FortiAP:FAQ
FortiAP:FAQ
Vorwort
Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:
http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)
FortiOS 4 MR3
Datei:Fortigate-wireless-40-mr3.pdf (FortiOS Handbook v3 for FortiOS 4.0 MR3 "Deploying Wireless Networks")
Datei:FortiOS 4MR3 Wireless Controller Overview v4.pdf (FortiOS 4.0 MR3 Wireless Controller Overview)
FortiOS 5.0
Datei:Fortigate-wireless-50.pdf (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.0)
Datei:Wirless-technical-training-FOS-5.0-update-v2.pptx (FortiOS 5.0 "Wireless Technical Training")
FortiOS 5.2
Datei:Fortigate-wireless-52.pdf (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.2)
Cookbook Supplementary Recipes FortiOS 5.0 / 5.2:
Datei:Extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf (Extending the range of a wireless network byusing mesh topology)
Datei:Using-a-fortiap-in-bridge-mode-to-add-wireless-access.pdf (Using a FortAP in Bridge mode to add wireless access)
Datei:Using-a-fortiap-in-tunnel-mode-to-add-wireless-access.pdf (Using a FortAP in Tunnel mode to add wireless access)
Datei:Using-MAC-access-control-to-allow-access-to-the-wireless-network.pdf (Using MAC access control to allow access to the wireless network)
Datei:FortiAP Technical FAQ - January 2014.pdf (FortiAP Technical FAQ) Datei:Fortinet Secure WLAN FAQ.pdf (Secure Wireless LAN (WLAN) Solution) Datei:Secure WLAN Sales Presentation R1.pptx (The Fortinet Secure WLAN Presentation) Datei:Securing Wireless Networks for PCI.pdf (Securing Wireless Networks for PCI Compliance)
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Wo finde ich eine Uebersicht über die FortiAP Produkte?
Die beste Uerbsicht der FortiAP Produkte bietet die folgenden Dokumente/Links:
Fortinet:ProduktInfo#Fortinet_Produkt-Guide Fortinet:ProduktInfo#Fortinet_Produkt-Matrix
Desweiteren hat Fortinet eine Wireless Brochure Relased die einen grobe Uebersicht bietet:
Datei:Wireless Brochure.pdf (Unified Access LayerArchitecture)
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Das Consolen Kabel das für ein FortiAP Consolen Anschluss verwendet wird -sofern vorhanden- ist identisch mit dem Consolen Kabel das für eine Fortigate verwendet wird. Weitere Informationen siehe nachfolgender Artikel
Fortigate:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Verfügen alle FortiGate Devices über einen Wireless Controller?
Grundsätzlich verfügen alle FortiGate Geräte über einen Wireless Controller mit Aussnahme von:
FortiGate 20C
FortiGate 30D
NOTE Ab FortiOS 5.0.6 / 5.2 wurde der 30D die Möglichkeit gegeben den Wirless Controller zu verwenden.
Ebenfalls kann die 30D ab dieser Version 2 FortiAP's managen! Weitere Informationen betreffend der
Verwendung einer 30D siehe nachfolgender Artikel:
Fortigate:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_beim_Betrieb_einer_FortiGate_30D.3F
Diese FortiGate's die über einen Wireless Controller verfügen können für eine bestimmte Anzahl FortiAP's benützt werden. Folgender Artikel gibt Auskunft über die Anzahl FortiAP's die mit einem entsprechenden FortiGate Devices konfiguriert werden können sowie was zu berücksichtigen ist:
FortiAP:FAQ#Wieviele_FortiAP_k.C3.B6nnen_.C3.BCber_eine_FortiGate_konfiguriert_werden.3F
Wieso kann ein FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten?
Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:
FortiAP:FAQ#Was_ist_mit_802.11AC_MU-MiMo_gemeint.3F)
In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:
# cw_diag -c radio-cfg
Radio 0: AP
country : cfg=CH oper=CH
radio type : 11N_2.4G
beacon intv : 100
tx power : 15
HT param : mcs=23 gi=disabled bw=20MHz
ack timeout : 64
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=6 age=25011
channel : num=6
oper_chan : 6
r_ac md_cap : 2, 6, 10,
r_ac chan list : 2, 6, 10,
chan list : 2, 6, 10,
hw_chan list : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
nol list :
ap scan : background regular scan,
ap scan period : 600s
ap scan intv : 1s
ap scan dur : 20ms
ap scan idle : 0ms
ap scan rpt tmr: 30s
sta scan : enabled
arrp : enabled --info only
spect analysis : disabled
wids : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
long-dur-thresh: 8200
auth-flood: time=10, thresh=30
assoc-flood: time=10, thresh=30
Radio 1: AP
country : cfg=CH oper=CH
radio type : 11AC
beacon intv : 100
tx power : 31
VHT param : mcs=9 gi=disabled bw=80MHz
ack timeout : 25
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=0 age=68299
channel : num=0
oper_chan : 36
r_ac md_cap : 36, 40, 44, 48,
r_ac chan list : 36, 40, 44, 48,
chan list : 36, 40, 44, 48,
hw_chan list : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
128, 132, 136, 140,
nol list :
ap scan : disabled,
sta scan : disabled
arrp : disabled --info only
spect analysis : disabled
wids : disabled
Der eingesetzte MCS Index bestimmt wiederum den max. Durchsatz gemäss unteren Tabelle:
NOTE Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer
Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche
Umgebungsvariablen 100% stimmen!
Datei:Fortinet-718.jpg
Was ist die max. Anzahl User die auf einem FortiAP verbunden werden können?
