GUÍA DE CONFIGURACIÓN

...

1- Configuración inicial

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https. Se aconseja la segunda opción para un funcionamiento adecuado de todas las funcionalidades y para evitar errores de seguridad en los navegadores que deterioran la experiencia del usuario final.

1.1 Opción HTTP

Dejando valores por defecto, podremos utilizar esta configuración.

...

config user setting
show
   "config user setting
   end"
config firewall auth-portal
show
   "config firewall auth-portal
   end"

1.2 Opción HTTPS

Lo primero, será cargar un nuevo certificado asociado al subdominio para realizar el login. para ello seguir los siguientes pasos:

Subir certificado

• Lo primero será crear el certificado con formato ".pfx". Podemos crearlo con openssl.
• Para subirlo, acceder a la interfaz gráfica System > Certificates > Import > Local Certificate:
  • Type: PKCS #12 Certificate
  • Certificate with key file: certificate.pfx
  • Password: dejarlo en blanco
  • Certificate Name: <certificate_name>

...

config user setting
	set auth-secure-http enable
	set auth-cert <certificate_name>
end

config firewall auth-portal
    set portal-addr <certificate_name>
end

Añadir entrada estática DNS

...

• Networks > DNS Servers > DNS Database > Create New
  • Type: Master
  • View: Shadow
  • DNS Zone: <certificate_name>
  • Domain Name: <certificate_name>
  • Authoritative: disable
• Dentro de Database creado DNS Entries > Create New
  • Type: Address (A)
  • Hostname: securelogin
  • IP Address: incluir la dirección IP del equipo FortiWiFi en el interfaz WIFI en el que se activará el portal cautivo. (Esta dirección IP se puede consultar en Network > Interfaces)

...

config system dns-database
    edit "<certificate_name>"
        set domain "<certificate_name>"
        config dns-entry
            edit 1
                set hostname "securelogin.octopuswifi.com<certificate_name>"
                set ip 10.10.0.1
            next
        end
    next
end

• Vertificar que los servidores DNS entregados al cliente es el del Fortinet. Para ello Network > Interfaces > Interfaz WiFi Invitados configurado > DHCP Server > DNS Server, configurar "Same as interface IP"

2-  Radius Servers

El siguiente paso es configurar los parámetros del Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello se aconseja realizarlo a través de CLI, ya que parte de la configuración no es soportada por la interfaz gráfica:

config user radius

    edit Radius_Guest 
        set server "<IP_Radius_1>"
        set secret <Secret>
        set acct-interim-interval 600
        set auth-type pap
        set secondary-server "<IP_Radius_2>"
        set secondary-secret <Secret>
        config accounting-server
            edit 1
                set status enable
                set server "<IP_Radius_1>"
                set secret <Secret>
            next
            edit 2
                set status enable
                set server "<IP_Radius_2>"
                set secret <Secret>
            next
        end
	next
    end

Posteriormente crear un grupo de usuarios que utilice dicho servidor. Para ello acceder a User & Device > User Groups y añadir un nuevo grupo con la siguiente configuración:

config user group
    edit "Radius_Group"
        set member "Radius_Guest"
    next
end

...

Para activar la autenticación por MAC es necesario editar la vlan asociada al portal cautivo. Para ello es necesario acceder al equipo mediante SSH o consola y ejecutar los siguientes comandos indicando el nombre de la vlan correspondiente: 

config system interface
	edit <name>
		set security-mac-auth-bypass enable
	next
end

...