Como configurar Hotspot Social no FortiGate com o WiFire

Aprenda a configurar o Hotspot Social WiFire nos roteadores Fortinet da FortiGate.

Pré-requisitos:

• Roteador com sistema operacional FortiOS 6.0.8 build03003 (GA) , v6.4.3 build1778 (GA) ou  6.2.5.;
• Número serial do Fortigate (formato: FG100ETK12345678);
• Número do MAC Address.

Com esses dados em mãos, entre em contato com o Suporte Técnico do WiFire e solicite o cadastro do roteador. O equipamento deve ser o mesmo vinculado ao cadastro do seu estabelecimento em nosso sistema.

Para ver como configurar o Hotspot Social WiFire em outras marcas de equipamentos homologados, clique aqui. 

1. Configurando o Radius Server

Com o roteador já cadastrado, comece acessando a sua controladora FortiGate para adicionar nosso servidor de autenticação RADIUS.

• Vá até o menu lateral User & Device > RADIUS Server e clique em ‘New’.
• Preencha os campos de cadastro com os dados indicados abaixo:

• • Name: WiFire  (O campo deve OBRIGATORIAMENTE conter a palavra ‘WiFire’, com exatamente essa grafia e sintaxe de letras maiúsculas e minúsculas, devido o rastreamento de LOGs)
  • Authentication method: Specify [Selecione a opção PAP no ComboBox]
  • NAS IP: [informação fornecida pelo Suporte Técnico WiFire], IP do cadastro do FortiGate no sistema do WiFire.
  • Include in every user group: [deixe essa opção desmarcada]

Primary Server

• • IP/Name: [informação fornecida pelo Suporte Técnico WiFire]
  • Secret: [informação fornecida pelo Suporte Técnico WiFire]

Secondary Server

• • IP/Name: [informação fornecida pelo Suporte Técnico WiFire]
  • Secret: [informação fornecida pelo Suporte Técnico WiFire]

Com os dados preenchidos, clique em OK para salvar.

Em seguida, acesse o console do Fortigate e execute os seguintes comandos:

config user radius

edit “informe o nome do Radius criado anteriormente”
set radius-port 18120
config accounting-server
edit 1
set status enable
set server [informação fornecidas pelo suporte técnico WiFire]
set secret [informação fornecidas pelo suporte técnico WiFire]
set port 18130
end
set acct-interim-interval 600
next
end

2. Configurando o User Group

Agora, você precisa criar um User Group que será usado pelo WiFire.

• Acesse o menu User & Device > User Groups e clique em ‘+Create New’.

• Na nova tela que irá abrir, preencha os campos conforme abaixo:
  • Name: WiFire
  • Type: Firewall
  • Members: [deixar em branco]
  • Remote Groups: Clique em ‘+Add’ e selecione o servidor Radius que foi adicionado no passo anterior.

Clique em OK para salvar.

3. Criando a Interface para o WiFire

Agora, é hora de cadastrar uma nova Interface ou configurar uma já existente para usar o WiFire. 

• Para criar uma nova Interface, acesse o menu Network > Interfaces e clique no botão ‘+Create New’.
• Preencha os campos de Admission Control como abaixo:

• • Security Mode: Captive Portal
  • Authentication Portal: External [https://fw.wifire.me/fortigate] (caso você tenha um retorno de erro empty_response no momento do teste de autenticação, tente alterar essa url para o seguinte modelo “https://fw.wifire.me/fortigate/index/serial_number_do_fortigate”)
  • User Access: Restricted to Groups
  • User Groups: [clique em ‘+’ e selecione o grupo criado no passo anterior]

Clique em OK para salvar.

4. Configurando Policy de Autenticação

Neste passo, vamos adicionar os endereços que precisam ser liberados para que os usuários se autentiquem na rede.

• Acesse o menu Policy & Objects > Addresses e clique em ‘+Create New’
• Selecione a opção Address e, na nova tela aberta, preencha os campos conforme abaixo:

• • Name: w_exemplo.com
  • Type: FQND
  • FQND: exempo.com
  • Show in Address List: [marque essa opção, caso não esteja marcada]
  • Exempt from Captive Portal: [Mantenha Esta Opção DESMARCADA – essa regra, quando marcada, fará com que a rede Guest se comporte com uma rede qualquer sem CaptivePortal]

Clique em OK para salvar.