Nun die FortiAP's unterliegen keinem Limit! Eine Limitation betreffend User kann über die jeweilige SSID im Web Mgmt. Interface über folgende Position konfiguriert werden:
WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients
Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen (Quelle: Datei:FortiAP Technical FAQ - January 2014.pdf):
3-7 - For a direct wire replacement.
8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
>50 - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.
Wieviele FortiAP können über eine FortiGate konfiguriert werden?
Bis FortiOS 5.0.2 gab nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAP's die über eine FortiGate konfiguriert werden konnte:
Produkte Matrix
Ab FortiOS 5.0.3 gibt es eine Aenderung dh. die Anzahl der FortiAP's wurden je Device verdoppelt. Dies bedeutet es wird unterschieden zwischen FortiAP die "tunneling" (SSID = Tunnel to Wireless Controller) konfiguriert werden und solche die über ein "local bridging" (SSID = Local bridge with FortiAP's Interface) verfügen (set wtp-mode remote). Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID versieht die auf "local bridging" konfiguriert ist, zählt dieser FortiAP nicht "tunneling" FortiAP'. Dies gilt jedoch "nur" wenn ausschliesslich nur diese SSID auf dem entsprechenden FortiAP benützt wird. Wird auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als lokaler FortiAP. Wenn man einen FortiAP konfiguriert mit einer "local bridging" SSID und dieser deklariert werden soll als "NICHT" "tunneling" FortiAP kann man die entsprechenden Serien Nummer dieses FortiAP auf "set wtp-mode remote" setzen. Dies geschieht folgendermassen:
# config wireless-controller wtp
# edit [Gebe die entsprechende Serial Nummer des FAP an]
# set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
# end
NOTE Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging enable" gesetzt
erscheint folgende Meldung:
Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'
Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FAP's sowie "local bridging":
NOTE Die offizielle Information betreffend "tunneling/local bridging" möglichen FAP's auf einer FortiGate findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel: Fortigate:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Fortinet hat ein Dokument herausgegeben in dem der Umstand dieser Aenderung erklärt wird:
Datei:Maximum Number of Managed FortiAPs in FortiOS 5 0 3 FAQ - August 2013 v1 r5.pdf
Wo finde ich eine Uebersicht ob ein FortiAP mit PowerAdapter geliefert wird oder PoE unterstützt?
FortiAP's werden teilweise mit -jedoch teilweise auch ohne- PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAP's mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter -die für fast alle FortiAP's erhältlich sind- aufgeführt:
Datei:Fortient-714.jpg
Nachfolgend eine weitere Uebersicht:
Datei:Fortient-1079.jpg
Meine Fortinet Access Points haben nicht die übliche gewohnte MAC Adresse 00:09:0F?
Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht näheren Gründen werden neu Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann -muss jedoch nicht- zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist/sind. Um diese Probleme zu verhindern ist zu beachten, dass man mind. FortiOS 5.0.3 oder höher auf den Access Points einsetzt da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn Dem nicht Rechnung getragen wird, kann durch den Umstand der neue MAC Adresse im Zusammenhang mit FortiOS 5.0.2 zu Problemen kommen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf
Kann ich einen FortiAP für die "Authorization" auf dem Wireless Controller vorbereiten?
Ab FortiOS 5.0.5 ist es möglich einen FortiAP zu Pre-Authentifizieren! Dies bedeutet folgendes: Normalerweise meldet sich ein FortiAP über CAPWAP (UDP 5246) beim Wireless Controller. Danach wird manuell der FortiAP mit "Authorization" Authorisiert. Neu ab FortiOS 5.0.5 / 5.2 ist es möglich diesen Schritt zu automatisieren dh. den FortiAP für eine "Authorization" anhand seiner Serien Nummer so vorzubereiten, dass dieser durch diesen Schritt automatisch Authorisiert wird. Dies wird folgendermassen durchgeführt:
WiFiw Controller > Managed Access Points > Managed FortiAPs > Create New
NOTE Unter FortiOS 5.2 kann die komplette Konfiguration eines FortiAP durchgeführt werden dh. inkl.
des entsprechenden WTP Profile!
FortiCare
Muss ich für die "Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?
Nicht in jedem Fall! Die Fortinet hat im März 2014 folgendes Dokument released:
Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf
Dieses Dokument besagt folgendes:
Jeder FortiAP der NACH 1. November 2013 gekauft/registriert wurde (purchased after November
1st 2013) benötigt KEIN FortiCare mehr und hat LifeTime Waranty (Lebenslängliche Garantie).
LifeTime Waranty bedeutet wiederum 5 Jahre nach EOL (End Of Life Announcement).
Alle Geräte "vor" dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden.
NOTE Was zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im
Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich NICHT auf:
- Firmware Upgrade
- Technischer Support (Ticketing)
Um "FIrmware Upgrade's" durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt
man weiterhin "FortiCare" dh. ohne FortiCare sind Firmware Upgrades nicht abgedeckt sowie können
keine technischen Support Tickets eröffnet werden!
Antenna
Kann man die FortiAP mit externen Antenna's nach-/ausrüsten?
Grunsätzlich ist dies möglich dh. das FortiAP Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datashhet eruiert werden:
Fortinet:ProduktInfo#FortiWiFi Fortinet:ProduktInfo#FortiAP
Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:
Fortinet:ProduktInfo#FortiAntenna
Was ist zu beachten wenn ein FortiAP mit einer externen Antenne ausgerüstet wird?
Eine externe Antenne "verteilt" das Signal nur dh. es verstärkt dieses nicht! Die Antennen "verteilen" das Signal in Ihrer speziellen Art und Weise. Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:
http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de
Welchen Anschluss benützt eine FortiWifi/FortiAP für den externe Antenna Anschluss?
Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:
Fortinet:ProduktInfo#FortiWiFi Fortinet:ProduktInfo#FortiAP
Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:
https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder
Gibt es von Fortinet eine "omnidirect" externe Antenne?
"Omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antenna gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:
Fortinet:ProduktInfo#FortiAntenna
FortiAP-OS
Wo wird die "Standard" Konfiguration eines FortiAP OS manipuliert und gestartet?
Ein FortiAP OS ist basierend auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0) Dies bedeutet Prozesse und/oder Deamons werden über die zuständigen RC Level (Start Scripts) abgewickelt. Diese RC Level -die wiederum einfach Scripts darstellen- lesen konfigurations Dateien aus um die nötige Konfiguration durchzuführen. Die RC Leves befinden sich im Verzeichnis:
/etc/rc.d/
Die Konfigurations Dateien befinden sich im folgenden Verzeichnis:
/etc/ath
In diesem Verzeichnis existieren folgende Files die für folgende Konfiguration zuständig sind:
dflt.cfg (Standard Konfiguration)
# more /etc/ath/dflt.cfg
--------------- output dflt.cfg ---------------
## Default values of FAP cfg variables
## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
## Add an entry like: CFG_VAR_NAME_DFLT=DFLT_VALUE
## Don't include "" in DFLT_VALUE
BAUD_RATE_DFLT=9600
FIRMWARE_UPGRADE_DFLT=0
ADMIN_TIMEOUT_DFLT=5
ADDR_MODE_DFLT=DHCP
STP_MODE_DFLT=0
AP_IPADDR_DFLT=192.168.1.2
AP_NETMASK_DFLT=255.255.255.0
IPGW_DFLT=192.168.1.1
DNS_SERVER_DFLT=208.91.112.53
AP_MGMT_VLAN_ID_DFLT=0
WAN_MODE_DFLT=bridged
WAN_IPADDR_DFLT=192.168.2.1
WAN_NETMASK_DFLT=255.255.255.0
TELNET_ALLOW_DFLT=0
HTTP_ALLOW_DFLT=1
AC_DISCOVERY_TYPE_DFLT=0
AC_IPADDR_1_DFLT=192.168.1.1
AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
AC_CTL_PORT_DFLT=5246
AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
AC_PLAIN_CTL_DFLT=0
AC_DATA_CHAN_SEC_DFLT=2
MESH_AP_TYPE_DFLT=0
MESH_AP_MODE_DFLT=0
MESH_AP_SSID_DFLT=fortinet.mesh.root
MESH_AP_BSSID_DFLT=
MESH_AP_PASSWD_DFLT=fortinet.mesh.root
MESH_ETH_BRIDGE_DFLT=0
MESH_MAX_HOPS_DFLT=4
MESH_SCORE_HOP_WEIGHT_DFLT=50
MESH_SCORE_CHAN_WEIGHT_DFLT=1
MESH_SCORE_RATE_WEIGHT_DFLT=1
MESH_SCORE_BAND_WEIGHT_DFLT=100
MESH_SCORE_RSSI_WEIGHT_DFLT=100
--------------- output dflt.cfg ---------------
apcfg (Benutzerspezifische Konfiguration)
# more /etc/ath/apcfg
--------------- output dflt.cfg ---------------
###################################################################################
## apcfg
##
## Configuration file for Atheros AP.
## This file will "predefine" default configuration data for the AP. This
## will first read all configuration data from flash (cfg -E), then fill in any
## defaults that are missing. Thus the defaults will appear on the web pages
## even if the configuration store has been cleared.
##
###################################################################################
##
## Get the current settings from flash/cache area
##
cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$
source /etc/ath/dflt.cfg
##
## Set Network configuration
##
## AP_IPADDR = IP address of the bridge
## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
## WAN_MODE = bridged for attached to bridged, Get address if dhcp, fixed address
## if static
##
###################################################################################
if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
cfg -a FIRMWARE_UPGRADE=0
cfg -c
if [ ${LOGIN_PASSWD_ENC} ]; then
cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
fi
fi
cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
##
## Set WTP configuration
##
cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
##
## Set MESH configuration
##
cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
if test ${MESH_AP_PASSWD+defined}
then
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
else
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
fi
cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
_DFLT}} T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
#
# Account for S26 peculiarity
#
export WAN_IF=eth1
export LAN_IF=eth0
#
# Indicate if you want the WLAN to be activated on boot up.
#
cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
#
# AP Start Mode
# This can be overridded by environmental variables
# Modes can be
# standard := standard single AP start mode
# rootap := WDS root AP for WDS modes
#reptater-ind := WDS repeater station independent mode
# client := WDS "virtual wire" client
# multi := Multiple BSSID with all encryption types
# dual := Dual concurrent, automatically configure interface
# stafwd := Station mode with address forwarding enabled
#
#
cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
#################################################################################
## Default Parameters
## If these are not set explictly by exporting environmental variables, the following
## Defaults will be applied
#################################################################################
