Pré-Requisitos:
Fortigate com versão de FortiOS 7.2.9 e FortiAP com versão FP231F-v7.0-build0034. Acima desta versão entre em contato com o nosso suporte!
Certificado, Key E CA bundle do seu domínio.
Acesso ao Fortigate com permissões de admin ou super usuário.
Configuração dos Servidores Radius:
Acesse o Fortigate com seu usuário e senha
No canto superior direito acesse a função CLI Console
No terminal copie e cole o script abaixo:
## CRIAÇÃO DO RADIUS PRIMÁRIO ##
config user radius
edit ThinkDigital-Radius-Pri
set server 52.73.98.38
set secret zoox@zoox**
set radius-port 1812
config accounting-server
edit 1
set status enable
set server 52.73.98.38
set secret zoox@zoox**
set port 1813
next
end
next
end
## CRIAÇÃO DO RADIUS SECUNDÁRIO ##
config user radius
edit ThinkDigital-Radius-Sec
set server 50.16.222.31
set secret zoox@zoox**
set radius-port 1812
config accounting-server
edit 1
set status enable
set server 50.16.222.31
set secret zoox@zoox**
set port 1813
next
end
next
end
## CRIAÇÃO DO USER GROUP ##
config user group
edit ThinkDigital-Group-Radius
set member "ThinkDigital-Radius-Pri" "ThinkDigital-Radius-Sec"
next
end
Liberação dos Ip's e URL's no Walled Garden:
Ainda no Terminal CLI copie e cole o Script abaixo:
## SCRIPT PARA CRIAÇÃO DOS IP'S E URL'S EM FIREWALL ADDRESS ##
config firewall address
edit "Think-Radius-Pri"
set subnet 52.73.98.38 255.255.255.255
next
edit "Think-Radius-Sec"
set subnet 50.16.222.31 255.255.255.255
next
edit "Think-Portal"
set type fqdn
set fqdn "thinkdigital.portal.zooxwifi.com"
set cache-ttl 600
next
edit "Think-CDN"
set type fqdn
set fqdn "cdn.zooxwifi.com"
set cache-ttl 600
next
edit "Think-Amazon"
set type fqdn
set fqdn "amazonaws.com"
set cache-ttl 600
next
edit "Think-Social-Auth"
set type fqdn
set fqdn "auth.zooxsmart.com"
set cache-ttl 600
next
edit "Think-Facebook-Auth"
set type fqdn
set fqdn "*.facebook.com"
set cache-ttl 600
next
edit "Think-Facebook-CDN"
set type fqdn
set fqdn "*.fbcdn.net"
set cache-ttl 600
next
edit "Think-Twitter-Auth"
set type fqdn
set fqdn "*.twiter.com"
set cache-ttl 600
next
edit "Think-Twitter-CDN"
set type fqdn
set fqdn "*.twimg.com"
set cache-ttl 600
next
edit "Think-Linkedin-Auth"
set type fqdn
set fqdn "*.linkedin.com"
set cache-ttl 600
next
edit "Think-Linkedin-CDN"
set type fqdn
set fqdn "*.licdn.com"
set cache-ttl 600
next
end
## SCRIPT PARA CRIAÇÃO DO GRUPO INSERINDO OS IP'S E URL'S ##
config firewall addrgrp
edit "Think Digital Domains"
set member "Think-Radius-Pri" "Think-Radius-Sec" "Think-Portal" "Think-CDN" "Think-Amazon" "Think-Social-Auth" "Think-Facebook-Auth" "Think-Facebook-CDN" "Think-Twitter-Auth" "Think-Twitter-CDN" "Think-Linkedin-Auth" "Think-Linkedin-CDN"
next
end
Configuração das Interfaces:
Abra o menu WiFi & Switch Controller
Abra o Menu SSIDs e selecione Create New > SSID
Defina o Name da Interface como desejar
Em Address > IP/Netmask informe o IP e Máscara que deseja utilizar para o Captive Portal
Em Administrative Access Habilite Radius Accounting o Security Fabric Connection é opcional conforme seu método de implantação/gerenciamento do FortiAP.
