FortiGate / FortiWiFi

Kompatybilność

Social WiFi zostało przetestowane i sprawdza się w następujących konfiguracjach:

FortiWiFi - interfejsy bezprzewodowe

  • FortiOS w wersji 5.6.0 i wyższej (testowane do 7.4.5)

FortiGate hardware lub maszyna wirtualna - interfejsy przewodowe

  • zalecane: FortiOS w wersji 6.2.4 i wyższej (testowane do 7.4.5)

  • FortiOS w wersji 5.6.0 i wyższej działa jeśli captive portal jest włączony na fizycznym interfejsie, interfejsy VLAN nie są obsługiwane poniżej FortiOS 6.2.4

Dostęp do panelu konfiguracyjnego urządzenia

Niniejszy przewodnik zakłada korzystanie z webowego UI kontrolera, do którego dostęp uzyskujemy wpisując w przeglądarce adres IP urządzenia. Zrzuty ekranu bazują na firmware v5.6.2.

Alternatywnie, jeśli Twoje urządzenie jest zarządzane z FortiCloud, możesz uzyskać dostęp do panelu zarządzania z tego miejsca.

Konfiguracja RADIUS

Przejdź do User & DeviceRADIUS ServersCreate New i użyj następujących ustawień:

NazwaSocial WiFi

Primary Server IP/Name

35.205.62.147

Primary Server Secret

Radius Secret jest dostępny w zakładce Access Points w Social WiFi Panel

Authentication Method

Specify

Method

PAP

OK

"Wzorzec" logowania dla Test Connectivity to: test_RADIUS,

gdzie RADIUS to Radius Secret dostępny w zakładce Access Points Panelu Social WiFi

Dla hasła należy użyć tych samych danych uwierzytelniających.

Na przykład, jeśli twój Radius secret to "myradiussecret", loginem będzie "test_myradiussecret".

Teraz należy zmienić port RADIUS na 31812. Otwórz konsolę CLI (prawy górny róg, między "help" a nazwą użytkownika).

Skopiuj (ctrl+C) i wklej (ctrl+V) lub wpisz następujące polecenia:

config user radius
    edit "Social WiFi"
        set radius-port 31812
    next
end

Następnie zamknij konsolę CLI, klikając przycisk "x" w prawym górnym rogu.

Konfiguracja grupy zdalnej

Przejdź do User & Device → User Groups → Create New i użyj następujących ustawień:

NazwaSocial WiFi - Guest

Type

Firewall

W sekcji Remote Groups kliknij Add, a następnie wybierz Social WiFi z listy rozwijanej Remote Server. Kliknij OK, aby zapisać, a następnie ponownie kliknij OK.

Konfiguracja Walled Garden

Teraz musimy dodać wszystkie usługi, które będą dostępne bez logowania. Lista ta obejmuje stronę logowania Social WiFi oraz usługi logowania społecznościowego innych firm (jak Facebook, Google). Poniższy przewodnik zakłada firmware w wersji 5.6.2, który nie obsługuje domen z symbolami wieloznacznymi (np.) Używanie znaków wieloznacznych zostało dodane w firmware 6.2.2, więc jeśli masz tę wersję lub wyższą, możesz odpowiednio dostosować poniższe kroki.

Sugerowanym sposobem dodania wszystkich wymaganych wpisów jest ponowne użycie CLI do skopiowania (ctrl+C) i wklejenia (ctrl+V) poniższych skryptów. Proszę zauważyć, że skrypt jest podzielony na dwie części, ponieważ istnieje limit długości, którego nie można przekroczyć.

Uwaga: Aby logowanie Google działało, należy dodać regionalne domeny Google zgodnie z lokalizacją. Prosimy o odpowiednią edycję wartości "Social WiFi - Google 1 - regional" poniżej, np. jeśli mieszkasz w Wielkiej Brytanii, dodaj "accounts.google.co.uk".

Część 1:

# Social WiFi main service
config firewall address
    edit "Social WiFi - main 1"
        set type fqdn
        set fqdn "login.socialwifi.com"
    next
    edit "Social WiFi - main 2"
        set type fqdn
        set fqdn "sw-login.com"
    next
end
config firewall addrgrp
    edit "Social WiFI - main"
        set member "Social WiFi - main 1" "Social WiFi - main 2"
    next
end

# Facebook remarketing pixel
config firewall address
    edit "Social WiFi - Facebook pixel 1"
        set type fqdn
        set fqdn "connect.facebook.net"
    next
    edit "Social WiFi - Facebook pixel 2"
        set type fqdn
        set fqdn "www.facebook.com"
    next
end
config firewall addrgrp
    edit "Social WiFI - Facebook pixel"
        set member "Social WiFi - Facebook pixel 1" "Social WiFi - Facebook pixel 2"
    next
end

# Google remarketing tag
config firewall address
    edit "Social WiFi - Google tag 1"
        set type fqdn
        set fqdn "www.googletagmanager.com"
    next
    edit "Social WiFi - Google tag 2"
        set type fqdn
        set fqdn "www.googleadservices.com"
    next
    edit "Social WiFi - Google tag 3"
        set type fqdn
        set fqdn "googleads.g.doubleclick.net"
    next
end
config firewall addrgrp
    edit "Social WiFI - Google tag"
        set member "Social WiFi - Google tag 1" "Social WiFi - Google tag 2" "Social WiFi - Google tag 3"
    next
end

# Google login
config firewall address
    edit "Social WiFi - Google 1 - regional"
        set type fqdn
        set fqdn "accounts.google.co.uk"
    next
    edit "Social WiFi - Google 2"
        set type fqdn
        set fqdn "accounts.google.com"
    next
    edit "Social WiFi - Google 3"
        set type fqdn
        set fqdn "ssl.gstatic.com"
    next
    edit "Social WiFi - Google 4"
        set type fqdn
        set fqdn "fonts.gstatic.com"
    next
    edit "Social WiFi - Google 5"
        set type fqdn
        set fqdn "accounts.youtube.com"
    next
    edit "Social WiFi - Google 6"
        set type fqdn
        set fqdn "content.googleapis.com"
    next
    edit "Social WiFi - Google 7"
        set type fqdn
        set fqdn "apis.google.com"
    next
end
config firewall addrgrp
    edit "Social WiFi - Google"
        set member "Social WiFi - Google 1 - regional" "Social WiFi - Google 2" "Social WiFi - Google 3" "Social WiFi - Google 4" "Social WiFi - Google 5" "Social WiFi - Google 6" "Social WiFi - Google 7"
    next
end

# Facebook login
config firewall address
    edit "Social WiFi - Facebook 1"
        set type fqdn
        set fqdn "www.facebook.com"
    next
    edit "Social WiFi - Facebook 2"
        set type fqdn
        set fqdn "facebook.com"
    next
    edit "Social WiFi - Facebook 3"
        set type fqdn
        set fqdn "static.xx.fbcdn.net"
    next
    edit "Social WiFi - Facebook 4"
        set type fqdn
        set fqdn "external-frt3-2.xx.fbcdn.net"
    next
end
config firewall addrgrp
    edit "Social WiFi - Facebook"
        set member "Social WiFi - Facebook 1" "Social WiFi - Facebook 2" "Social WiFi - Facebook 3" "Social WiFi - Facebook 4"
    next
end

Część 2:

# Twitter login
config firewall address
    edit "Social WiFi - Twitter 1"
        set type fqdn
        set fqdn "twitter.com"
    next
    edit "Social WiFi - Twitter 2"
        set type fqdn
        set fqdn "api.twitter.com"
    next
    edit "Social WiFi - Twitter 3"
        set type fqdn
        set fqdn "pbs.twimg.com"
    next
    edit "Social WiFi - Twitter 4"
        set type fqdn
        set fqdn "abs-0.twimg.com"
    next
    edit "Social WiFi - Twitter 5"
        set type fqdn
        set fqdn "abs.twimg.com"
    next
end
config firewall addrgrp
    edit "Social WiFi - Twitter"
        set member "Social WiFi - Twitter 1" "Social WiFi - Twitter 2" "Social WiFi - Twitter 3" "Social WiFi - Twitter 4" "Social WiFi - Twitter 5"
    next
end