#
# AP_PRIMARY_CH could be
# 11na (which means auto-scan in 11na mode) or
# 11ng (which means auto-scan in 11ng mode)
cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
##
## Set up the channel for dual mode
##
cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
##
## This is for pure G or pure N operations. Hmmmm...
##
cfg -a PUREG=${PUREG:=0}
cfg -a PUREN=${PUREN:=0}
##
## Channel Configuration Section
##
cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
cfg -a SHORTGI=${SHORTGI:=1}
cfg -a SHORTGI_2=${SHORTGI_2:=1}
#
# Aggregation. First parameter enables/disables,
# second parameter sets the size limit
#
cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
cfg -a AMPDUMIN=${AMPDUMIN:=32768}
cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
cfg -a CWMMODE=${CWMMODE:=1}
cfg -a CWMMODE_2=${CWMMODE_2:=1}
cfg -a RATECTL=${RATECTL:="auto"}
cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
##
## AP Identification Section
##
cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
if [ "${AP_STARTMODE}" = "dual" ]; then
cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
fi
##
## Set the default modes for multi configuration
## Set default security modes
## Set default secfile to PSK, only valid in WPA mode
## Default keys are Decimal (NOT hex)
##
export MAX_VAPS_PER_RADIO=4
_1
## trailer - it's not a VAP number, it's the number of the key. This is done for-More-- (73% of 8884 bytes)
## both radios.
##
my_wep_keys="_1 _2 _3 _4"
for i in $my_wep_keys;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
done
##
## Now, for each radio, set the primary key and the mode value
##
cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
my_vaps=" _2 _3 _4 _5 _6 _7 _8"
for i in $my_vaps;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_AP_MODE="AP_MODE$i"
ITER_AP_SECMODE="AP_SECMODE$i"
ITER_AP_SECFILE="AP_SECFILE$i"
ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
eval ITER_MODE=\$$ITER_AP_MODE
eval ITER_SECMODE=\$$ITER_AP_SECMODE
eval ITER_SECFILE=\$$ITER_AP_SECFILE
eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
done LE=${ITER_WPS_ENABLE:="0"}
##
## Export the variables again to catch the defaults
##
cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$
##
## Set the proper radio parameter values depending on the
## interface selected. These are exported vice included
## in cache. These should really be in apup vice here,
## but this works OK.
##
for i in $my_vaps;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_RADIO_ID="AP_RADIO_ID$i"
eval ITER_RADIO_ID=\$$ITER_RADIO_ID
if [ "${ITER_RADIO_ID}" = "1" ]; then
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
else
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
fi
done
#####################################################################################
## The following parameters are board specific, and should not be modified
#####################################################################################
export ATH_use_eeprom=0
--------------- output dflt.cfg ---------------
Wo befinden sich die Standard Certificate eines FortiAP OS?
Die Zertifikate auf einem FortiAP sind wichtig und sollten NIE manipuliert werden! Dies bedeutet: anhand dieser Zertifikate wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS Verschlüsselung etabliert. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_bedeutet_.22WiFi_Data_Channel_Encryption.22_.28DTLS.29_und_wie_konfiguriere_ich_Diese.3F
Die Zertifikate befinden sich im folgenden Verzeichnis:
/etc/cert
/etc/fgt.crt
/etc/fgt.key
Wo befindet sich das "root" des WebServers auf einem FortiAP-OS?
Bei FortiOS 5.0 / 5.2 wird ein Web Mgmt. Interface auf dem FortiAP zur Verfügung gestellt. Dieses ermöglicht einem Administrator einige der FAP Konfiguration über dieses Web Mgmt. Interface einzugeben. Das Web "root" dieses WebInterface befindet sich auf dem FortAP-OS im folgenden Verzeichnis:
/usr/www
Welche Befehle können auf einem FortiAP OS benützt werden?
Ein FortiAP basiert auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Bei FortiOS 4.3.x basierenden Systemen war der Zugriff auf Linux Kommandos nicht möglich und nur die "build-in" Kommandos (cfg -a) standen zur Verfügung. Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Kommandos abgesetzt werden wie zB
ifconfig
more
cd
Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:
/bin
/sbin
# ls -la /bin
--------------- output /bin ---------------
drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ash -> busybox
-rwxr-xr-x 1 admin root 1143436 Dec 11 00:54 busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cat -> busybox
lrwxrwxrwx 1 admin root 24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 chmod -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cp -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 date -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 df -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 dmesg -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 echo -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 egrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 factoryreset -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 fgrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 grep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ip -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 iproute -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 kill -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ln -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 login -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ls -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mkdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 more -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mv -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ping -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ps -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 pwd -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rm -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rmdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sh -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sleep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sync -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 touch -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 umount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 uname -> busybox
--------------- output /bin ---------------
# ls -al /sbin
--------------- output /sbin ---------------
drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
-rw-r--r-- 1 admin root 0 Dec 11 00:35 .dummy
-rwxr-xr-x 1 admin root 12128 Dec 11 00:54 apstart
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 arp -> ../bin/busybox
-rwxr-xr-x 1 admin root 1348400 Dec 11 00:54 cwWtpd
-rwxr-xr-x 1 admin root 6096 Dec 11 00:54 cw_debug
lrwxrwxrwx 1 admin root 6 Dec 11 00:54 cw_diag -> cwWtpd
-rwxr-xr-x 1 admin root 2534 Dec 11 00:46 cw_test_led
-rwxr-xr-x 1 admin root 3727 Dec 11 00:46 cw_test_radio
-rwxr-xr-x 1 admin root 4652 Dec 11 00:54 diag_console_debug
-rwxr-xr-x 1 admin root 5084 Dec 11 00:54 diag_debug_crashlog
-rwxr-xr-x 1 admin root 3932 Dec 11 00:54 ebtables
-rwxr-xr-x 1 admin root 9508 Dec 11 00:54 fap-factory-license
-rwxr-xr-x 1 admin root 4892 Dec 11 00:54 fap-get-status
-rwxr-xr-x 1 admin root 4484 Dec 11 00:54 fap-mount-udisk
-rwxr-xr-x 1 admin root 5956 Dec 11 00:54 fap-set-hostname
-rwxr-xr-x 1 admin root 4148 Dec 11 00:54 fap-umount-udisk
-rwxr-xr-x 1 admin root 74220 Dec 11 00:54 fsd
-rwxr-xr-x 1 admin root 11012 Dec 11 00:54 get
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 getty -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 halt -> ../bin/busybox
-rwxr-xr-x 1 admin root 4408 Dec 11 00:54 help
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 ifconfig -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 init -> ../bin/busybox
-rwxr-xr-x 1 admin root 3724 Dec 11 00:54 init_sys_shm
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 insmod -> ../bin/busybox
-rwxr-xr-x 1 admin root 21584 Dec 11 00:54 iwconfig
-rwxr-xr-x 1 admin root 25304 Dec 11 00:54 iwlist
-rwxr-xr-x 1 admin root 11352 Dec 11 00:54 iwpriv
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 lsmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 modprobe -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 poweroff -> ../bin/busybox
-rwxr-xr-x 1 admin root 12548 Dec 11 00:54 radartool
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 reboot -> ../bin/busybox
-rwxr-xr-x 1 admin root 61 Dec 11 00:49 repeater_pass_configuration
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 restore
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 rmmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 route -> ../bin/busybox
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 setcfg
-rwxr-xr-x 1 admin root 9268 Dec 11 00:54 startup_fw
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 udhcpc -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 upgrade -> ../bin/busybox
-rwxr-xr-x 1 admin root 105972 Dec 11 00:54 usbmuxd
-rwxr-xr-x 1 admin root 19848 Dec 11 00:54 wlanconfig
-rwxr-xr-x 1 admin root 244180 Dec 11 00:54 wpa_supplicant
--------------- output /sbin ---------------
Grundsetup
Wie nehme ich ein Fortinet Access Point in Betrieb und konfiguriere ich diesen?