Habilite o DHCP Server e configure conforme desejar para sua infraestrutura. Default Gateway mantenha "Same as Interface IP" e o DNS também como "Same as Interface IP".
Abaixo do DHCP Server vamos continuar a configuração conforme a imagem abaixo:
Na Seção WiFi Settings Pode escolher o nome do SSID que deseja propagar para acesso
em Security Mode Alterne para Captive Portal
Authentication Portal escolha External e cole a URL Abaixo:
https://thinkdigital.portal.zooxwifi.com/start
User Group selecione ThinkDigital-Group-Radius
Exempt Sources escolha Think Digital Domains
Exempt destinations/services escolha Think Digital Domains
Redirect after Captive Portal cole a URL abaixo:
https://thinkdigital.portal.zooxwifi.com/status
Salve as configurações da Interface.
Liberação do Tráfego na Interface:
Abra o menu vá em Policy & Objects > Firewall Policy e Clique em Create New
Crie uma Policy chamada ThinkDigital-Internet e adicione a interface escolhida no passo anterior como Incoming Interface
Outgoing Interface defina sua interface que recebe internet
Source, Destination e Service defina como ALL
NAT mantenha ativo
Security Profiles pode ser ativo conforme sua política de segurança, todavia é recomendado configurar primeiro sem, testar a conexão com o portal e na sequência definir suas regras de bloqueio, para garantir o pleno funcionamento do portal sem interferência de políticas de segurança
Salve a configuração.
Configuração do Certificado SSL
Vá em System > Feature Visibility e habilite Certificates e DNS Databases caso não tenha habilitado ainda.
Depois vá em Network > DNS Servers e na seção DNS Service on Interface clique em Create New
NA tela de New DNS Service em Interface escolha a Interface que configurou o Captive Portal e o Mode mantenha em Recursive
Na seção DNS Database
Preencha da seguinte forma:
DNS Zone local
Domain Name thinkdigital.com.br ( preencha conforme o seu domínio no certificado )
Hostname of Primary DNS dns
Contact Email Address host
Authoritative Mantenha desabilitado
E na seção DNS Entries clique em Create New
E preencha da seguinte forma:
Type: Address (A)
Hostname captive
IP Address coloque o gateway da interface com o Captive Portal
Clique em OK e na tela de edição DNS Zone clique em OK novamente
Para efeito de teste abra o console CLI e faça um Ping para o hostname que acabou de criar
Comando:
exec ping captive.thinkdigital.com.br
Se responder ao Ping podemos seguir para os passos abaixo.
Após essa configuração vá na interface que configurou o Captive Portal e confirme o DNS para "Same as Interface IP"
Clique em OK para salvar
Na sequência abra o console CLI e execute os seguintes comandos abaixo:
config firewall auth-portal
show full-configuration
set portal-addr captive.thinkdigital.com.br ( informe o hostname criado de acordo com a sua configuração )
Edite o seu SSID no console CLI e execute os seguintes comandos:
set auth-portal-addr captive.thinkdigital.com.br ( informe o hostname criado de acordo com a sua configuração).
Após essas configurações é necessário realizar o upload dos certificados no Fortigate:
Vá em User & Authentication > Authentication Settings
Ative o HTTP redirect
Certificate abra o dropdown e clique em Create
No modal apresentado após clicar escola a opção Import Certificate
Faça upload do certificado em formato .crt e sua respectiva key ( caso seu certificado tenha senha, preencha conforme senha criada para o certificado ) Se não tiver senha apenas deixe em branco.
Altere o Certiticate Name para identificação posterior
Clique em Create
E na tela Authentication Settings lembre de selecionar o certificado que acabou de criar e aplicar a configuração
Agora é hora de importar o CA, vá em System > Certificates clique em Create/Import e escolha CA Certificate
Em Type escolha File e faça o Upload do CA
Clique em OK
Ao finalizar todos os passos é hora de testar o Portal.
Comentários
0 comentário
Por favor, entre para comentar.