FortiGate / FortiWiFi

Kompatybilność

Social WiFi zostało przetestowane i sprawdza się w następujących konfiguracjach:

FortiWiFi - interfejsy bezprzewodowe

FortiOS w wersji 5.6.0 i wyższej (testowane do 7.0.1)

FortiGate hardware lub maszyna wirtualna - interfejsy przewodowe

zalecane: FortiOS w wersji 6.2.4 i wyższej (testowane do 7.0.1)
FortiOS w wersji 5.6.0 i wyższej działa jeśli captive portal jest włączony na fizycznym interfejsie, interfejsy VLAN nie są obsługiwane poniżej FortiOS 6.2.4

Dostęp do panelu konfiguracyjnego urządzenia

Niniejszy przewodnik zakłada korzystanie z webowego UI kontrolera, do którego dostęp uzyskujemy wpisując w przeglądarce adres IP urządzenia. Zrzuty ekranu bazują na firmware v5.6.2.

Alternatywnie, jeśli Twoje urządzenie jest zarządzane z FortiCloud, możesz uzyskać dostęp do panelu zarządzania z tego miejsca.

Konfiguracja RADIUS

Przejdź do User & Device → RADIUS Servers → Create New i użyj następujących ustawień:

Nazwa	Social WiFi
Primary Server IP/Name	35.205.62.147
Primary Server Secret	Radius Secret jest dostępny w zakładce Access Points w Social WiFi Panel
Authentication Method	Specify
Method	PAP
OK

Nazwa

Social WiFi

Primary Server IP/Name

35.205.62.147

Primary Server Secret

Radius Secret jest dostępny w zakładce Access Points w Social WiFi Panel

Authentication Method

Specify

Method

PAP

"Wzorzec" logowania dla Test Connectivity to: test_RADIUS,

gdzie RADIUS to Radius Secret dostępny w zakładce Access Points Panelu Social WiFi

Dla hasła należy użyć tych samych danych uwierzytelniających.

Na przykład, jeśli twój Radius secret to "myradiussecret", loginem będzie "test_myradiussecret".

Teraz należy zmienić port RADIUS na 31812. Otwórz konsolę CLI (prawy górny róg, między "help" a nazwą użytkownika).

Skopiuj (ctrl+C) i wklej (ctrl+V) lub wpisz następujące polecenia:

config user radius
    edit "Social WiFi"
        set radius-port 31812
    next
end

Następnie zamknij konsolę CLI, klikając przycisk "x" w prawym górnym rogu.

Konfiguracja grupy zdalnej

Przejdź do User & Device → User Groups → Create New i użyj następujących ustawień:

Nazwa	Social WiFi - Guest
Type	Firewall

Nazwa

Social WiFi - Guest

Type

Firewall

W sekcji Remote Groups kliknij Add, a następnie wybierz Social WiFi z listy rozwijanej Remote Server. Kliknij OK, aby zapisać, a następnie ponownie kliknij OK.

Konfiguracja Walled Garden

Teraz musimy dodać wszystkie usługi, które będą dostępne bez logowania. Lista ta obejmuje stronę logowania Social WiFi oraz usługi logowania społecznościowego innych firm (jak Facebook, Google). Poniższy przewodnik zakłada firmware w wersji 5.6.2, który nie obsługuje domen z symbolami wieloznacznymi (np.) Używanie znaków wieloznacznych zostało dodane w firmware 6.2.2, więc jeśli masz tę wersję lub wyższą, możesz odpowiednio dostosować poniższe kroki.

Sugerowanym sposobem dodania wszystkich wymaganych wpisów jest ponowne użycie CLI do skopiowania (ctrl+C) i wklejenia (ctrl+V) poniższych skryptów. Proszę zauważyć, że skrypt jest podzielony na dwie części, ponieważ istnieje limit długości, którego nie można przekroczyć.

Uwaga: Aby logowanie Google działało, należy dodać regionalne domeny Google zgodnie z lokalizacją. Prosimy o odpowiednią edycję wartości "Social WiFi - Google 1 - regional" poniżej, np. jeśli mieszkasz w Wielkiej Brytanii, dodaj "accounts.google.co.uk".