Das nachfolgende Beispiel zeigt wie man einen FortiAccess Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:
WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 192.168.3.1 | FAP 220B |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 192.168.1.99
LAN
Wenn ein FortiAccess Point an ein Interface/Segment auf der FortiGate angeschlossen wird versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment einen Wireless Controller zu erreichen. Wenn dieser Wireless Controller erreicht werden kann wird über diesen Wireless Controller per DHCP Server dem FortiAccess Point eine IP Adresse zugewiesen. Diese IP Adresse wird "nur" genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten. Es wird empfohlen -unter normalen Umständen- ein seperates Interface auf der FortiGate zu nutzen um über dieses dezidiert die ForitAccess Point's zu verwalten. In unserem Beispiel wäre dies das DMZ Interface mit dem IP Range 192.168.3.0/24:
Konfigurieren des DMZ Interfaces mit entsprechenden DHCP Server
System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
NOTE Damit der Wireless Controller CAPWAP Anfragen entgegen nimm aus diesem Segment resp. über dieses Interface
muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Desweiteren, damit die FortiAccess
Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses Interface/Segment zugewiesen
bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen über Kommandozeile
weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie Wireless Controller IP, NTP etc.
Um diese zu nutzen führe auf der Kommandozeile folgendes aus:
# config system dhcp server
# edit [Integer für den entsprechenden DHCP Server]
# set wifi-act1 [IP des WiFi Controllers; in unserem Beispiel 192.168.3.1]
# set ntp-server1 [IP des entsprechenden Time Server]
# end
Verbinden des FortiAccess Point's über CAPWAP Tunnel und Authorize des FortiAccess Point's
Nun muss der FortiAccess Point über das Interface/Segment das wir soeben konfiguriert haben dh. in unserem Beispiel das
DMZ Interface verbunden werden. Nach einiger Zeit erscheint dieser FortiAccess Point unter folgender Position und kann
Authorisiert werden:
WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status:
FortiAccess Point Firmware Upgrade durchführen
Nach der Authorisierung sollte betreffend Firmware des FortiAccess Point sofern nötig ein Upgrade durchgeführt werden.
Dabei ist folgender Artikel zu berücksichtigen:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_eingesetzt_werden.3F
Ein Firmware Upgrade wird folgendermassen durchgeführt:
WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
Nach dem Upgrade des FortiAccess Point wird wiederum ein Neustart ausgeführt. Es wird empfohlen auf dem FortiAccess Point
nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die Kommandozeile CLI
der FortiGate durchgeführt werden:
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end
# exec telnet [IP des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin
BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
# cfg -x
# reboot
Konfiguriere den korrekten Country Code
Eine FortiGate wird per Standard im Zusammenhang mit dem Wireless Controller auf Country Code US ausgeliefert. Weitere
Informationen betreffend Details zum Country Code siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_ist_als_Erstes_beim_.22Setup.22_eines_FortiAP_zu_beachten_.28Country_Code.29.3F
Um den Country Code von US auf CH zu konfigurieren müssen sämtliche Profiles (wtp-profile) gelöscht werden. Dies wird
folgendermassen durchgeführt:
# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)y
# config wireless-controller settings
# set country CH
# end
NOTE Unter FortiOS 5.2 kann der Country Code gelöscht werden ohne die Profiles vorhergehend zu löschen jedoch werden durch
den Vorgang sämtlich "channels" in den Profiles gelöscht!
Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"
User & Device > User > User Definition > Create New
User/Gruppe only4also
User & Device > User > User Groups > Create New
User/Gruppe also4guest
NOTE Ueber diese "Guest" definierte Gruppe kann anhand eines regulären Administrators der FortiGate sowie über "Guest Management"
die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:
Möchte man nicht einen regulären Administrator der FortiGate benutzen sondern einen restriktiven Administrator -reduziert auf das
erfassen/hinzufügen zu dieser "Guest" Gruppe- kann dies konfiguriert werden indem ein Administrator konfiguriert wird der reduziert
wird betreffend Rechte auf "Restrict to Provision Guest Accounts":
Dieser Adminstrator kann nachgräglich über das reguläre Admin Login der FortiGate ein Login durchführen und die entsprechenden User/
Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:
FortiAP:FAQ#Guest_Access
Konfiguriere der SSID "only4also" sowie "also4guest"
In den nachfolgenden Schritten werden die SSID's konfiguriert. Dabei benützen wir für die "only4also" SSID WPA/WPA2-Enterprise und für
"also4guest" ein Captive Portal das ein Gruppe enhält die für "Guest Management" konfiguriert wurde. Innerhalb der SSID wird ein IP Range
definiert. Basierend auf Diesem konfigurieren wir einen DHCP Server. Dieser DHCP Server wird benutzt um den Client's für die entsprechende
SSID ein IP zu zuweisen:
WiFi Controller > WiFi Network > Create New
NOTE Die nachfolgenden Artikel geben Auskunft über die verschiedenen Konfigurationspunkte:
FortiAP:FAQ#F.C3.BCr_eine_SSID_betreffend_.22Security_Mode.22_k.C3.B6nnen_welche_Modi_konfiguriert_werden.3F
FortiAP:FAQ#Was_ist_die_max._Anzahl_User_die_auf_einem_FortiAP_verbunden_werden_k.C3.B6nnen.3F
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Block_Intra-SSID_Traffic.22.3F
Konfiguriere des Profile's für den FortiAccess Point
NOTE Betreffend "channels" im Zusammenhang mit DFS Support resp. welche Kanäle aktiviert werden dürfen
siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
Konfiguriertes Profile dem FortiAccess Point hinzufügen
WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"
Damit die Firewall Policy Rule erstellt werden können erstellen wir für die SSID's die nötigen Ojbekt:
Firewall Objects > Address > Address > Create New
Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"
Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
Policy > Policy > Policy > Create New
"only4also Firewall Policy Rule"
"also4guest Firewall Policy Rule"
Für die entsprechenden Firewall Policies können wie gewohnt die entsprechenden Security Profiles implementiert werden.
Setup
Welche Firmware sollte auf einer FortiGate und/oder FortiAP eingesetzt werden?
Früher unter FortiOS 4 MR3 wurde durch den Support klar die Richtlinie herausgegeben, dass auf der FortiGate und/oder FortiAP der gleiche Versionsstand resp. Patchlevel benutzt werden musste. Dieser Anweisung kann nach wie vor gefolgt werden! Neu ab FortiOS Version 4 M3 Patch 11 können ebenfalls FortiAP's mit FortiOS 5.0 (nicht FortiOS 5.2) eingesetzt werden. Diese Konstellation wird durch den Fortinet Support vollumfänglich unterstützt. In so einer Konstellation stehen natürlich "nur" die Features auf der FortiGate resp. Wireless Controller zur Verfügung die durch die Version 4 M3 Patch 11 unterstützt werden. Dies bedeutet zB das Feature des "Mesh" steht dann nicht zur Verfügung obwohl die FortiAP's mit der FortiOS 5.0 dies unterstützen würden. Da jedoch dieses Feature in der FortiGate FortOS Version 4 M3 Patch 11 nicht unterstütz wird, kann dieses nicht über den Wireless Controller resp. FortiGate konfiguriert werden. Dennoch macht es durchaus Sinn eine FortiGate Fortios 4 M3 Patch 11 mit FortiAP FortiOS 5.0 einzusetzen schon hinsichtlich zB Performance, Zuverlässigkeit oder Vorbereitung eines anstehenden Upgrad's der FortiGate auf FortiOS 5.0:
NOTE Wenn FortiAP's im Zusammenhang mit FortiGate's basierend auf FortiOS 5.2 betrieben werden möchten,
müssen die FortiAP's anhand eines Upgrade ebenfalls auf FortiOS 5.2 gebracht werden. Ein "Downgrade"
zurück auf 5.0.x ist möglich mit einer Ausnhame dh. FAP-221c. Weitere Informationen findet man im
folgenden Artikel:
FortiAP:FAQ#Kann_ich_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F
Wie schon erwähnt können Forti Access Point's basierend auf 5.2 nur mit FortiGate 5.2 eingesetzt werden!
Die Ausnahme ist der neue "Special Support Build" der für diese Situation geschaffen wurde. Somit, wenn
eine FortiGate 5.0 basierend ist jedoch Forti Access Point's 5.2 muss der "Special Support Build" eingesetzt
werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:
https://support.fortinet.com/Download/FirmwareImages.aspx
/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/
Desweiteren sollte folgender Artikel berücksichtigt werden:
FortiAP:FAQ#Wann_kommt_der_802.11ac_Standard_und_um_was_handelt_es_sich_dabei.3F
Was ist als Erstes beim "Setup" eines FortiAP zu beachten (Country Code)?
Ein FortiAP wird über die Fortigate WiFi Controller aufgesetzt und konfiguriert! Es ist unabdingbar die korrekte "location" (Country Code) zu setzen bevor ein FortiAP konfiguriert wird. Weitere Erläuterungen wieso und warum siehe nachfolgenden Artikel:
Fortigate:FAQ#Wie_setze_ich_auf_einer_FortiGate_den_.22Country_Code.22_.28location.29_f.C3.BCr_den_WiFi_Controller.3F
Danach führe auf der Fortigate auf der Console folgendes durch:
# config wireless-controller setting
# set country CH
# end
NOTE Wenn man mit "end" die Konfiguration bestätigt kann es zu einer Fehlermeldung führen. Der Grund dafür
ist einfach. Wenn im Hintergrund AP Proflies existieren kann der Countr Code nicht auf einen anderen
Country Code gewechselt werden da die existierenden AP Profile auf den momentan gesetzen Country Code
basieren. Um den Country Code zu wechseln dürfen kein AP Profiles existieren (Gilt für FortiOS 5.0).
