Artigos nessa seção

Manual de Configuração - Fortigate + FortiAP ( SSL )

Igor Costa
  • Atualizado
Seguir

Pré-Requisitos:

Fortigate com versão de FortiOS 7.2.9 e FortiAP com versão FP231F-v7.0-build0034. Acima desta versão entre em contato com o nosso suporte!
Certificado, Key E CA bundle do seu domínio.

Acesso ao Fortigate com permissões de admin ou super usuário.

Configuração dos Servidores Radius:

Acesse o Fortigate com seu usuário e senha

No canto superior direito acesse a função CLI Console


 

No terminal copie e cole o script abaixo:
 

## CRIAÇÃO DO RADIUS PRIMÁRIO ##

config user radius
edit ThinkDigital-Radius-Pri
set server 52.73.98.38
set secret zoox@zoox**
set radius-port 1812
config accounting-server
edit 1
set status enable
set server 52.73.98.38
set secret zoox@zoox**
set port 1813
next
end
next
end
## CRIAÇÃO DO RADIUS SECUNDÁRIO ##

config user radius
edit ThinkDigital-Radius-Sec
set server 50.16.222.31
set secret zoox@zoox**
set radius-port 1812
config accounting-server
edit 1
set status enable
set server 50.16.222.31
set secret zoox@zoox**
set port 1813
next
end
next
end
## CRIAÇÃO DO USER GROUP ##
config user group
edit ThinkDigital-Group-Radius
set member "ThinkDigital-Radius-Pri" "ThinkDigital-Radius-Sec"
next
end

 

Liberação dos Ip's e URL's no Walled Garden:

Ainda no Terminal CLI copie e cole o Script abaixo:

## SCRIPT PARA CRIAÇÃO DOS IP'S E URL'S EM FIREWALL ADDRESS ##

config firewall address
edit "Think-Radius-Pri"
set subnet 52.73.98.38 255.255.255.255
next
edit "Think-Radius-Sec"
set subnet 50.16.222.31 255.255.255.255
next
edit "Think-Portal"
set type fqdn
set fqdn "thinkdigital.portal.zooxwifi.com"
set cache-ttl 600
next
edit "Think-CDN"
set type fqdn
set fqdn "cdn.zooxwifi.com"
set cache-ttl 600
next
edit "Think-Content"
set type fqdn
set fqdn "content.zooxwifi.com"
set cache-ttl 600
next
edit "Think-Amazon"
set type fqdn
set fqdn "amazonaws.com"
set cache-ttl 600
next
edit "Think-Social-Auth"
set type fqdn
set fqdn "auth.zooxsmart.com"
set cache-ttl 600
next
edit "Think-Facebook-Auth"
set type fqdn
set fqdn "*.facebook.com"
set cache-ttl 600
next
edit "Think-Facebook-CDN"
set type fqdn
set fqdn "*.fbcdn.net"
set cache-ttl 600
next
edit "Think-Twitter-Auth"
set type fqdn
set fqdn "*.twiter.com"
set cache-ttl 600
next
edit "Think-Twitter-CDN"
set type fqdn
set fqdn "*.twimg.com"
set cache-ttl 600
next
edit "Think-Linkedin-Auth"
set type fqdn
set fqdn "*.linkedin.com"
set cache-ttl 600
next
edit "Think-Linkedin-CDN"
set type fqdn
set fqdn "*.licdn.com"
set cache-ttl 600
next
end

## SCRIPT PARA CRIAÇÃO DO GRUPO INSERINDO OS IP'S E URL'S ##

config firewall addrgrp
edit "Think Digital Domains"
set member "Think-Radius-Pri" "Think-Radius-Sec" "Think-Portal" "Think-CDN" "Think-Amazon" "Think-Social-Auth" "Think-Facebook-Auth" "Think-Facebook-CDN" "Think-Twitter-Auth" "Think-Twitter-CDN" "Think-Linkedin-Auth" "Think-Linkedin-CDN"
next
end

Configuração das Interfaces:

Abra o menu WiFi & Switch Controller

Abra o Menu SSIDs e selecione Create New > SSID



Defina o Name da Interface como desejar

Em Address > IP/Netmask informe o IP e Máscara que deseja utilizar para o Captive Portal

Em Administrative Access Habilite Radius Accounting o Security Fabric Connection é opcional conforme seu método de implantação/gerenciamento do FortiAP.

