Manatech
809-770-3700
Menu

Guía técnica

VPN con FortiGate y FortiSASE

IPsec site-to-site, SSL VPN, IPsec dial-up con FortiClient y ZTNA con FortiSASE. Cuándo conviene cada modelo, qué licencia requiere y cómo se opera en producción.

Las tres formas de hacer VPN con FortiGate

FortiGate soporta tres modalidades de VPN en su firmware base, sin licencia adicional. Cada una resuelve un problema distinto:

  1. Modalidad 1

    IPsec site-to-site

    Conecta dos sedes a través de un túnel IPsec persistente. Para el usuario final es transparente: parece que está en la red de la sede principal aunque esté físicamente en una sucursal. Es la VPN clásica de conectividad multi-sede.

  2. Modalidad 2

    SSL VPN — acceso remoto vía navegador

    El usuario abre un navegador, va al portal SSL VPN del FortiGate y se autentica. Útil cuando el dispositivo del usuario no es corporativo, no permite instalar clientes adicionales o el usuario solo necesita acceso esporádico a aplicaciones web internas.

  3. Modalidad 3

    IPsec dial-up VPN con FortiClient

    El usuario instala FortiClient en su laptop o móvil y se conecta a la red corporativa con un túnel IPsec dedicado. Es el modelo típico para teletrabajadores con equipo corporativo: conexión estable, acceso completo a recursos internos y postura validada por la consola central.

FortiSASE y ZTNA: la alternativa moderna

La VPN tradicional fue diseñada para un mundo donde había dos zonas: "dentro de la red" y "fuera". Ese modelo se rompió con el trabajo remoto masivo, los SaaS y la consumerización del dispositivo. La respuesta de la industria — y de Fortinet con FortiSASE — es Zero Trust Network Access.

En ZTNA cada solicitud se evalúa caso a caso: quién es el usuario, qué postura tiene el dispositivo (sistema operativo actualizado, antivirus activo, disco cifrado), qué aplicación específica quiere alcanzar y bajo qué condiciones. En lugar de "te meto a la red completa", el sistema dice "te doy acceso a la aplicación X por el tiempo Y bajo las condiciones Z".

FortiSASE entrega ZTNA como servicio cloud, junto con Secure Web Gateway, CASB y SD-WAN, todo bajo licencia por usuario. Es la opción que recomendamos cuando hay muchos usuarios remotos, muchas sucursales pequeñas o cuando el cliente quiere salir del modelo "una caja por sitio".

¿Cuál modelo elegir? Matriz rápida

Escenario Modelo recomendado
Conectar dos o más sedes con tráfico permanente IPsec site-to-site
Acceso ocasional a apps internas desde dispositivos no gestionados SSL VPN
Teletrabajadores con laptop corporativa, acceso completo IPsec dial-up + FortiClient
Muchos usuarios remotos sin VPN tradicional, foco en SaaS FortiSASE / ZTNA
Muchas sucursales pequeñas, sin FortiGate en cada sitio FortiSASE
Acceso a sistemas legacy que exigen IP corporativa visible VPN tradicional (IPsec o SSL)

Operación con Manatech

Diseñamos VPN considerando capacidad real (usuarios concurrentes, ancho de banda, latencia tolerable), políticas de acceso (qué grupos pueden ver qué recursos), redundancia (qué pasa si cae el túnel principal) y monitoreo (qué métricas vigilamos en operación).

Como MSSP, podemos operar la VPN como servicio: monitoreo continuo, ajustes de política, soporte a usuarios remotos, respuesta a incidentes y reporte ejecutivo del estado del servicio.

Lecturas relacionadas

Preguntas frecuentes sobre VPN con Fortinet

Las dudas más comunes que recibimos al evaluar un proyecto VPN con Fortinet.

¿Qué tipos de VPN soporta FortiGate?

FortiGate soporta tres modelos principales: IPsec site-to-site para conectar sedes, SSL VPN para acceso remoto vía navegador, e IPsec dial-up VPN con cliente FortiClient para acceso remoto persistente. Las tres modalidades están incluidas en el firmware base, sin licencia adicional.

¿Cuál es la diferencia entre IPsec y SSL VPN en Fortinet?

IPsec opera en la capa de red (capa 3), soporta acceso a toda la subred remota como si el usuario estuviera localmente, y es típicamente más estable para conexiones permanentes. SSL VPN opera en la capa de aplicación (capa 7), funciona sobre HTTPS estándar, atraviesa firewalls intermedios más fácilmente y es mejor para acceso ocasional desde dispositivos no gestionados.

¿FortiClient VPN es gratis?

FortiClient tiene una versión gratuita con VPN básica (IPsec y SSL VPN). Las funciones avanzadas (gestión central, vulnerability scanning, sandbox, integración con FortiEDR) requieren la edición licenciada FortiClient EMS, que se administra desde FortiClient Enterprise Management Server o FortiCloud.

¿Cuántos usuarios concurrentes soporta una VPN FortiGate?

Depende del modelo de FortiGate. Los modelos de entrada (FortiGate 60F, 80F) soportan algunas decenas a unos cientos de sesiones VPN concurrentes. Los modelos medianos (200F, 400F) llegan a miles. Los modelos de alta capacidad (1000F+) escalan a decenas de miles. El sizing correcto se hace según número real de usuarios y volumen de tráfico esperado.

¿FortiSASE reemplaza la VPN tradicional?

Para muchos casos de uso, sí. FortiSASE implementa ZTNA (Zero Trust Network Access), que da acceso por aplicación específica y postura del dispositivo en lugar de un túnel completo a la red corporativa. Es más seguro porque reduce el blast radius si una credencial se compromete, y más simple de operar a escala. La VPN tradicional sigue teniendo sentido en escenarios específicos como acceso a sistemas legacy o requisitos regulatorios particulares.

¿Qué es ZTNA y por qué importa?

ZTNA (Zero Trust Network Access) es un modelo donde cada solicitud de acceso se verifica continuamente: quién es el usuario, qué postura tiene el dispositivo, qué aplicación específica quiere alcanzar. A diferencia de la VPN tradicional que te mete a 'la red' completa, ZTNA solo te da acceso a la aplicación X durante el tiempo Y bajo las condiciones Z. Es la dirección hacia la que se mueve la industria.

¿La VPN consume licencia adicional en FortiGate?

No. Las funciones VPN (IPsec, SSL VPN) están incluidas en el firmware base de FortiGate sin licencia adicional. Lo que sí requiere licencia es FortiSASE (servicio cloud por usuario) y la edición avanzada de FortiClient EMS.

¿Manatech puede operar la VPN como servicio gestionado?

Sí. Como MSSP cubrimos diseño inicial, configuración, monitoreo continuo, ajuste de políticas, soporte a usuarios remotos y respuesta a incidentes. Es parte de la operación gestionada Fortinet que ofrecemos a clientes en República Dominicana.

¿Necesitas diseñar o migrar tu VPN?

Conversamos sobre tu escenario actual, validamos si IPsec, SSL VPN o ZTNA encaja mejor, y proponemos un plan realista.

WhatsApp Llamar