Aprenda a configurar o Hotspot Social WiFire nos roteadores Fortinet da FortiGate.
Pré-requisitos:
- Roteador com sistema operacional FortiOS 6.0.8 build03003 (GA) , v6.4.3 build1778 (GA) ou 6.2.5.;
- Número serial do Fortigate (formato: FG100ETK12345678);
- Número do MAC Address.
Com esses dados em mãos, entre em contato com o Suporte Técnico do WiFire e solicite o cadastro do roteador. O equipamento deve ser o mesmo vinculado ao cadastro do seu estabelecimento em nosso sistema.
Para ver como configurar o Hotspot Social WiFire em outras marcas de equipamentos homologados, clique aqui.
1. Configurando o Radius Server
Com o roteador já cadastrado, comece acessando a sua controladora FortiGate para adicionar nosso servidor de autenticação RADIUS.
- Vá até o menu lateral User & Device > RADIUS Server e clique em ‘New’.
- Preencha os campos de cadastro com os dados indicados abaixo:
-
- Name: WiFire (O campo deve OBRIGATORIAMENTE conter a palavra ‘WiFire’, com exatamente essa grafia e sintaxe de letras maiúsculas e minúsculas, devido o rastreamento de LOGs)
- Authentication method: Specify [Selecione a opção PAP no ComboBox]
- NAS IP: [informação fornecida pelo Suporte Técnico WiFire]
- Include in every user group: [deixe essa opção desmarcada]
Primary Server
-
- IP/Name: [informação fornecida pelo Suporte Técnico WiFire]
- Secret: [informação fornecida pelo Suporte Técnico WiFire]
Secondary Server
-
- IP/Name: [informação fornecida pelo Suporte Técnico WiFire]
- Secret: [informação fornecida pelo Suporte Técnico WiFire]
Com os dados preenchidos, clique em OK para salvar.
Em seguida, acesse o console do Fortigate e execute os seguintes comandos:
config user radius
edit “Cap_Portal_Wifire”
set radius-port 18120
config accounting-server
edit 1
set status enable
set server [informação fornecidas pelo suporte técnico WiFire]
set secret [informação fornecidas pelo suporte técnico WiFire]
set acct-interim-interval 600
set port 18130
next
end
next
end
2. Configurando o User Group
Agora, você precisa criar um User Group que será usado pelo WiFire.
- Acesse o menu User & Device > User Groups e clique em ‘+Create New’.
- Na nova tela que irá abrir, preencha os campos conforme abaixo:
- Name: WiFire
- Type: Firewall
- Members: [deixar em branco]
- Remote Groups: Clique em ‘+Add’ e selecione o servidor Radius que foi adicionado no passo anterior.
Clique em OK para salvar.
3. Criando a Interface para o WiFire
Agora, é hora de cadastrar uma nova Interface ou configurar uma já existente para usar o WiFire.
- Para criar uma nova Interface, acesse o menu Network > Interfaces e clique no botão ‘+Create New’.
- Preencha os campos de Admission Control como abaixo:
-
- Security Mode: Captive Portal
- Authentication Portal: External [https://fw.wifire.me/fortigate]
- User Access: Restricted to Groups
- User Groups: [clique em ‘+’ e selecione o grupo criado no passo anterior]
Clique em OK para salvar.
4. Configurando Policy de Autenticação
Neste passo, vamos adicionar os endereços que precisam ser liberados para que os usuários se autentiquem na rede.
- Acesse o menu Policy & Objects > Addresses e clique em ‘+Create New’
- Selecione a opção Address e, na nova tela aberta, preencha os campos conforme abaixo:
-
- Name: w_exemplo.com
- Type: FQND
- FQND: exempo.com
- Show in Address List: [marque essa opção, caso não esteja marcada]
- Exempt from Captive Portal: [Mantenha Esta Opção DESMARCADA – essa regra, quando marcada, fará com que a rede Guest se comporte com uma rede qualquer sem CaptivePortal]
Clique em OK para salvar.
Para concluir a configuração de autenticação, será preciso fazer esse mesmo processo para cada um dos domínios na lista abaixo.
