FORTINET

FORTINET





NOTA: Para la configuración de este equipo debe tener presente que se debe solicitar la información respectiva al correo manuales@datawifi.co indicando la marca y modelo

1.Configuración del servidor de Radius

Para configurar el servidor Radius ingresar al panel de navegación ubicado en la parte izquierda y seleccionar la opción de “User & Authentication”, posterior a ello seleccionar la opción “RADIUS Servers” como se observa a continuación.





Una vez allí aparecerá una interfaz como la que se puede apreciar a continuación, configurar los siguientes campos:

Paso 1: En el campo Name agregar datawifi-radius

Paso 2: En el campo Authentication method seleccionar la opción de specify.

Paso 3: Una vez realizado el Paso 2 aparecerá una lista desplegable en la cual se seleccionará la opción de PAP.

Paso 4: Esta información debe solicitarse al correo de manuales@datawifi.co,  mencionando la marca y modelo que se está configurando, una vez se tenga la información, se completa el campo IP/Name respectivamente.

Paso 5: Esta información debe solicitarse al correo de manuales@datawifi.co, mencionando el equipo y modelo que se está configurando, una vez se tenga la información, se completa el campo Secret respectivamente.




2.Configuración del Accounting Server

Para configurar el Accounting Server dirigirse al botón que dice >_Show in CLI y dar clic como se puede observar a continuación.



Una vez se dé clic se abrirá una ventana emergente de consola para la configuración, donde se ingresarán los siguientes comandos:  

·         # show

·         # edit datawifi-radius

·         # config accounting-server

·         # get

·         # show

·         # edit 1


·         # set status enable

·         # set server xxxxxxxxxx

·         # set secret xxxxxxxxxx

·         # end

Los comandos de #set server y #set secret deben de solicitarse al correo de manuales@datawifi.co, mencionando el equipo y modelo que se está configurando, una vez se tenga la información, se completa los campos respectivamente

 

3.Configuración de User Group

Para autenticar a los usuarios a través del Portal Splash de DataWiFi, se ingresa al panel de navegación ubicado en la parte izquierda y se debe seleccionar la opción de “User & Authentication”, posterior a ello seleccionar la opción “User Groups” como se observa a continuación




Aparecerá una interfaz al costado derecho donde se dará clic en el botón de “Create New” para crear un nuevo grupo de usuarios.




A continuación, se abrirá una interfaz como se puede observar a continuación, donde se realizarán los siguientes pasos:

Paso 1: En el campo de Name ingresar datawifi.
Paso 2: En el campo de Type ingresar Firewall.
Paso 3: En el campo de Remote Servers, seleccionar datawifi-radius que se generó anteriormente.



4.Configuración del SSID

Crear el SSID con autenticación al portal cautivo para los usuarios, para ello Ingresar al panel de navegación ubicado en la parte izquierda y seleccionar la opción de “Wifi & Switch Controller”, posterior a ello seleccionar la opción “SSIDs” y por último seleccionar el botón de “Create New” que aparece en la interfaz del lado derecho como se observa a continuación.



Se abrirá una interfaz, seguir los siguientes pasos:

Paso 1: Nombre de la interfaz: datawifi.
Paso 2: Tipo de wifi seleccionar WIFI SSID.
Paso 3: Modo de tráfico seleccionar Tunnel.
Paso 4: Definir el direccionamiento y la máscara, por ejemplo 172.168.55.1/255.255.255.
Paso 5: En la sección de Administrative Access marcar con un check las opciones de HTTPS, HTTP, PING y RADIUS Accouting.



Paso 6: Se habilita el de DHCP server como se muestra.
Paso 7: Se establece un rango de direcciones: ejemplo 172.168.55.2 – 172.168.55.254.
Paso 8: Se define una máscara de red.
Paso 9: En el campo de “Default gateway” seleccionar la opción de “Same as interface IP”.
Paso 10: En el campo de “DNS server” seleccionar la opción de “Specify” o “Same as System DNS”.





Paso 11: Asignar el nombre SSID: ejemplo “datoswifi”.
Paso 12: Habilitar la opción “Broadcast SSID”.
Paso 13: En el campo de modo de seguridad (Security mode), seleccionar Portal cautivo (Captive portal).
Paso 14: En el campo de tipo de portal (Portal Type), seleccionar autenticación (Authentication).
Paso 15: En el campo de “Authentication potal” seleccionar la opción de “External”.
Paso 16: Agregar la siguiente URL: http://app.datawifi.co/easyfi/web/app.php/portal.
Paso 17: En el campo de “User Groups”, seleccionar Datawifi como se apreciar.
Paso 18: En el campo de “Redirect after Captive Portal”, seleccionar “Specific URL”.
Paso 19: Agregar la URL https://www.fortinet.com o la URL que tengan definida como Landing Page.
Paso 20: En el campo de “Schedule”, seleccionamos la opción “always”.
Paso 21: Dejar los otros parámetros predeterminados y dar clic en aceptar.


5.Configuración del Walled Garden



Para permitir que a los usuarios solo se les presente el portal de inicio de Datawifi durante el proceso de autenticación previa, se debe de crear la dirección que se utiliza por el FQDN para ello dirigirse a  1. Policy & Objects y luego le dar clic en  2.Addresses y por ultimo clic en 3. Create New como se muestra a continuación.



