Como configurar Hotspot Social no FortiGate com o WiFire

Aprenda a configurar o Hotspot WiFire no firewall FortiGate da Fortinet. Confira o passo a passo a seguir!

Pré-requisitos para configurar Hotspot no FortiGate:

• Roteador com sistema operacional FortiOS 6.0.8 build03003 (GA) – v6.4.4 build1803 (GA)
• Número serial do Fortigate (formato: FG100ETK12345678);
• Endereço MAC address da interface que vai rodar o Hotspot

Com esses dados em mãos, entre em contato com o Suporte Técnico do WiFire e solicite o cadastro do roteador. O equipamento deve ser o mesmo vinculado ao cadastro do seu estabelecimento em nosso sistema.

Para ver como configurar o Hotspot Social WiFire em outras marcas de equipamentos homologados, clique aqui.

1. Configurando o Radius Server – Hotspot no FortiGate

Com o roteador já cadastrado, comece acessando a sua controladora FortiGate para adicionar nosso servidor de autenticação RADIUS.

• Vá até o menu lateral User & Device > RADIUS Server e clique em ‘New’.
• Preencha os campos de cadastro com os dados indicados abaixo:

• • Name: WiFire  (O campo deve OBRIGATORIAMENTE conter a palavra ‘WiFire’, com exatamente essa grafia e sintaxe de letras maiúsculas e minúsculas, devido o rastreamento de LOGs)
  • Authentication method: Specify [Selecione a opção PAP no ComboBox]
  • NAS IP: [informação fornecida pelo Suporte Técnico WiFire], IP do cadastro do FortiGate no sistema do WiFire.
  • Include in every user group: [deixe essa opção desmarcada]

Primary Server

• • IP/Name: [informação fornecida pelo Suporte Técnico WiFire]
  • Secret: [informação fornecida pelo Suporte Técnico WiFire]

Secondary Server

• • IP/Name: [informação fornecida pelo Suporte Técnico WiFire]
  • Secret: [informação fornecida pelo Suporte Técnico WiFire]

Com os dados preenchidos, clique em OK para salvar.

Em seguida, acesse o console do Fortigate e execute os seguintes comandos:

config user radius

edit “informe o nome do Radius criado anteriormente”
set radius-port 18120
config accounting-server
edit 1
set status enable
set server [informação fornecidas pelo suporte técnico WiFire]
set secret [informação fornecidas pelo suporte técnico WiFire]
set port 18130
end
set acct-interim-interval 600
next
end

2. Configurando o User Group

Agora, você precisa criar um User Group que será usado pelo WiFire.

• Acesse o menu User & Device > User Groups e clique em ‘+Create New’.

• Na nova tela que irá abrir, preencha os campos conforme abaixo:
  • Name: WiFire
  • Type: Firewall
  • Members: [deixar em branco]
  • Remote Groups: Clique em ‘+Add’ e selecione o servidor Radius que foi adicionado no passo anterior.

Clique em OK para salvar.

3. Configurando Policy de Autenticação

Neste passo, vamos adicionar os endereços que precisam ser liberados para que os usuários se autentiquem na rede.

• Acesse o menu Policy & Objects > Addresses e clique em ‘+Create New’
• Selecione a opção Address e, na nova tela aberta, preencha os campos conforme abaixo:

• • Name: w_exemplo.com
  • Type: FQND
  • FQND: exempo.com
  • Show in Address List: [marque essa opção, caso não esteja marcada]

Clique em OK para salvar.

Para concluir a configuração de autenticação, será preciso fazer esse mesmo processo para cada um dos domínios na lista abaixo.

[ATENÇÃO: Ao cadastrar um novo domínio, sempre comece o nome da regra com ‘w_’ ou ‘wifire_’. Isso é importanta para facilitar a busca dos registros no próximo passo da configuração.]

Domínios obrigatórios para o funcionamento:

fw.wifire.me
fwbeta.wifire.me
fwstatic.wifire.me
wifireme.s3-sa-east-1.amazonaws.com
cdnjs.cloudflare.com

Domínios adicionais (precisam ser liberados somente se forem usados como meio de autenticação na rede):

## FACEBOOK
connect.facebook.net
graph.facebook.com
fbstatic-a.akamaihd.net
s-static.ak.facebook.com
scontent-a.xx.fbcdn.net
fbcdn-profile-a.akamaihd.net
www.facebook.com
lm.facebook.com
m.facebook.com

## GOOGLE
accounts.google.com
accounts.google.com.br
www.google-analytics.com
ssl.gstatic.com

## LINKEDIN
www.linkedin.com
static.licdn.com
licdn.com

## TWITTER
www.twitter.com
twimg.com
abs-0.twimg.com
api.twitter.com
pbs.twimg.com

Após cadastrar todos os domínios, crie um Address Group.

• Clique em ‘+Create New’ e selecione a opção Address Group.
• Preencha os campos da tela aberta conforme indicado abaixo:

• • Group Name: WiFire_Access
  • Members: [clique em ‘+’ para abrir a lista e selecione os domínios adicionados que foram adicionados na etapa anterior do tutorial]

Clique em OK para salvar.

4. Criando a Interface para o WiFire – Hotspot no FortiGate

Agora, é hora de cadastrar uma nova Interface ou configurar uma já existente para usar o WiFire. 

• Para criar uma nova Interface, acesse o menu Network > Interfaces e clique no botão ‘+Create New’.
• Preencha os campos de Admission Control como abaixo:

• • Security Mode: Captive Portal
  • Authentication Portal: External [URL:informação fornecida pelo Suporte Técnico WiFire]
  • User Access: Restricted to Groups
  • User Groups: [clique em ‘+’ e selecione o grupo criado no passo anterior]
  • Exempt destination services: Clique no botão + e inclua o Grupo walled garden criado na passo 3 

 

Clique em OK para salvar.

 

5. Crie a regra que libera o acesso à internet para os usuários autenticados no hotspot

• Clique mais uma vez em ‘+Create New’
• Preencha os campos conforme abaixo:

• • Name: LAN_WIFIRE_AUTENTICADO
  • Incoming Interface: Selecione a interface LAN_HOTSPOT
  • Outgoing Interface: Selecione a interface WAN_Internet
  • Source: selecione a opção “all”
  • Destination: Selecione a opção “all”
  • Service: Selecione Web Access que são os serviços básicos para acesso a internet portas http, https e DNS
  • Action: Accept
  • …
  • Log Allowed Traffic: Ative esta opção e selecione a opção “ALL SESSIONS”
  • Exempt from Captive Portal: [deixe essa opção DESMARCADA]

Clique em OK para salvar.

6. Configurando Logs de Conexão – Hotspot no FortiGate

Para finalizar, vamos fazer a configuração dos LOGs de conexão.

• Acesse o menu Log & Report > Log Settings
• Preencha os campos conforme abaixo:

• • Send Logs to Syslog: [marque essa opção]
  • IP Address/FQDN: [informação fornecida pelo Suporte Técnico WiFire]

Clique em Apply para salvar.

Em seguida acesse o console e execute os comandos:

config log syslogd setting
set status enable
set server[informação fornecidas pelo suporte técnico WiFire]
set port 5145
end
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic disable
set multicast-traffic disable
set sniffer-traffic disable
set anomaly disable
set voip disable
set ssh disable
set filter logid(13)
set filter-type include
end

Pronto! Finalizamos as configurações do hotspot WiFire para a plataforma FortiGate. Para começar a usar, basta se conectar ao SSID configurado para a Rede Guest.

Hotspot WiFire: A solução completa de Hotspot Social e Wi-Fi Marketing para o seu negócio!