[ATENÇÃO: Ao cadastrar um novo domínio, sempre comece o nome da regra com ‘w_’ ou ‘wifire_’. Isso é importanta para facilitar a busca dos registros no próximo passo da configuração.]
Domínios obrigatórios para o funcionamento:
fw.wifire.me
fwbeta.wifire.me
fwstatic.wifire.me
wifireme.s3-sa-east-1.amazonaws.com
cdnjs.cloudflare.com
Domínios adicionais (precisam ser liberados somente se forem usados como meio de autenticação na rede):
## FACEBOOK
connect.facebook.net
graph.facebook.com
fbstatic-a.akamaihd.net
s-static.ak.facebook.com
scontent-a.xx.fbcdn.net
fbcdn-profile-a.akamaihd.net
www.facebook.com
lm.facebook.com
m.facebook.com
## GOOGLE
accounts.google.com
accounts.google.com.br
www.google-analytics.com
ssl.gstatic.com
## INSTAGRAM
www.instagram.com
api.instagram.com
## LINKEDIN
www.linkedin.com
static.licdn.com
licdn.com
## TWITTER
www.twitter.com
twimg.com
abs-0.twimg.com
api.twitter.com
pbs.twimg.com
Após cadastrar todos os domínios, crie um Address Group.
- Clique em ‘+Create New’ e selecione a opção Address Group.
- Preencha os campos da tela aberta conforme indicado abaixo:
-
- Group Name: WiFire_Access
- Members: [clique em ‘+’ para abrir a lista e selecione os domínios adicionados que foram adicionados na etapa anterior do tutorial]
Clique em OK para salvar.
5. Configurando Policy para Usuários NÃO Autenticados
Agora, vamos adicionar a política de acesso para os usuários não autenticados.
- Acesse o menu Policy & Objects > IPv4 Policy e clique em ‘+Create New’
- Preencha os campos conforme abaixo:
-
- Name: LAN_WIFIRE_LOGIN
- Incoming Interface: [selecione a zona da onde estão partindo as requisições]
- Outgoing Interface: [selecione a zona por onde estão saindo as requisições]
- Source: [selecione a Interface que está rodando o WiFire, foi criada no Passo 3]
- Destination: [selecione o Address Group criado no passo anterior]
- Service: [selecione Web Access, que são os serviços básicos para acesso a internet portas http, https e DNS]
- Action: Accept
- …
- Exempt from Captive Portal: [MARQUE essa opção – essa é a regra que vai fazer com que os usuários não autenticados no hotspot sejam liberados]
Clique em OK para salvar.
Crie a regra que libera o acesso à internet para os usuários autenticados no hotspot
- Clique mais uma vez em ‘+Create New’
- Preencha os campos conforme abaixo:
-
- Name: LAN_WIFIRE_AUTENTICADO
- Incoming Interface: Selecione a zona da onde estão partindo as requisições
- Outgoing Interface: Selecione a zona por onde estão saindo as requisições
- Source: Selecione a Interface que está rodando o WiFire e foi criada no Passo 3
- Destination: Selecione a opção all que irá liberar todo o tráfego a internet
- Service: Selecione Web Access que são os serviços básicos para acesso a internet portas http, https e DNS
- Action: Accept
- …
- Exempt from Captive Portal: [deixe essa opção DESMARCADA]
Clique em OK para salvar.
6. Configurando Logs de Conexão
Para finalizar, vamos fazer a configuração dos LOGs de conexão.
- Acesse o menu Log & Report > Log Settings
- Preencha os campos conforme abaixo:
-
- Send Logs to Syslog: [marque essa opção]
- IP Address/FQDN: [informação fornecida pelo Suporte Técnico WiFire]
Clique em Apply para salvar.
Em seguida acesse o console e execute os comandos:
config log syslogd setting
set status enable
set server[informação fornecidas pelo suporte técnico WiFire]
set port 5145
end
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic disable
set multicast-traffic disable
set sniffer-traffic disable
set anomaly disable
set voip disable
set dns disable
set ssh disable
set filter ”
set filter-type include
end
Pronto! Finalizamos as configurações do hotspot WiFire para a plataforma FortiGate. Para começar a usar, basta se conectar ao SSID configurado para a Rede Guest.
Faça seu comentário