Creación y Configuración walled garden servidor radius
Para completar la configuración, diligenciar los siguientes parámetros como se muestra a continuación.
Paso 1: En el campo de Name, colocar Datawifi – radius.
Paso 2: En el campo de Type Seleccionar la opción subnet.
Paso 3: En el campo de Subnet/IP Range agregar la ip del servidor radius que fue solicitada y colocada en el paso 1.
Paso 4: En el campo de Interface seleccionar la opción any.

6.Configuración de walled garden Datawifi-app

Paso 1: En el campo de Name, colocar datawifi-app.
Paso 2: En el campo de Type Seleccionar la opción FQDN.
Paso 3: En el campo de FQDN agregar el walle garden “app.datawifi.co”.
Paso 4: En el campo de Interface seleccionar la opción any.

7.Configuración de walled garden datawifi-cdn

Para este proceso realizar los mismos pasos de punto 6 modificando el paso 1 y paso 3 con los siguientes valores:
Paso 1: En el campo de Name, colocar datawifi-cdn.
Paso 3: En el campo de FQDN agregar el walle garden “cdn-app.datawifi.co”.


8.Creación de un grupo de direcciones (Address Group)

Para la creación repetir el paso 5 dando clic en la flecha del botón de Create New y luego dar en Address Group una vez allí se abre una interfaz donde definir los siguientes parámetros como se muestra a continuación.
Paso 1: En el campo de Group name escribir lo siguiente “Datawifi-Group1
Paso 2: En el campo de Members seleccionar los siguientes:

• datawifi-app

• datawifi-cdn

• datawifi-radius





9.  Políticas

Para esta configuración se deben de crear políticas para el proceso de Pre-authenticación y post-authenticación para que solamente permita visualizar el portal de datawifi, una vez pasado el proceso de Pre-authenticación, la segunda política permitirá al usuario navegar a Internet.

Ahora crear la política de Pre-authenticación para ello dirigirse al panel izquierdo y dar clic en Policy & Objects, luego Firewall Policy,  por ultimo dar en Create New una vez allí realizar los siguientes pasos para la configuración.



10.    Configuración de política de pre-autenticación

Para realizar la configuración tener en cuenta los siguientes pasos como se muestran a continuación.
Paso 1: En el campo de Name,  Ingresar lo siguiente “Pre-auth-Portal”.
Paso 2: En el campo de Incoming interface, seleccionar la opción datawifi(Datawifi).
Paso 3: En el campo Outgoing interface, seleccionar la interfaz Wan X (interfaz conectada a internet).
Paso 4: En el campo Source, seleccionar la opción de All.
Paso 5: En el campo de Destination, seleccionar la opción de Datawifi-Group1, en caso de solo tener creado un grupo se puede seleccionar la opción de All.
Paso 6: En el campo Schedule, seleccionar la opción de always.
Paso 7: En el campo Service, seleccionar la opción de ALL.
Paso 8: En el campo de Action, seleccionar la opción de “ACCEPT”.
Paso 9: En la sección de Firewall/Network Options, habilitar la opción de NAT.
Paso 10: Por ultimo le dar clic en el botón de OK par aguardar los cambios.



Una vez creada la política de pre-autenticación, seleccionar la política y dando clic derecho seleccionar la opción de >_Edit in CLI



Una vez abierta la consola de comandos, configurar las siguientes líneas como se puede apreciar a continuación

-          set captive-portal-exempt enable

-          end



11.    Configuración de política de Post-autenticación

Ahora se creará la política para la post-autenticación para permitir al usuario navegar en internet, para ello se realizan los mismos pasos del punto 10, modificando el paso 1 como se muestra a continuación:

Paso 1: En el campo de Name, escribir lo siguiente “Post-auth-Portal”.
Paso 2: En el campo de Incoming interface, seleccionar la opción datawifi(Datawifi).
Paso 3: En el campo Outgoing interface, seleccionar la interfaz Wan X (interfaz conectada a internet).
Paso 4: En el campo Source, seleccionar la opción de All.
Paso 5: En el campo de Destination, seleccionar la opción de Datawifi-Group1, en caso solo tener creado un grupo se puede seleccionar la opción de All.
Paso 6: En el campo Schedule, seleccionar la opción de always.
Paso 7: En el campo Service, seleccionar la opción de ALL.
Paso 8: En el campo de Action, seleccionar la opción de “ACCEPT”.
Paso 9: En la sección de Firewall/Network Options, habilitar la opción de NAT.
Paso 10: Por ultimo dar clic en el botón de OK para guardar los cambios. 

12.    Verificación de orden de las políticas

Una vez creada ambas políticas, se debe revisar el orden de estas teniendo presente que la política de pre-autentication debe de estar en la parte superior es decir ubicada en la primera fila y la segunda política que corresponde al post-autentication debe de estar ubicada en la parte inferior o segunda fila como se puede apreciar a continuación.



13.       AP perfil y pruebas

Para finalizar la configuración dirigirse al panel izquierdo de navegación y daremos clic en WiFi & Switch Controller, luego dar clic en FortiAP Profiles como se puede apreciar a continuación.


Una vez allí dar doble clic en el perfil FAP con respecto a los perfiles que se tienen, en la edición del perfil habilitar el radio 1 o radio 2 con el SSID “datawifi” y dar clic en OK para guardar los cambios como se muestra a continuación.




Como nota adicional recuerde agregar la MAC FAP en la plataforma de Smartwifi, para conocer la MAC puede dirigirse al panel izquierdo y dar clic en WiFi & Switch Controller, luego dar clic en Managed FortiAPs, luego de ello damos doble clic en el FAP utilizado y allí conoceremos la MAC.