FortiGate / FortiWiFi
Kompatybilność
Social WiFi zostało przetestowane i sprawdza się w następujących konfiguracjach:
FortiWiFi - interfejsy bezprzewodowe
- FortiOS w wersji 5.6.0 i wyższej (testowane do 7.4.5)
FortiGate hardware lub maszyna wirtualna - interfejsy przewodowe
- zalecane: FortiOS w wersji 6.2.4 i wyższej (testowane do 7.4.5)
- FortiOS w wersji 5.6.0 i wyższej działa jeśli captive portal jest włączony na fizycznym interfejsie, interfejsy VLAN nie są obsługiwane poniżej FortiOS 6.2.4
Dostęp do panelu konfiguracyjnego urządzenia
Niniejszy przewodnik zakłada korzystanie z webowego UI kontrolera, do którego dostęp uzyskujemy wpisując w przeglądarce adres IP urządzenia. Zrzuty ekranu bazują na firmware v5.6.2.
Alternatywnie, jeśli Twoje urządzenie jest zarządzane z FortiCloud, możesz uzyskać dostęp do panelu zarządzania z tego miejsca.
Konfiguracja RADIUS
Przejdź do User & Device → RADIUS Servers → Create New i użyj następujących ustawień:
| Nazwa | Social WiFi |
|---|---|
| Primary Server IP/Name | 35.205.62.147 |
| Primary Server Secret | Radius Secret jest dostępny w zakładce Access Points w Social WiFi Panel |
| Authentication Method | Specify |
| Method | PAP |
| OK |
Teraz należy zmienić port RADIUS na 31812. Otwórz konsolę CLI (prawy górny róg, między “help” a nazwą użytkownika).
Skopiuj (ctrl+C) i wklej (ctrl+V) lub wpisz następujące polecenia:
config user radius edit "Social WiFi" set radius-port 31812 nextend
Następnie zamknij konsolę CLI, klikając przycisk “x” w prawym górnym rogu.
Konfiguracja grupy zdalnej
Przejdź do User & Device → User Groups → Create New i użyj następujących ustawień:
| Nazwa | Social WiFi - Guest |
|---|---|
| Type | Firewall |
W sekcji Remote Groups kliknij Add, a następnie wybierz Social WiFi z listy rozwijanej Remote Server. Kliknij OK, aby zapisać, a następnie ponownie kliknij OK.
Konfiguracja Walled Garden
Teraz musimy dodać wszystkie usługi, które będą dostępne bez logowania. Lista ta obejmuje stronę logowania Social WiFi oraz usługi logowania społecznościowego innych firm (jak Facebook, Google). Poniższy przewodnik zakłada firmware w wersji 5.6.2, który nie obsługuje domen z symbolami wieloznacznymi (np.) Używanie znaków wieloznacznych zostało dodane w firmware 6.2.2, więc jeśli masz tę wersję lub wyższą, możesz odpowiednio dostosować poniższe kroki.
Sugerowanym sposobem dodania wszystkich wymaganych wpisów jest ponowne użycie CLI do skopiowania (ctrl+C) i wklejenia (ctrl+V) poniższych skryptów. Proszę zauważyć, że skrypt jest podzielony na dwie części, ponieważ istnieje limit długości, którego nie można przekroczyć.
Część 1:
# Social WiFi main serviceconfig firewall address edit "Social WiFi - main 1" set type fqdn set fqdn "login.socialwifi.com" next edit "Social WiFi - main 2" set type fqdn set fqdn "sw-login.com" nextendconfig firewall addrgrp edit "Social WiFI - main" set member "Social WiFi - main 1" "Social WiFi - main 2" nextend
# Facebook remarketing pixelconfig firewall address edit "Social WiFi - Facebook pixel 1" set type fqdn set fqdn "connect.facebook.net" next edit "Social WiFi - Facebook pixel 2" set type fqdn set fqdn "www.facebook.com" nextendconfig firewall addrgrp edit "Social WiFI - Facebook pixel" set member "Social WiFi - Facebook pixel 1" "Social WiFi - Facebook pixel 2" nextend
# Google remarketing tagconfig firewall address edit "Social WiFi - Google tag 1" set type fqdn set fqdn "www.googletagmanager.com" next edit "Social WiFi - Google tag 2" set type fqdn set fqdn "www.googleadservices.com" next edit "Social WiFi - Google tag 3" set type fqdn set fqdn "googleads.g.doubleclick.net" nextendconfig firewall addrgrp edit "Social WiFI - Google tag" set member "Social WiFi - Google tag 1" "Social WiFi - Google tag 2" "Social WiFi - Google tag 3" nextend
# Facebook loginconfig firewall address edit "Social WiFi - Facebook 1" set type fqdn set fqdn "www.facebook.com" next edit "Social WiFi - Facebook 2" set type fqdn set fqdn "facebook.com" next edit "Social WiFi - Facebook 3" set type fqdn set fqdn "static.xx.fbcdn.net" next edit "Social WiFi - Facebook 4" set type fqdn set fqdn "external-frt3-2.xx.fbcdn.net" nextendconfig firewall addrgrp edit "Social WiFi - Facebook" set member "Social WiFi - Facebook 1" "Social WiFi - Facebook 2" "Social WiFi - Facebook 3" "Social WiFi - Facebook 4" nextendCzęść 2:
# Twitter loginconfig firewall address edit "Social WiFi - Twitter 1" set type fqdn set fqdn "twitter.com" next edit "Social WiFi - Twitter 2" set type fqdn set fqdn "api.twitter.com" next edit "Social WiFi - Twitter 3" set type fqdn set fqdn "x.com" next edit "Social WiFi - Twitter 4" set type fqdn set fqdn "api.x.com" next edit "Social WiFi - Twitter 5" set type fqdn set fqdn "pbs.twimg.com" next edit "Social WiFi - Twitter 6" set type fqdn set fqdn "abs-0.twimg.com" next edit "Social WiFi - Twitter 7" set type fqdn set fqdn "abs.twimg.com" nextendconfig firewall addrgrp edit "Social WiFi - Twitter" set member "Social WiFi - Twitter 1" "Social WiFi - Twitter 2" "Social WiFi - Twitter 3" "Social WiFi - Twitter 4" "Social WiFi - Twitter 5" nextend
# LinkedIn loginconfig firewall address edit "Social WiFi - LinkedIn 1" set type fqdn set fqdn "www.linkedin.com" next edit "Social WiFi - LinkedIn 2" set type fqdn set fqdn "static-exp1.licdn.com" next edit "Social WiFi - LinkedIn 3" set type fqdn set fqdn "media-exp1.licdn.com" next edit "Social WiFi - LinkedIn 4" set type fqdn set fqdn "static.licdn.com" nextendconfig firewall addrgrp edit "Social WiFi - LinkedIn" set member "Social WiFi - LinkedIn 1" "Social WiFi - LinkedIn 2" "Social WiFi - LinkedIn 3" "Social WiFi - LinkedIn 4" nextend
# Group everything in one groupconfig firewall addrgrp edit "Social WiFi" set member "Social WiFI - main" "Social WiFI - Facebook pixel" "Social WiFI - Google tag" "Social WiFi - Google" "Social WiFi - Facebook" "Social WiFi - Twitter" "Social WiFi - LinkedIn" nextendKonfiguracja WiFi (interfejs bezprzewodowy)
Przejdź do WiFi & Switch Controller → SSID → Create New → SSID i użyj następujących ustawień.
Jeśli masz już istniejącą sieć WiFi, zamiast tego edytuj ją odpowiednio (możesz pominąć część “Ustawienia WiFi”).
Konfiguracja interfejsu:
| Nazwa interfejsu | Social WiFi |
|---|---|
| Type | WiFi SSID |
| Traffic Mode | Tunnel |
| IP/Network Mask | 10.8.0.1/255.255.0.0 |
| DHCP Server | Enabled |
| Address Range | Powinien być wstępnie wypełniony, jeśli nie, użyj 10.8.0.2 - 10.8.255.254 |
| Netmask | Powinna być wypełniona, jeśli nie, użyj 255.255.0.0 |
Ustawienia WiFi:
| SSID | Social WiFi (lub dowolna nazwa, którą preferujesz) |
|---|---|
| Security Mode | Captive Portal |
| Portal Type | Authentication |
| Authentication Portal | External: http://login.socialwifi.com/ |
| User Groups | Social WiFi - Guest |
| Exempt Destinations/Services | Social WiFi |
| Redirect after Captive Portal | Original request |
| OK |
Konfiguracja interfejsu (interfejs przewodowy)
Można również uruchomić Social WiFi na przewodowym, fizycznym interfejsie i podłączyć tam punkty dostępu. W tym scenariuszu te punkty dostępu nie muszą być zarządzane przez urządzenie FortiGate.
Przejdź do Network → Interfaces i kliknij dwukrotnie na interfejs, na którym chcesz zainstalować Social WiFi Jeśli interfejs nie był wcześniej konfigurowany, postępuj zgodnie z podstawową konfiguracją interfejsu z poprzedniego kroku, aby skonfigurować adres IP i serwer DHCP.
Przewiń w dół do sekcji Admission Control z rozwijanej listy Security Mode wybierz Captive Portal. Następnie zastosuj następujące ustawienia:
| Authentication Portal | External: http://login.socialwifi.com/ |
|---|---|
| User Access | Restricted to Groups |
| User Groups | Social WiFi - Guest |
| Exempt Destinations/Services | Social WiFi |
| OK |
Konfiguracja Firewall
Trzeba zezwolić na ruch od gości korzystających z WiFi, bo domyślna polityka to deny all traffic.
Przejdź do Policy & Objects → IPv4 Policy → Create New i użyj następujących ustawień:
| Nazwa | Social WiFi Allow Guests |
|---|---|
| Incoming Interface | Social WiFi (interfejs utworzony lub edytowany w poprzednim punkcie) |
| Outgoing Interface | wan1 (twój interfejs WAN) |
| Source | all |
| Destination | all |
| Service | ALL |
| Action | ACCEPT |
| OK |
Dodaj urządzenie do panelu Social WiFi
Konfiguracja sterownika została zakończona. Ostatnim krokiem jest dodanie adresu(ów) MAC do platformy Social WiFi.
Zazwyczaj adres MAC będzie wydrukowany na etykiecie na samym urządzeniu. Powinien on być widoczny w GUI, jak również na ekranie interfejsu edycji. Jeśli nie znasz adresu MAC, skontaktuj się z Social WiFi Support.
Teraz przejdź do Social WiFi Panel, przejdź do zakładki Access Points, kliknij przycisk Add i wklej adres(y) MAC. Kliknij Create.
Przetestuj rozwiązanie
Połącz się z siecią WiFi. Powinieneś zobaczyć stronę logowania. Przejdź przez proces logowania i po jego zakończeniu powinieneś mieć dostęp do internetu. W sekcji statystyk Social WiFi Panel powinieneś zobaczyć pierwsze połączenia i autoryzacje.