⚠️ Bug en FortiGate 7.0+: No es posible cambiar de Static a DDNS en túneles IPsec VPN
Publicado enFortinet

⚠️ Bug en FortiGate 7.0+: No es posible cambiar de Static a DDNS en túneles IPsec VPN

Desde la versión 7.0 de FortiOS en adelante, se ha detectado un bug crítico que afecta directamente la configuración de túneles IPsec VPN en dispositivos FortiGate. Este error impide cambiar el tipo de interfaz de IP estática (Static IP) a DDNS (Dynamic DNS) y viceversa, tanto desde la GUI como desde la CLI.

Este comportamiento es especialmente problemático en entornos donde se requiere flexibilidad en la conexión de sitios remotos mediante IPs dinámicas —una práctica común en escenarios de bajo presupuesto o en oficinas satélite sin IP fija.

🔍 Cómo identificar el problema

Al intentar modificar un túnel IPsec ya existente, por ejemplo, de tipo «static» a «ddns», la CLI arroja el siguiente mensaje de error:

Cannot change tunnel type once configured.
object set operator error, -9999, roll back the setting
Command fail. Return code -9999
CLI IPSEC Fortigate

Este mensaje aparece inmediatamente después de ejecutar comandos como:

config vpn ipsec phase1-interface
edit "Nombre de la VPN IPSEC"
set type static
set remote-gw 192.123.23.33
end

💡 Solución temporal (workaround)

Actualmente, no es posible cambiar directamente el tipo de túnel IPsec de «static» a «ddns» (o viceversa) desde la CLI ni desde la interfaz gráfica en FortiOS 7.x+. Sin embargo, existe un método alternativo que permite forzar el cambio, aunque requiere extrema precaución.

Backup Configuración Fortigate

🔧 Método:

  1. Realiza un backup completo de la configuración del equipo FortiGate (preferiblemente en modo plaintext para que puedas editarlo).
  2. Abre el archivo de configuración con un editor de texto plano.
  3. Busca la sección correspondiente al túnel IPsec (fase 1) y modifica manualmente la línea set type static por set type ddns o viceversa.
  4. Guarda el archivo modificado.
  5. Sube el archivo al FortiGate y restaura la configuración manualmente desde System > Configuration > Restore o usando la CLI:
execute restore config flash <archivo.conf>

⚠️ Advertencias importantes:

  • Este proceso implica reiniciar parcialmente los servicios de red, por lo que habrá un corte en la conectividad de Internet de la empresa durante la restauración.
  • Debe realizarse fuera del horario laboral o en una ventana de mantenimiento previamente coordinada.
  • Verifica la integridad de la configuración antes de cargarla, ya que cualquier error de sintaxis podría dejar al equipo inoperativo.
Etiquetas: