GUÍA DE CONFIGURACIÓN

...

Code Block

language	cpp
theme	FadeToGrey

config user setting
show
   "config user setting
   end"
config firewall auth-portal
show
   "config firewall auth-portal
   end"

1.2 Opción HTTPS

Lo primero, será cargar un nuevo certificado asociado al subdominio para realizar el login. para ello seguir los siguientes pasos:

Subir certificado

Lo primero será crear el certificado con formato ".pfx". Podemos crearlo con openssl.
Para subirlo, acceder a la interfaz gráfica System > Certificates > Import > Local Certificate:
- Type: PKCS #12 Certificate
- Certificate with key file: certificate.pfx
- Password: dejarlo en blanco
- Certificate Name: <certificate_name>

...

Networks > DNS Servers > DNS Database > Create New
- Type: Master
- View: Shadow
- DNS Zone: <certificate_name>
- Domain Name: <certificate_name>
- Authoritative: disable
Dentro de Database creado DNS Entries > Create New
- Type: Address (A)
- Hostname: securelogin
- IP Address: incluir la dirección IP del equipo FortiWiFi en el interfaz WIFI en el que se activará el portal cautivo. (Esta dirección IP se puede consultar en Network > Interfaces)

...

Vertificar que los servidores DNS entregados al cliente es el del Fortinet. Para ello Network > Interfaces > Interfaz WiFi Invitados configurado > DHCP Server > DNS Server, configurar "Same as interface IP"

2- Radius Servers

El siguiente paso es configurar los parámetros del Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello se aconseja realizarlo a través de CLI, ya que parte de la configuración no es soportada por la interfaz gráfica:

...

Code Block

language	cpp
theme	FadeToGrey

config system interface
    edit "vlan710"
        set vdom "root"
        set ip 10.10.0.1 255.255.252.0
        set allowaccess ping radius-acct
        set alias "vlan_Guest710"
        set security-mode captive-portal
        set security-mac-auth-bypass enable
        set security-external-web "https://"<dominio_captive_portal>"/login/hotspot/fortigate"
        set security-groups "Radius_group"
        set role lan
        set snmp-index 14
        set interface "bridgeEth"
        set vlanid 710
    next
end

Tras configurar todos los parámetros indicados hacer click en OK para guardar la configuración realizada.

...

Code Block

language	cpp
theme	FadeToGrey

    edit 1
        set name "walledgardenpolicy_guest"
        set srcintf "vlan710"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "walledgarden_guest"
        set action accept
        set schedule "always"
        set service "ALL"
        set captive-portal-exempt enable
        set nat enable
    next
    edit 2
        set name "dns_guest"
        set srcintf "vlan710"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "DNS"
        set captive-portal-exempt enable
        set nat enable
    next
    edit 3
        set name "auth_guest"
        set srcintf "vlan710"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set fsso disable
        set groups "Radius_Group"
        set nat enable
    next
end

...

6- NAS Identifier

Para que el Servidor Radius autorice e identifique las peticiones de autenticación provenientes del equipo FortiGate es necesario modificar el nombre del equipo para que envíe la MAC Address del mismo. Para ello ejecutar los siguientes comando modificando la dirección MAC por la que corresponda.

Code Block

language	cpp
theme	FadeToGrey

config system global
	set alias "18CF5EA1F8BD"
	set hostname "18CF5EA1F8BD"
end

...

7- Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir a la plataforma WIFI la dirección MAC del equipo que se ha configurado como hostname y alias anteriormente.

...

8- Configuraciones adicionales

...

8.1 MAC Authentication (opcional)

Warning
La validación a través de la dirección MAC de los dispositivos o MAC Authentication únicamente puede ser activada si el equipamiento FortiGate presenta la versión FortiOS 6.0.0 o superior.

Para activar la autenticación por MAC es necesario editar la vlan asociada al portal cautivo. Para ello es necesario acceder al equipo mediante SSH o consola y ejecutar los siguientes comandos indicando el nombre de la vlan correspondiente:

Code Block

language	cpp
theme	FadeToGrey

config system interface
	edit <name>
		set security-mac-auth-bypass enable
	next
end

...

Versions Compared

Old Version 80

New Version 81

Key

GUÍA DE CONFIGURACIÓN

1.2 Opción HTTPS

Subir certificado

2- Radius Servers

6- NAS Identifier

7- Listado MACs Autorizadas

8- Configuraciones adicionales

8.1 MAC Authentication (opcional)

Page Comparison

Versions Compared

Old Version 80

New Version 81

Key

1.2 Opción HTTPS

Subir certificado

2- Radius Servers

6- NAS Identifier

7- Listado MACs Autorizadas

8- Configuraciones adicionales

8.1 MAC Authentication (opcional)