Część 1:

# Social WiFi main service
config firewall address
    edit "Social WiFi - main 1"
        set type fqdn
        set fqdn "login.socialwifi.com"
    next
    edit "Social WiFi - main 2"
        set type fqdn
        set fqdn "sw-login.com"
    next
end
config firewall addrgrp
    edit "Social WiFI - main"
        set member "Social WiFi - main 1" "Social WiFi - main 2"
    next
end

# Facebook remarketing pixel
config firewall address
    edit "Social WiFi - Facebook pixel 1"
        set type fqdn
        set fqdn "connect.facebook.net"
    next
    edit "Social WiFi - Facebook pixel 2"
        set type fqdn
        set fqdn "www.facebook.com"
    next
end
config firewall addrgrp
    edit "Social WiFI - Facebook pixel"
        set member "Social WiFi - Facebook pixel 1" "Social WiFi - Facebook pixel 2"
    next
end

# Google remarketing tag
config firewall address
    edit "Social WiFi - Google tag 1"
        set type fqdn
        set fqdn "www.googletagmanager.com"
    next
    edit "Social WiFi - Google tag 2"
        set type fqdn
        set fqdn "www.googleadservices.com"
    next
    edit "Social WiFi - Google tag 3"
        set type fqdn
        set fqdn "googleads.g.doubleclick.net"
    next
end
config firewall addrgrp
    edit "Social WiFI - Google tag"
        set member "Social WiFi - Google tag 1" "Social WiFi - Google tag 2" "Social WiFi - Google tag 3"
    next
end

# Google login
config firewall address
    edit "Social WiFi - Google 1 - regional"
        set type fqdn
        set fqdn "accounts.google.co.uk"
    next
    edit "Social WiFi - Google 2"
        set type fqdn
        set fqdn "accounts.google.com"
    next
    edit "Social WiFi - Google 3"
        set type fqdn
        set fqdn "ssl.gstatic.com"
    next
    edit "Social WiFi - Google 4"
        set type fqdn
        set fqdn "fonts.gstatic.com"
    next
    edit "Social WiFi - Google 5"
        set type fqdn
        set fqdn "accounts.youtube.com"
    next
    edit "Social WiFi - Google 6"
        set type fqdn
        set fqdn "content.googleapis.com"
    next
    edit "Social WiFi - Google 7"
        set type fqdn
        set fqdn "apis.google.com"
    next
end
config firewall addrgrp
    edit "Social WiFi - Google"
        set member "Social WiFi - Google 1 - regional" "Social WiFi - Google 2" "Social WiFi - Google 3" "Social WiFi - Google 4" "Social WiFi - Google 5" "Social WiFi - Google 6" "Social WiFi - Google 7"
    next
end

# Facebook login
config firewall address
    edit "Social WiFi - Facebook 1"
        set type fqdn
        set fqdn "www.facebook.com"
    next
    edit "Social WiFi - Facebook 2"
        set type fqdn
        set fqdn "facebook.com"
    next
    edit "Social WiFi - Facebook 3"
        set type fqdn
        set fqdn "static.xx.fbcdn.net"
    next
    edit "Social WiFi - Facebook 4"
        set type fqdn
        set fqdn "external-frt3-2.xx.fbcdn.net"
    next
end
config firewall addrgrp
    edit "Social WiFi - Facebook"
        set member "Social WiFi - Facebook 1" "Social WiFi - Facebook 2" "Social WiFi - Facebook 3" "Social WiFi - Facebook 4"
    next
end

Część 2:

# Twitter login
config firewall address
    edit "Social WiFi - Twitter 1"
        set type fqdn
        set fqdn "twitter.com"
    next
    edit "Social WiFi - Twitter 2"
        set type fqdn
        set fqdn "api.twitter.com"
    next
    edit "Social WiFi - Twitter 3"
        set type fqdn
        set fqdn "pbs.twimg.com"
    next
    edit "Social WiFi - Twitter 4"
        set type fqdn
        set fqdn "abs-0.twimg.com"
    next
    edit "Social WiFi - Twitter 5"
        set type fqdn
        set fqdn "abs.twimg.com"
    next
end
config firewall addrgrp
    edit "Social WiFi - Twitter"
        set member "Social WiFi - Twitter 1" "Social WiFi - Twitter 2" "Social WiFi - Twitter 3" "Social WiFi - Twitter 4" "Social WiFi - Twitter 5"
    next
end

# LinkedIn login
config firewall address
    edit "Social WiFi - LinkedIn 1"
        set type fqdn
        set fqdn "www.linkedin.com"
    next
    edit "Social WiFi - LinkedIn 2"
        set type fqdn
        set fqdn "static-exp1.licdn.com"
    next
    edit "Social WiFi - LinkedIn 3"
        set type fqdn
        set fqdn "media-exp1.licdn.com"
    next
    edit "Social WiFi - LinkedIn 4"
        set type fqdn
        set fqdn "static.licdn.com"
    next
end
config firewall addrgrp
    edit "Social WiFi - LinkedIn"
        set member "Social WiFi - LinkedIn 1" "Social WiFi - LinkedIn 2" "Social WiFi - LinkedIn 3" "Social WiFi - LinkedIn 4"
    next
end

# Group everything in one group
config firewall addrgrp
    edit "Social WiFi"
        set member "Social WiFI - main" "Social WiFI - Facebook pixel" "Social WiFI - Google tag" "Social WiFi - Google" "Social WiFi - Facebook" "Social WiFi - Twitter" "Social WiFi - LinkedIn"
    next
end

Konfiguracja WiFi (interfejs bezprzewodowy)

Przejdź do WiFi & Switch Controller → SSID → Create New → SSID i użyj następujących ustawień.