Habilite o DHCP Server e configure conforme desejar para sua infraestrutura. Default Gateway mantenha "Same as Interface IP" e o DNS também como "Same as Interface IP".



Abaixo do DHCP Server vamos continuar a configuração conforme a imagem abaixo:

Na Seção WiFi Settings Pode escolher o nome do SSID que deseja propagar para acesso

em Security Mode Alterne para Captive Portal

Authentication Portal escolha External e cole a URL Abaixo:
https://thinkdigital.portal.zooxwifi.com/start

User Group selecione ThinkDigital-Group-Radius
Exempt Sources escolha Think Digital Domains
Exempt destinations/services escolha Think Digital Domains
Redirect after Captive Portal cole a URL abaixo:

https://thinkdigital.portal.zooxwifi.com/status

Salve as configurações da Interface.

 

Liberação do Tráfego na Interface:

Abra o menu vá em Policy & Objects > Firewall Policy e Clique em Create New

Crie uma Policy chamada ThinkDigital-Internet e adicione a interface escolhida no passo anterior como Incoming Interface

Outgoing Interface defina sua interface que recebe internet

Source, Destination e Service defina como ALL

NAT mantenha ativo

Security Profiles pode ser ativo conforme sua política de segurança, todavia é recomendado configurar primeiro sem, testar a conexão com o portal e na sequência definir suas regras de bloqueio, para garantir o pleno funcionamento do portal sem interferência de políticas de segurança

Salve a configuração.


Configuração do Certificado SSL

Vá em System > Feature Visibility e habilite Certificates e DNS Databases caso não tenha habilitado ainda.



Depois vá em Network > DNS Servers e na seção DNS Service on Interface clique em Create New


NA tela de New DNS Service em Interface escolha a Interface que configurou o Captive Portal e o Mode mantenha em Recursive



Na seção DNS Database



Preencha da seguinte forma:
DNS Zone local
Domain Name thinkdigital.com.br ( preencha conforme o seu domínio no certificado )
Hostname of Primary DNS dns
Contact Email Address host

Authoritative Mantenha desabilitado


E na seção DNS Entries clique em Create New



E preencha da seguinte forma:

Type: Address (A)
Hostname captive
IP Address coloque o gateway da interface com o Captive Portal



Clique em OK e na tela de edição DNS Zone clique em OK novamente

Para efeito de teste abra o console CLI e faça um Ping para o hostname que acabou de criar

Comando:

exec ping captive.thinkdigital.com.br



Se responder ao Ping podemos seguir para os passos abaixo.

Após essa configuração vá na interface que configurou o Captive Portal e confirme o DNS para "Same as Interface IP"

Clique em OK para salvar

Na sequência abra o console CLI e execute os seguintes comandos abaixo:

config firewall auth-portal
show full-configuration
set portal-addr captive.thinkdigital.com.br ( informe o hostname criado de acordo com a sua configuração )



Edite o seu SSID no console CLI e execute os seguintes comandos:



set auth-portal-addr captive.thinkdigital.com.br ( informe o hostname criado de acordo com a sua configuração).

Após essas configurações é necessário realizar o upload dos certificados no Fortigate:

Vá em User & Authentication > Authentication Settings

Ative o HTTP redirect



Certificate abra o dropdown e clique em Create



No modal apresentado após clicar escola a opção Import Certificate



Faça upload do certificado em formato .crt e sua respectiva key ( caso seu certificado tenha senha, preencha conforme senha criada para o certificado ) Se não tiver senha apenas deixe em branco.

Altere o Certiticate Name para identificação posterior



Clique em Create

E na tela Authentication Settings lembre de selecionar o certificado que acabou de criar e aplicar a configuração



Agora é hora de importar o CA, vá em System > Certificates clique em Create/Import e escolha CA Certificate



Em Type escolha File e faça o Upload do CA



Clique em OK

Ao finalizar todos os passos é hora de testar o Portal.

Artigos relacionados

Comentários

0 comentário

Por favor, entre para comentar.