Las tres formas de hacer VPN con FortiGate
FortiGate soporta tres modalidades de VPN en su firmware base, sin licencia adicional. Cada una resuelve un problema distinto:
-
Modalidad 1
IPsec site-to-site
Conecta dos sedes a través de un túnel IPsec persistente. Para el usuario final es transparente: parece que está en la red de la sede principal aunque esté físicamente en una sucursal. Es la VPN clásica de conectividad multi-sede.
-
Modalidad 2
SSL VPN — acceso remoto vía navegador
El usuario abre un navegador, va al portal SSL VPN del FortiGate y se autentica. Útil cuando el dispositivo del usuario no es corporativo, no permite instalar clientes adicionales o el usuario solo necesita acceso esporádico a aplicaciones web internas.
-
Modalidad 3
IPsec dial-up VPN con FortiClient
El usuario instala FortiClient en su laptop o móvil y se conecta a la red corporativa con un túnel IPsec dedicado. Es el modelo típico para teletrabajadores con equipo corporativo: conexión estable, acceso completo a recursos internos y postura validada por la consola central.
FortiSASE y ZTNA: la alternativa moderna
La VPN tradicional fue diseñada para un mundo donde había dos zonas: "dentro de la red" y "fuera". Ese modelo se rompió con el trabajo remoto masivo, los SaaS y la consumerización del dispositivo. La respuesta de la industria — y de Fortinet con FortiSASE — es Zero Trust Network Access.
En ZTNA cada solicitud se evalúa caso a caso: quién es el usuario, qué postura tiene el dispositivo (sistema operativo actualizado, antivirus activo, disco cifrado), qué aplicación específica quiere alcanzar y bajo qué condiciones. En lugar de "te meto a la red completa", el sistema dice "te doy acceso a la aplicación X por el tiempo Y bajo las condiciones Z".
FortiSASE entrega ZTNA como servicio cloud, junto con Secure Web Gateway, CASB y SD-WAN, todo bajo licencia por usuario. Es la opción que recomendamos cuando hay muchos usuarios remotos, muchas sucursales pequeñas o cuando el cliente quiere salir del modelo "una caja por sitio".
¿Cuál modelo elegir? Matriz rápida
| Escenario | Modelo recomendado |
|---|---|
| Conectar dos o más sedes con tráfico permanente | IPsec site-to-site |
| Acceso ocasional a apps internas desde dispositivos no gestionados | SSL VPN |
| Teletrabajadores con laptop corporativa, acceso completo | IPsec dial-up + FortiClient |
| Muchos usuarios remotos sin VPN tradicional, foco en SaaS | FortiSASE / ZTNA |
| Muchas sucursales pequeñas, sin FortiGate en cada sitio | FortiSASE |
| Acceso a sistemas legacy que exigen IP corporativa visible | VPN tradicional (IPsec o SSL) |
Operación con Manatech
Diseñamos VPN considerando capacidad real (usuarios concurrentes, ancho de banda, latencia tolerable), políticas de acceso (qué grupos pueden ver qué recursos), redundancia (qué pasa si cae el túnel principal) y monitoreo (qué métricas vigilamos en operación).
Como MSSP, podemos operar la VPN como servicio: monitoreo continuo, ajustes de política, soporte a usuarios remotos, respuesta a incidentes y reporte ejecutivo del estado del servicio.
Lecturas relacionadas
- → Página principal Fortinet — credenciales, portafolio y logros.
- → ¿Qué es Fortinet? — guía conceptual del Security Fabric.
- → Soporte Fortinet — FortiCare, MSSP, renovación de licencias.