Jeśli masz już istniejącą sieć WiFi, zamiast tego edytuj ją odpowiednio (możesz pominąć część "Ustawienia WiFi").

Konfiguracja interfejsu:

Nazwa interfejsu	Social WiFi
Type	WiFi SSID
Traffic Mode	Tunnel
IP/Network Mask	10.8.0.1/255.255.0.0
DHCP Server	Enabled
Address Range	Powinien być wstępnie wypełniony, jeśli nie, użyj 10.8.0.2 - 10.8.255.254
Netmask	Powinna być wypełniona, jeśli nie, użyj 255.255.0.0

Nazwa interfejsu

Social WiFi

Type

WiFi SSID

Traffic Mode

Tunnel

IP/Network Mask

10.8.0.1/255.255.0.0

DHCP Server

Enabled

Address Range

Powinien być wstępnie wypełniony, jeśli nie, użyj 10.8.0.2 - 10.8.255.254

Netmask

Powinna być wypełniona, jeśli nie, użyj 255.255.0.0

Ustawienia WiFi:

SSID	Social WiFi (lub dowolna nazwa, którą preferujesz)
Security Mode	Captive Portal
Portal Type	Authentication
Authentication Portal	External: http://login.socialwifi.com/
User Groups	Social WiFi - Guest
Exempt Destinations/Services	Social WiFi
Redirect after Captive Portal	Original request
OK

SSID

Social WiFi (lub dowolna nazwa, którą preferujesz)

Security Mode

Captive Portal

Portal Type

Authentication

Authentication Portal

External: http://login.socialwifi.com/

User Groups

Social WiFi - Guest

Exempt Destinations/Services

Social WiFi

Redirect after Captive Portal

Original request

Konfiguracja interfejsu (interfejs przewodowy)

Można również uruchomić Social WiFi na przewodowym, fizycznym interfejsie i podłączyć tam punkty dostępu. W tym scenariuszu te punkty dostępu nie muszą być zarządzane przez urządzenie FortiGate.

Przejdź do Network → Interfaces i kliknij dwukrotnie na interfejs, na którym chcesz zainstalować Social WiFi Jeśli interfejs nie był wcześniej konfigurowany, postępuj zgodnie z podstawową konfiguracją interfejsu z poprzedniego kroku, aby skonfigurować adres IP i serwer DHCP.

Przewiń w dół do sekcji Admission Control z rozwijanej listy Security Mode wybierz Captive Portal. Następnie zastosuj następujące ustawienia:

Authentication Portal	External: http://login.socialwifi.com/
User Access	Restricted to Groups
User Groups	Social WiFi - Guest
Exempt Destinations/Services	Social WiFi
OK

Authentication Portal

External: http://login.socialwifi.com/

User Access

Restricted to Groups

User Groups

Social WiFi - Guest

Exempt Destinations/Services

Social WiFi

Konfiguracja Firewall

Trzeba zezwolić na ruch od gości korzystających z WiFi, bo domyślna polityka to deny all traffic.

Przejdź do Policy & Objects → IPv4 Policy → Create New i użyj następujących ustawień:

Nazwa	Social WiFi Allow Guests
Incoming Interface	Social WiFi (interfejs utworzony lub edytowany w poprzednim punkcie)
Outgoing Interface	wan1 (twój interfejs WAN)
Source	all
Destination	all
Service	ALL
Action	ACCEPT
OK

Nazwa

Social WiFi Allow Guests

Incoming Interface

Social WiFi (interfejs utworzony lub edytowany w poprzednim punkcie)

Outgoing Interface

wan1 (twój interfejs WAN)

Source

all

Destination

all

Service

ALL

Action

Konfiguracja sterownika została zakończona. Ostatnim krokiem jest dodanie adresu(ów) MAC do platformy Social WiFi. Zazwyczaj adres MAC będzie wydrukowany na etykiecie na samym urządzeniu. Powinien on być widoczny w GUI, jak również na ekranie interfejsu edycji. Jeśli nie znasz adresu MAC, skontaktuj się z Social WiFi Support.

Teraz przejdź do Social WiFi Panel, przejdź do zakładki Access Points, kliknij przycisk Add i wklej adres(y) MAC. Kliknij Create.

Przetestuj rozwiązanie

Połącz się z siecią WiFi. Powinieneś zobaczyć stronę logowania. Przejdź przez proces logowania i po jego zakończeniu powinieneś mieć dostęp do internetu. W sekcji statystyk Social WiFi Panel powinieneś zobaczyć pierwsze połączenia i autoryzacje.

PreviousFortinet NextFortiAP

Last updated 24 days ago