Diese können jedoch nur gelöscht werden wenn diese für die AP's nicht in Benützung sind. Wenn dies der
Fall ist müssen diese Profiles von den AP's gelöst werden und danach können die AP Profiles gelöscht
werden. Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert
werden jedoch gehen sämtliche "channel" Konfiguration verloren:
This operation will also clear channel settings of all the existing wtp profiles
Do you want to continue (y/n)
Die AP Profiles können über Web Gui sowie in der CLI gelöscht werden.
WiFi Controller > Managed Access Points > Custom AP Profile
# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)y
Nachdem erfolgreichen löschen der AP Profiles kann der Country Code gesetzt werden!
Was ist die Default IP für einen FortiAP und wie kann ich mich auf diese IP verbinden?
Wenn ein FortiAP gestartet wird reagiert auf Netzwerkebene der FortiAP folgendermassen:
--> Der FortiAP sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface anhand dieser Informationen konfiguriert!
--> Beantwortet "Kein" DHCP Server die Anfrage des FortiAP so wird auf dem Netzwerk Interface folgende IP konfiguriert:
192.168.1.2/24
Somit kann man sich auf einen FortiAP folgendermassen verbinden sofern der FortiAP betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):
1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
192.168.1.1 255.255.255.0
2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
http://192.168.1.2
NOTE Möchte man sich auf den FortiAP verbinden jedoch wurde das Interface auf "Static" konfiguriert und die
IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults
gesetzt werden. Weitere Informationen "wo" sich der "reset button" bei den verschiedenen Modellen befindet
kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:
Fortinet:ProduktInfo#FortiAP
Wie kann ich die Netzwerk Konfiguration eines Access Point manuell (static) konfigurieren?
Wenn man einen Forti Access Point manuell dh. mit einer "static" IP Adressen konfigurieren möchte so kann dies über Kommandozeile sowie über das Web Mgmt. Interface durchgeführt werden. Um die Konfiguration sei es auf der CLI und/oder Web Mgmt. Interface durchzuführen muss auf die Standard IP des Forti Access Point's zugegriffen werden. Wie dies zu bewerkstelligen ist, zeigt folgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
Um die Konfiguration einer statischen IP auf dem Web Mgmt. Interface auszuführen gebe folgende Adresse in den Browser ein:
http://192.168.1.2
Um die Konfiguration einer Statischen IP auf der Kommandozeile durchzuführen müssen folgende Befehle auf dem Forti Access Point's ausgeführt werden:
# cfg –a AP_IPADDR=[Gebe eine enstprechende IP an zB 192.168.1.2]
# cfg –a ADDR_MODE=STATIC
# cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IP zB 255.255.255.0]
# cfg -a DNS_SERVER=[DNS Server IP Adresse]
NOTE Jede Konfiguration die anhand "cfg -a" ausgeführt wird ist nicht "persistent" dh. die ausgeführte Konfiguration
muss anhand folgenden Befehles "geschrieben" (commit to flash) werden ansonsten geht diese nach eine Neustart verloren:
# cfg -c
Um die entsprechende Konfiguration zur Ueberprüfung auszulesen gebe folgenden Befehl ein:
# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138
Weitere Konfigurations Möglichkeiten kann anhand des folgenden Befehls aufgelistet werden:
# cfg -h
Wie kann ich einen Forti Access Point so konfigurieren, dass er seine WiFi Controller IP über DHCP Server erhält?
Wenn der Forti Access Point nicht mit einer "static" IP Adresse konfiguriert wird sondern seine IP Adresse von einem DHCP Server erhält kann die IP des "Forti WiFi Controller's" über die DHCP Option 138 mitgegeben werden. Dazu muss auf dem -für die Definition der Option 138- folgendes auf dem Forti Access Point konfiguriert werden:
NOTE Diese Konfiguration ist nur dann auszuführen, wenn der FortiAccess Point seine IP nicht von der FortiGate erhält
sondern von einem anderen DHCP Server der sich nicht auf der FortiGate befindet. Wenn der FortiAccess Point seine
DHCP Adresse von einem DHCP Server erhält der sich auf der FortiGate befindet kann die IP des "WiFi Controller's"
über die Konfiguration des DHCP Server auf der FortiGate mitgegeben werden:
# config system dhcp server
# edit [Integer für den entsprechenden DHCP Server]
# set wifi-ac1 [IPv4 Adresse des WiFi Controllers]
# set wifi-ac2 [IPv4 Adresse des WiFi Controllers]
# set wifi-ac3 [IPv4 Adresse des WiFi Controllers]
# set ntp-server1 [IP des entsprechenden Time Server]
# end
Auslesen der momentaner Netzwerk Konfig:
# cfg -s
Konfiguration der DHCP Option:
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
# cfg -c
NOTE Wenn die Option "138" bereits anderweitig in Benützung ist kann über diesen Befehl ein anderer freier
Code definiert werden!
