Versions Compared

Old Version 77

changes.mady.by.user Adrián Macarro (Unlicensed)

Saved on

compared with

New Version 78

changes.mady.by.user Adrián Macarro (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

GUÍA DE CONFIGURACIÓN

...

Code Block
languagecpp
themeFadeToGrey
config user setting
show
   "config user setting
   end"
config firewall auth-portal
show
   "config firewall auth-portal
   end"


1.2 Opción HTTPS

Para que todo el proceso de validación se realice de forma segura, es necesario cargar un certificado en el controlador para encriptar la trasferencia de datos, así como para que no salten errores de certificado al usuario en los navegadores.

Para ello seguir el siguiente proceso:

Subir certificado

  • Lo primero será crear el certificado con formato ".pfx". Podemos crearlo con openssl.
  • Para subirlo, acceder a la interfaz gráfica System > Certificates > Import > Local Certificate:
    • Type: PKCS #12 Certificate
    • Certificate with key file: certificate.pfx
    • Password: dejar este apartado dejarlo en blanco
    • Certificate Name: <certificate_name>

...

  • Networks > DNS Servers > DNS Database > Create New
    • Type: Master
    • View: Shadow
    • DNS Zone: <certificate_name>
    • Domain Name: <certificate_name>
    • Authoritative: disable
  • Dentro de Database creado DNS Entries > Create New
    • Type: Address (A)
    • Hostname: securelogin
    • IP Address: incluir la dirección IP del equipo FortiWiFi en el interfaz WIFI en el que se activará el portal cautivo. (Esta dirección IP se puede consultar en el apartado Network > Interfaces)


Code Block
languagecpp
themeFadeToGrey
config system dns-database
    edit "<certificate_name>"
        set domain "<certificate_name>"
        config dns-entry
            edit 1
                set hostname "securelogin.octopuswifi.com"
                set ip 10.10.0.1
            next
        end
    next
end

...

  • Vertificar que los servidores DNS entregados al cliente es el del Fortinet. Para ello Network > Interfaces > Interfaz WiFi Invitados configurado > DHCP Server > DNS Server, configurar "Same as interface IP"


2-  Radius Servers

El siguiente paso es configurar los parámetros del Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello se aconseja realizarlo a través de CLI, ya que parte de la configuración no es soportada por la interfaz gráfica:

...

El siguiente paso es crear la VLAN que estará asociada al portal cautivo externo. Para ello ir al apartado acceder a Network > Interfaces y añadir una nueva vlan haciendo click en Create New Interface con la siguiente configuración:

...

El último paso para terminar la configuración en el equipamiento Fortigate es añadir el Walled Garden, para ello acceder al apartado Policy & Objects > Addresses y añadir los dominios básicos más los que nos interesen (Ej: Redes sociales) del siguiente listado que se puede desplegar a continuación:

...

A continuación, es necesario crear un Address Group que incluya todos los dominios anteriores. Para ello, dentro de este mismo apartado hacer click en Create New Address Group y configurar los siguientes parámetros:

...

Una vez añadidas todas las direcciones en el apartado anterior es necesario asociar cada una de ellas a una política, para ello dirigirse a Policy & Objects > IPv4 Policy y añadir una serie de políticas

...

  • Name: walledgardenpolicy_guest
  • Incoming Interface: interface creada para invitados en el apartado anterioranteriormente.
  • Outgoing Interface: WAN Interface
  • Source: all
  • Destination: indicar el Address Group añadido en el apartado anterioranteriormente.
  • Service: ALL
  • Action: Accept

...

  • Name: dns_guest
  • Incoming Interface: interface creada en el apartado anterioranteriormente.
  • Outgoing Interface: WAN Interface
  • Source: all
  • Destination: all
  • Service: DNS
  • Action: Accept

...

  • Name: auth_guest
  • Incoming Interface: interface creada en el apartado anterioranteriormente
  • Outgoing Interface: WAN Interface
  • Source:
    • all
    • añadir el grupo de Radius creado en el apartado anterioranteriormente
  • Destination: all
  • Service: ALL
  • Action: Accept

...

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir a la plataforma WIFI la dirección MAC del equipo que se ha configurado como hostname y alias en el apartado anterioranteriormente.


7-  Configuraciones adicionales

...

Warning

La validación a través de la dirección MAC de los dispositivos o MAC Authentication únicamente puede ser activada si el equipamiento FortiGate presenta la versión FortiOS 6.0.0 o superior.

Para activar la autenticación por MAC es necesario editar la vlan asociada al portal cautivo. Para ello es necesario acceder al equipo mediante SSH o consola y ejecutar los siguientes comandos indicando el nombre de la vlan correspondiente: 

Code Block
languagecpp
themeFadeToGrey
config system interface
	edit <name>
		set security-mac-auth-bypass enable
	next
end

...