Acceso remoto por VPN

Manual del usuario

(noviembre 2018)
Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación
pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo
consentimiento expreso y por escrito del CSIC
 Acceso remoto por VPN Departamento de Seguridad

HOJA DE CONTROL
Organismo CSIC – Consejo Superior de Investigaciones Científicas
Proyecto Acceso remoto por VPN
Entregable Guía de configuración
Autor Dpto. de Seguridad
Aprobado por Fecha Aprobación

REGISTRO DE CAMBIOS
Versión Causa del Cambio Responsable del Cambio Fecha del Cambio
1.0 Versión original Dpto. de Seguridad 03/10/2017
2.0 Modificación Dpto. de Seguridad 10/10/17
2.1 Modificación Dpto. de Seguridad 16/01/18
2.2 Modificación Dpto. de Seguridad 20/02/18
2.3 Modificación: Open Suse Dpto. de Seguridad 21/06/18
Actualización de enlace de
2.4 Dpto. de Seguridad 29/08/18
descarga de FortiClient

CONTROL DE DISTRIBUCIÓN

Página 3 de 13
 Acceso remoto por VPN Departamento de Seguridad

Contenido
Contenido ...................................................................................................................................... 4
1 OBJETO DEL DOCUMENTO .................................................................................................... 5
2 PROCEDIMIENTO DE ACCESO ................................................................................................ 5
2.1 Windows........................................................................................................................ 5
2.2 Linux ............................................................................................................................ 10
2.2.1 Open Suse................................................................................................................ 12
2.3 Mac .............................................................................................................................. 13
2.4 Dispositivos moviles. ................................................................................................... 13

Página 4 de 13
 Acceso remoto por VPN Departamento de Seguridad

1 OBJETO DEL DOCUMENTO

El presente documento tiene como objetivo explicar la configuración necesaria de los clientes
para poder acceder de forma remota y mediante tunel VPN-SSL a Los recursos TIC del CSIC
ubicados en la Secretaría General Adjunta de Informática (SGAI) por parte de todos los
usuarios autorizados del CSIC.
Una vez establecido el correspondiente tunel, el acceso a los recursos se realizará como si se
trabajara con un equipo conectado en el lugar habitual de trabajo, es decir, se podrá acceder a
los recursos para los que se tenga autorización de manera habitual, sin más que ejecutar las
aplicaciones y/o accesos web correspondientes, según proceda para cada caso.

2 PROCEDIMIENTO DE ACCESO

Para poder realizar el acceso remoto, se deben configurar previamente los clientes VPN en los
equipos desde los que se vaya a conectar. Estos clientes serán distintos en funcion del sistema
operativo utilizado, Linux, Windows o Mac, y se encuentran disponibles en el siguiente enlace:
 https://saco.csic.es/index.php/s/6mWr7TzaQeCN4ZF
En el caso de dispositivos moviles se pueden obtener en:
 Android - Google Play
 Apple - iTunes

NOTA: Estos enlaces pueden ir cambiado segun se vayan renovando los clientes VPN-
SSL. La información se irá actualizando en este documento segun vaya siendo
necesario.

2.1 Windows
En las figuras siguientes se detallan cada uno de los pasos a seguir. En primer lugar, debe
descomprimirse el instalador y confirmar que se han leído y aceptan los términos de la
licencia, marcando el check correspondiente (Figura 1).

Página 5 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 1. Aceptación del acuerdo de licencia

A continuación, se debe indicar que se quiere instalar la funcionalidad VPN indicada como
Secure Remote Access (Figura 2). La funcionalidad Security Fabric Agent viene marcada por
defecto y no se puede modificar, tan sólo añadir la indicada anteriormente.

Figura 2. Elección de los componentes VPN que se van a instalar

A continuacion, se indica la ruta en la que va a instalarse el cliente en el equipo (Figura 3).

Página 6 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 3. Ruta de instalación.

El siguiente paso iniciará la instalación del cliente, seleccionando “Install”, en la ventana que
muestra la Figura 4.

Figura 4. Instalación del cliente en Windows

Una vez instalado el cliente, se puede abrir, mediante el acceso directo creado en el escritorio
(Figura 5).

Página 7 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 5. Icono de acceso directo

Antes de la primera conexión, es necesario configurar el perfil de VPN que se vaya a utilizar
(Figura 6), lo que se realizará en la ventana de la Figura 7.

Para ello se deberá elgir la opción VPN-SSL, dar un nombre a esa conexión, así como una des-
cripción que permita reconocer fácilmente el acceso, e introducir el enlace URL, según donde
esté ubicado el equipo desde el cual se va a realizar la conexión VPN:

 Desde dentro del Campus de Serrano:

o https://vpnssl-interna.csic.es
 Desde cualquier otro lugar:
o https://vpnssl-externa.csic.es

Figura 6. Iniciar la configuración del perfil VPN

Lo más habitual será el segundo caso y esa ha sido la URL utilizada en el ejemplo. Para finalizar
la configuración se pulsa en “Aplicar”.