# LinkedIn login
config firewall address
    edit "Social WiFi - LinkedIn 1"
        set type fqdn
        set fqdn "www.linkedin.com"
    next
    edit "Social WiFi - LinkedIn 2"
        set type fqdn
        set fqdn "static-exp1.licdn.com"
    next
    edit "Social WiFi - LinkedIn 3"
        set type fqdn
        set fqdn "media-exp1.licdn.com"
    next
    edit "Social WiFi - LinkedIn 4"
        set type fqdn
        set fqdn "static.licdn.com"
    next
end
config firewall addrgrp
    edit "Social WiFi - LinkedIn"
        set member "Social WiFi - LinkedIn 1" "Social WiFi - LinkedIn 2" "Social WiFi - LinkedIn 3" "Social WiFi - LinkedIn 4"
    next
end

# Group everything in one group
config firewall addrgrp
    edit "Social WiFi"
        set member "Social WiFI - main" "Social WiFI - Facebook pixel" "Social WiFI - Google tag" "Social WiFi - Google" "Social WiFi - Facebook" "Social WiFi - Twitter" "Social WiFi - LinkedIn"
    next
end

Konfiguracja WiFi (interfejs bezprzewodowy)

Przejdź do WiFi & Switch Controller → SSID → Create New → SSID i użyj następujących ustawień.

Jeśli masz już istniejącą sieć WiFi, zamiast tego edytuj ją odpowiednio (możesz pominąć część "Ustawienia WiFi").

Konfiguracja interfejsu:

Nazwa interfejsuSocial WiFi

Type

WiFi SSID

Traffic Mode

Tunnel

IP/Network Mask

10.8.0.1/255.255.0.0

DHCP Server

Enabled

Address Range

Powinien być wstępnie wypełniony, jeśli nie, użyj 10.8.0.2 - 10.8.255.254

Netmask

Powinna być wypełniona, jeśli nie, użyj 255.255.0.0

Ustawienia WiFi:

SSIDSocial WiFi (lub dowolna nazwa, którą preferujesz)

Security Mode

Captive Portal

Portal Type

Authentication

Authentication Portal

External: http://login.socialwifi.com/

User Groups

Social WiFi - Guest

Exempt Destinations/Services

Social WiFi

Redirect after Captive Portal

Original request

OK

Konfiguracja interfejsu (interfejs przewodowy)

Można również uruchomić Social WiFi na przewodowym, fizycznym interfejsie i podłączyć tam punkty dostępu. W tym scenariuszu te punkty dostępu nie muszą być zarządzane przez urządzenie FortiGate.

Przejdź do Network → Interfaces i kliknij dwukrotnie na interfejs, na którym chcesz zainstalować Social WiFi Jeśli interfejs nie był wcześniej konfigurowany, postępuj zgodnie z podstawową konfiguracją interfejsu z poprzedniego kroku, aby skonfigurować adres IP i serwer DHCP.

Przewiń w dół do sekcji Admission Control z rozwijanej listy Security Mode wybierz Captive Portal. Następnie zastosuj następujące ustawienia:

Authentication PortalExternal: http://login.socialwifi.com/

User Access

Restricted to Groups

User Groups

Social WiFi - Guest

Exempt Destinations/Services

Social WiFi

OK

Konfiguracja Firewall

Trzeba zezwolić na ruch od gości korzystających z WiFi, bo domyślna polityka to deny all traffic.

Przejdź do Policy & Objects → IPv4 Policy → Create New i użyj następujących ustawień:

NazwaSocial WiFi Allow Guests

Incoming Interface

Social WiFi (interfejs utworzony lub edytowany w poprzednim punkcie)

Outgoing Interface

wan1 (twój interfejs WAN)

Source

all

Destination

all

Service

ALL

Action

ACCEPT

OK

Dodaj urządzenie do panelu Social WiFi

Konfiguracja sterownika została zakończona. Ostatnim krokiem jest dodanie adresu(ów) MAC do platformy Social WiFi. Zazwyczaj adres MAC będzie wydrukowany na etykiecie na samym urządzeniu. Powinien on być widoczny w GUI, jak również na ekranie interfejsu edycji. Jeśli nie znasz adresu MAC, skontaktuj się z Social WiFi Support.

Teraz przejdź do Social WiFi Panel, przejdź do zakładki Access Points, kliknij przycisk Add i wklej adres(y) MAC. Kliknij Create.

Przetestuj rozwiązanie

Połącz się z siecią WiFi. Powinieneś zobaczyć stronę logowania. Przejdź przez proces logowania i po jego zakończeniu powinieneś mieć dostęp do internetu. W sekcji statystyk Social WiFi Panel powinieneś zobaczyć pierwsze połączenia i autoryzacje.

Last updated