de FortiGate, o no ven el menú para crear portales SSL. Esto ocurre cuando Feature Visibility tiene desactivada la opción SSL-VPN, cuando el firmware es muy antiguo, o en modelos entry-level con licencia limitada. También puede ocurrir tras una actualización de firmware que resetea las opciones de visibilidad.

• Activar SSL-VPN en System → Feature Visibility → marcar la casilla «SSL-VPN» y guardar.
• En FortiOS 7.2+, la opción VPN SSL se encuentra en VPN → SSL-VPN Settings (no en el menú VPN antiguo).
• Modelos con restricciones: el FortiGate 40F soporta SSL VPN pero con límite de 30 túneles simultáneos. Verificar el datasheet del modelo.
• Tras upgrade de firmware: hacer un «execute factoryreset» del Feature Visibility con «config system settings → set gui-sslvpn enable → end».
• Si falta el portal: VPN → SSL-VPN Portals → Create New. Necesitas al menos un portal (full-access o web-access) antes de configurar SSL-VPN Settings.
• Verificar la licencia con «get system status» — algunos modelos VM requieren licencia adicional para VPN SSL.

Error -455 y Problemas de Conexión de Red

El error -455 indica que FortiClient no puede establecer la conexión TCP con el FortiGate en el puerto VPN SSL. Es un error de nivel de red, no de autenticación. Las causas más comunes son un puerto bloqueado por el firewall perimetral o ISP, una IP incorrecta en el perfil de FortiClient, o el servicio VPN SSL detenido en el FortiGate.

• Probar conectividad básica: «telnet vpn.empresa.com 10443» desde el equipo cliente. Si no conecta, el puerto está bloqueado.
• Verificar que VPN SSL está escuchando: «diagnose vpn ssl statistics» en el CLI del FortiGate.
• Comprobar que la interfaz WAN tiene habilitado el acceso SSLVPN: Network → Interfaces → WAN → Administrative Access → SSLVPN.
• Si el FortiGate está detrás de un router con NAT, verificar el port forwarding del puerto VPN SSL (TCP y UDP).
• Probar desde otra red (móvil con datos) para descartar un bloqueo del ISP.
• Revisar las reglas de firewall del FortiGate: debe existir una política que permita tráfico al puerto VPN SSL.

Diagnóstico Avanzado desde CLI

Cuando los pasos básicos no resuelven el problema, FortiOS ofrece comandos CLI de diagnóstico que muestran exactamente qué está fallando en la negociación VPN SSL. Estos comandos son esenciales para casos escalados a soporte técnico o para problemas intermitentes difíciles de reproducir.

• «diagnose vpn ssl statistics» — Muestra conexiones activas, intentos fallidos y estado general del servicio SSL VPN.
• «diagnose vpn ssl list» — Lista todos los túneles SSL VPN activos con usuario, IP asignada y duración.
• «diagnose debug application sslvpn -1» + «diagnose debug enable» — Activa el debug completo de VPN SSL (desactivar tras capturar datos con «diagnose debug disable»).
• «diagnose sniffer packet wan1 "port 10443" 4» — Captura de paquetes en la interfaz WAN para verificar que el tráfico llega al FortiGate.
• «get vpn ssl monitor» — Resumen rápido de usuarios conectados y recursos consumidos.
• «diagnose test authserver ldap <srv> <user> <pass>» — Prueba de autenticación contra servidor LDAP desde el FortiGate.
• «execute vpn sslvpn del-tunnel <index>» — Fuerza la desconexión de un túnel específico (útil cuando una sesión zombie bloquea al usuario).