Página 8 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 7. Datos de la configuración del perfil VPN

Una vez configurado el perfil, se podrá realizar el acceso mediante el cliente VPN haciendo uso
de las credenciales de la Intranet, NIF (con letra en mayúscula) y contraseña (Figura 8).

Figura 8. Acceso a la VPN

Al conectar se puede ver la dirección IP asignada a la conexión por VPN (Figura 9).

Cuando se quiera dar por finalizada la conexión, se deberá pulsar siempre el botón “Desconec-
tar” de la Figura 9 y evitar así que la sesión quede abierta.

Página 9 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 9. VPN establecida

2.2 Linux
Para la instalación del cliente en Linux se deben seguir las indicaciones del siguiente enlace,
perteneciente a la base de conocimiento de Fortinet:
http://kb.fortinet.com/kb/documentLink.do?externalID=FD39996
Los clientes Linux proporcionados por el fabricante requieren distribuciones Ubuntu o CentOS.
Al descargar el cliente para Linux del enlace indicado en este documento, se obtendrá un
fichero con un nombre del tipo fortinclientsslvpn_linux_<version>.tar.gz que es necesario
descomprimir, bien utilizando un explorador de ficheros en un entorno gráfico o bien en un
terminal ejecutando el comando:
tar –xvf forticlientsslvpn_linux<version>.tar.gz
El comando dará como resultado un directorio llamado forticlientvpnssl, que incluye diversos
ficheros. Para abrir el cliente VPN debe ejecutarse el script fortisslvpn.sh que aparece en el
directorio indicado mediante el comando:
./fortisslvpn.sh &.
También es posible ir al subdirectorio adecuado según su distribución de Linux, “32Bits” o
“64Bits”, y ejecutar el comando ./forticlientsslvpn &. En ambos subdirectorios, existe también
una versión CLI de los clientes respectivos.
A continuación se describe la configuración para el modo gráfico. Al lanzar el script indicado en
los párrafos anteriores, se verá la ventana mostrada en la Figura 10.

Página 10 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 10. Ventana inicial del cliente VPN para Linux

Seleccionando la opción “Settings”, se muestra la ventana de la Figura 11 que permite
configurar los datos de conexión del cliente VPN. El paso siguiente sería añdir un nuevo
“Connection Profiles”, lo que se hace pulsando en “+”.

Figura 11. Configuración del cliente VPN para Linux

En la ventana de la Figura 12 se escribirán los datos de la conexión: nombre identificativo,
servidor, puerto 443 y credenciales (NIF del usuario, con la letra mayúscula, y contraseña) tras
lo que se pulsará en “Create”.

Página 11 de 13
 Acceso remoto por VPN Departamento de Seguridad

Figura 12. Configuración de la conexión VPN

Una vez hecho esto, en la Figura 11 aparecerá el nombre de la nueva conexión y se finalizará
pulsando en “Done”.
Tras configurar la conexión, ya puede ejecutarse el cliente. En la Figura 10 ya aparecerán los
datos introducidos (Figura 13) y sólo habrá que pulsar en “Connect”.
Si se prefiere, al configurar la conexión en el paso anterior, pueden dejarse las credenciales en
blanco o poner sólo el nombre de usuario. Se podrán teclear al iniciar la conexión.

Figura 13. Cliente VPN configurado para conectar

2.2.1 Open Suse

Para instalar el cliente en Linux Open Suse, se necesita descargar la versión CLI, que se puede
encontrar en las carpetas de 32 o 64 bits.
El comando sería:
/home/…/Descargas/forticlientsslvpn/64bit # ./forticlientsslvpn_cli

Página 12 de 13
 Acceso remoto por VPN Departamento de Seguridad

usage:./forticlientsslvpn_cli [--proxy proxyaddress:proxyport] --server vpnserv-

eraddress:vpnport [--proxyuser proxyuser] [--vpnuser vpnuser] [--pkcs12 pkcs12path] [--
keepalive]
Por ejemplo:
/home/usuario/Descargas/forticlientsslvpn/64bit # ./forticlientsslvpn_cli --server vpnssl-
interna.csic.es:443 --vpnuser usuarioIntranet –keepaliv
Al introducir el comando, solicitará la password para el usuario de Intranet.Si la conexión se
completa con éxito, aparecerá un mensaje indicando

STATUS::Connected

Si la password es incorrecta, aparecerá el mensaje de error

SSLVPN down unexpectedly with error:2

2.3 Mac
Para la instalación del cliente en Mac, simplemente se debe montar el archivo .dmg y arrastrar
la aplicación al directorio de aplicaciones.
Una vez instalado, la configuracion del perfil vpn en el cliente Forticlient para Mac es identica a
la del cliente de Windows.

2.4 Dispositivos moviles.

Se deben instalar los clientes VPN-SSL directamente en los dispositivos que se quieran utilizar
para poder acceder a los recursos. En cada caso, no hay mas que ir al mercado de aplicaciones
correspondiente, Google Play, en el caso de Android, o Apple Store para Phone/iPad e
instalarlo en el dispositivo.
Una vez instalado el procedimiento de configuración es similar a los descritos en los apartados
anteriores, debiendo configurar la URL correspondiente y el puerto.

Página 13 de 13