¿Sin acceso Web ni SSH? Cómo administrar tu FortiGate por Consola Física

• Admin

¿Sin acceso Web ni SSH? Cómo administrar tu FortiGate por Consola Física

Si en su intento de gestionar el firewall se encuentra con el crítico aviso de "The connection has timed out" en el navegador, sepa que no es un caso aislado. Este problema de conexión en la interfaz gráfica (GUI) es una incidencia común, presentándose frecuentemente después de realizar actualizaciones de firmware o tras aplicar ajustes en la configuración de ruteo y red.

¿Por qué el FortiGate no carga la página de inicio de sesión?

Un error de Timeout al intentar acceder a la IP de gestión indica que el servidor web interno del equipo (el proceso httpsd) no está respondiendo. Las tres causas principales son:
1- Acceso administrativo desactivado: Los protocolos HTTP y HTTPS no están habilitados explícitamente en la interfaz de red (LAN o WAN), por lo que el equipo bloquea la conexión por seguridad.
2- Interrupción del servicio web: En versiones como FortiOS 7.4 o 7.6, un alto consumo de memoria RAM puede saturar el equipo y obligarlo a entrar en Modo Conserve, deteniendo el servicio web.
3- Conflictos de puerto: El uso del puerto estándar 443 para la administración puede chocar con políticas de Virtual IP (VIP) o estar bloqueado por reglas previas del firewall.
Para diagnosticar y dar solución a esta pérdida de comunicación sin comprometer la configuración existente, el método más seguro es recurrir al acceso Out-of-Band mediante el puerto de consola física. A continuación, detallamos el procedimiento paso a paso.

¿Que necesitas para comenzar?

- Cable de consola
- Software de emulador de terminal (Putty, Tera Term, etc.)
- Acceso de forma física al FortiGate

¿Cómo acceder mediante la terminal y solucionar el problema?

Este es el problema exacto: la GUI no responde. Al intentar acceder a la 192.168.0.1, recibimos el temido “This site can’t be reached”, indicando que es hora del acceso físico.

Paso 1: Prepara tu conexión física y lógica

Conecta el cable desde tu PC al puerto de consola del FortiGate. En tu computadora (si usas Windows) abre el Administrador de dispositivos y revisa en la sección "Puertos (COM y LPT)" qué puerto se le asignó a tu cable USB-Serial, por ejemplo, el COM4.
Abre tu emulador, selecciona el tipo de conexión "Serial" e ingresa tu línea serial (COM4) y asegúrate de que la velocidad (Speed) esté configurada a 9600. Haz clic en Open

Paso 2: Iniciar sesión en el equipo

Al abrir la conexión en PuTTY, accederemos a la terminal para proceder a loguearnos con las credenciales del dispositivo. Verás una pantalla negra pidiendo usuario y contraseña del dispositivo FortiGate. Una vez que iniciamos sesión el primer paso es revisar el estado de nuestras conexiones. Al ingresar el comando config system interface y ejecutar un show la terminal nos desplegara la configuración de todos los puertos, como se muestra en la imagen nos enfocamos en el bloque de la “lan3”. Al revisar su información notamos la falta de activación de los protocolos http, https y ssh, sabemos que estos son fundamentales para ingresar a la interfaz grafica y el último para el acceso remoto por terminal.

Paso 3: Habilitar el acceso Web y SSH

Ahora ingresaremos en la interfaz (escribiendo edit lan3) para ejecutar show y confirmar que faltan los protocolos. Como buscamos gestionar nuestro FortiGate desde la interfaz gráfica habilitaremos los protocolos ya antes mencionados. Por lo que con una simple linea de comandos podremos dar de alta estos accesos. Al querer habilitar mas de uno lo podemos realizar simultáneamente. El comando que debemos introducir es set alloweaccess http, https, ssh
Y aquí lo tenemos, no olvidemos guardar y aplicar correctamente nuestras configuraciones con end

Paso 4: Verificar la conexión

Finalmente regresa a tu entorno de red normal, es importante mencionar que la configuracion de la tarjeta de red de tu pc debera tener una IP dentro de la misma subred que la lan3 ( por ejemplo para nuestro caso asignamos la IP 192.168.0.5 ya que el FortiGate es el 192.168.0.1).

Prueba 1: Abre tu navegador, teclea la direccion IP y ¡listo!. La pantalla de inicio de sesion volvera a cargar demostrando que has recuperaso el control total de tu equipo.
Prueba 2: Para asegurarnos que la puerta trasera logica tambien funciona abriremos nuevamente PuTTY pero esta vez en lugar de conectaros por cable fisico(serial) seleccionaremos el tipo de conexión SSH. Introduce la direccion IP de tu FortiGate como se muestra en la imagen y verifica que el puerto sea el estandar para SSH(22).
Si la configuración que aplicamos en los pasos anteriores fue exitosa la conexión ya no será rechazada, veras de nuevo la terminal pidiéndote tu usuario y contraseña.
Y ¡listo! Hemos recuperado por completó el acceso a la interfaz grafica (web) y a la terminal SSH. Ya puedes desconectar el cable de consola y volver a administrar tu FortiGate cómodamente a través de la red.

Conclusión: El Puerto de Consola, tu Última Línea de Defensa.

Cuando la GUI y el SSH fallan al mismo tiempo, el acceso Out-of-Band mediante el puerto de consola física es la única vía garantizada para recuperar el control de tu FortiGate sin reiniciar el equipo ni perder la configuración existente.

Tener un cable de consola disponible y saber configurar PuTTY en modo Serial no es opcional: es parte del kit básico de cualquier administrador de red. Habilitar los protocolos correctos en la interfaz adecuada resuelve el problema en minutos y devuelve la estabilidad a tu infraestructura.

¿Sigues sin poder acceder a tu FortiGate?

Si después de seguir esta guía el equipo sigue sin responder por web ni SSH, es posible que exista un problema más profundo como una Local-In Policy bloqueando tu IP, un conflicto de subred o un fallo en el hardware del puerto de consola.

¿Te ha servido esta guía? Déjanos tus comentarios o comparte este artículo con otros administradores de red que necesiten recuperar el acceso físico a su FortiGate.