Para concluir a configuração de autenticação, será preciso fazer esse mesmo processo para cada um dos domínios na lista abaixo.

[ATENÇÃO: Ao cadastrar um novo domínio, sempre comece o nome da regra com ‘w_’ ou ‘wifire_’. Isso é importanta para facilitar a busca dos registros no próximo passo da configuração.]

Domínios obrigatórios para o funcionamento:

fw.wifire.me
fwbeta.wifire.me
fwstatic.wifire.me
wifireme.s3-sa-east-1.amazonaws.com
cdnjs.cloudflare.com

Domínios adicionais (precisam ser liberados somente se forem usados como meio de autenticação na rede):

## FACEBOOK
connect.facebook.net
graph.facebook.com
fbstatic-a.akamaihd.net
s-static.ak.facebook.com
scontent-a.xx.fbcdn.net
fbcdn-profile-a.akamaihd.net
www.facebook.com
lm.facebook.com
m.facebook.com

## GOOGLE
accounts.google.com
accounts.google.com.br
www.google-analytics.com
ssl.gstatic.com

## LINKEDIN
www.linkedin.com
static.licdn.com
licdn.com

## TWITTER
www.twitter.com
twimg.com
abs-0.twimg.com
api.twitter.com
pbs.twimg.com

Após cadastrar todos os domínios, crie um Address Group.

• Clique em ‘+Create New’ e selecione a opção Address Group.
• Preencha os campos da tela aberta conforme indicado abaixo:

• • Group Name: WiFire_Access
  • Members: [clique em ‘+’ para abrir a lista e selecione os domínios adicionados que foram adicionados na etapa anterior do tutorial]

Clique em OK para salvar.

 

5. Configurando Policy para Usuários NÃO Autenticados

Agora, vamos adicionar a política de acesso para os usuários não autenticados.

• Acesse o menu Policy & Objects > IPv4 Policy e clique em ‘+Create New’
• Preencha os campos conforme abaixo:

• • Name: LAN_WIFIRE_LOGIN
  • Incoming Interface: [selecione a zona da onde estão partindo as requisições]
  • Outgoing Interface: [selecione a zona por onde estão saindo as requisições]
  • Source: [selecione a Interface que está rodando o WiFire, foi criada no Passo 3]
  • Destination: [selecione o Address Group criado no passo anterior]
  • Service: [selecione Web Access, que são os serviços básicos para acesso a internet portas http, https e DNS]
  • Action: Accept
  • …
  • Exempt from Captive Portal: [MARQUE essa opção – essa é a regra que vai fazer com que os usuários não autenticados no hotspot sejam liberados]

Clique em OK para salvar.

Crie a regra que libera o acesso à internet para os usuários autenticados no hotspot

• Clique mais uma vez em ‘+Create New’
• Preencha os campos conforme abaixo:

• • Name: LAN_WIFIRE_AUTENTICADO
  • Incoming Interface: Selecione a zona da onde estão partindo as requisições
  • Outgoing Interface: Selecione a zona por onde estão saindo as requisições
  • Source: Selecione a Interface que está rodando o WiFire e foi criada no Passo 3
  • Destination: Selecione a opção all que irá liberar todo o tráfego a internet
  • Service: Selecione Web Access que são os serviços básicos para acesso a internet portas http, https e DNS
  • Action: Accept
  • …
  • Exempt from Captive Portal: [deixe essa opção DESMARCADA]

Clique em OK para salvar.

6. Configurando Logs de Conexão

Para finalizar, vamos fazer a configuração dos LOGs de conexão.

• Acesse o menu Log & Report > Log Settings
• Preencha os campos conforme abaixo:

• • Send Logs to Syslog: [marque essa opção]
  • IP Address/FQDN: [informação fornecida pelo Suporte Técnico WiFire]

Clique em Apply para salvar.

Em seguida acesse o console e execute os comandos:

config log syslogd setting
set status enable
set server[informação fornecidas pelo suporte técnico WiFire]
set port 5145
end
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic disable
set multicast-traffic disable
set sniffer-traffic disable
set anomaly disable
set voip disable
set dns disable
set ssh disable
set filter logid(13)
set filter-type include
end

Pronto! Finalizamos as configurações do hotspot WiFire para a plataforma FortiGate. Para começar a usar, basta se conectar ao SSID configurado para a Rede Guest.