Nach der Konfiguration auf dem Forti Access Point betreffend "Option" muss über den DHCP Server die Option definiert werden und zwar in "hexadecimal". Dies bedeutet die IP muss in "hexadecimal" umgerechnet werden. Diese Umrechnung wird für jedes "octed" von Links nach Rechts ausgeführt. Im nachfolgenden Beispiel sind die Forti Access Point's über das Interface (192.168.3.1) auf der FortiGate im Segment 192.168.3.0/24 angeschlossen:
IP = 192.168.3.1
192 = C0
168 = A8
3 = 03
1 = 01
Hex = C0A80301
NOTE Für die Umrechnung kann zB folgende Seite benutzt werden (Nicht vergessen von Links nach Rechts!):
http://www.mathsisfun.com/binary-decimal-hexadecimal-converter.html
Nachträglich kann die Konfiguration resp. die Zuweisung der IP sowie des AC Controllers über Kommandozeile auf dem AP kontrolliert werden anhand folgendes Befehls:
# cw_diag -c wtp-cfg
NOTE Wenn der entsprechende Forti Access Point über keinen Consolen Port verfügt kann über den Wirelesss
Controller anhand Telnet auf den Forti Access Point zugegriffen werden. Weitere Informationen siehe:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Forti_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Welche Einstellungen gelten wenn anstelle eines entsprechenden Profile für ein Forti Access Point "Automatic / Override Settings" gewählt wird?
Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes Profile zu zuweisen. Dies bedeutet: In diesem Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses Profile -das auf den entsprechenden Forti Access Point abgestimmt ist- wird nach dessen Erstellung dem Forti Access Point zugewiesen. Unter FortiOS 5.0 ist es möglich anstelle dieses Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:
Datei:Fortinet-333.jpg NOTE Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt: # config wireless-controller wtp # edit [Name/Serien Nr. des entsprechenden Profiles] # set override-profile enable # end # end Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:
Wie kann verhindert werden, dass eine SSID über Broadcast mitgeteilt wird?
Wenn eine SSID konfiguriert wird so wird dessen Namen per Standard über Broadcast mitgeteilt. Dies erlaubt den Usern/Client's diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn das mitteilen der SSID über Broadcast unterbunden werden soll kann dies auf der Kommandozeile innerhalb der SSID konfiguriert werden. Dies wird folgendermassen durchgeführt:
# config wireless-controller vap
# edit [Name der SSID]
# set broadcast-ssid disable
# end
NOTE Die existierende Option "broadcast-suppress" unter der SSID steht nicht im Zusammenhang mit "broadcast-ssid".
Diese Option verhindert das ARP und/oder DHCP broadcast nicht zu Forti Access Point's versendet werden die
über die gleiche SSID verfügen!
Kann ich auf einem Forti Access Point auf der SSID einen Filter setzen anhand MAC Adressen?
Unter FortiOS 4 MR3 konnte man anhand folgenden Befehls MAC Filter setzen:
# config wireless-controller vap
# edit [Name der SSID]
# config mac-filter-list
# edit 1
# set mac [MAC Adresse]
# set mac-filter-policy allow
# next
# end
# end
Diese Funktion resp. Befehl exisitert unter FortiOS 5.0 / 5.2 nicht mehr. Dies bedeutet: die MAC Filter Funktion kommt der DHCP "MAC Address Controll List" gleich. In der "MAC Address Controll List" eines DHCP Server's können MAC Adressen folgendermassen konfiguriert werden:
Reserve IP
Assign IP
Block
Die "MAC Address Controll List" kann innerhalb eines DHCP Server's der für die SSID existiert folgendermassen konfiguriert werden:
# config system dhcp server
# edit [Integer des entsprechenden DHCP Servers]
# config reserved-address
# edit [Gebe einen entsprechenden Integer an zB 1]
# set ip [IPv4 Adresse]
# set mac [MAC Adresse 00:00:00:00:00:00]
# set action [assign | block | reserved]
# end
# end
Eine weitere Möglichkeit unter FortiOS 5.0 / 5.2 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand Art der Device's zB MAC, Android usw. und im Zusammenhang mit einer Firewall Policy Rule wird der Zugriff eingeschränkt. Um eine "device-access-list" zu konfigurieren führe folgendes durch:
# config user device-access-list
# edit [Name der Device Liste]
# set default-action [ accept oder deny]
# config device-list
# edit [ID der Device Liste]
# set action [ accept oder deny]
# set device [Name des Devcies; Benütze ? um die Liste einzusehen]
# end
# end
Die Konfiguration der "device-access-list" kann ebenfalls über Mgmt. Web Interface durchgeführt werden:
User & Device > Device > Device Definitions | Device Groups
Nachdem die "device-access-list" resp. Gruppen konfiguriert wurden können diese innerhalb der Firewall Policy Rule benützt werden:
FortiOS 5.0
Policy > Policy > Policy > [Wähle die entsprechende Policy] > Device Identiy
FortiOS 5.2
Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > Source Device Type
Kann ich einen Forti Access Point so konfigurieren das "Alle" Wireless Devices die er in seinem Wirkungsgrad erkennt auflistet?
Ein Forti Access Point kann mit folgenden Befehl in den "station-locate" gesetzt werden:
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profil]
# config radio-1
# set station-locate enable
# end
# config radio-2
# set station-locate enable
# end
# end
NOTE Es müssen nicht beide Radios auf "station-locate enable" gesetzt werden! Wenn auf einem Radio "station-locate" benutzt
wird beeinträchtigt dies nicht die vorhandene Konfiguration bestehender SSID!
Wenn diese Option benutzt wird, listet der Forti Access Point alle Devices die er in seinem Wirkungsgrad kennt auf mit folgenden Informationen:
MAC Adressen
Wireless Abhängige Informationen
Es dauert einige Zeit bis die Informationen abrufbar sind dh. folgender Befehl kann benutzt werden um nachträglich die Informationen einzusehen:
# diagnose wireless-controller wlac -c sta-locate
sta_mac vfid rid base_mac freq_lst frm_cnt frm_fst frm_last intv_sum intv2_sum intv3_sum intv_min intv_max signal_sum signal2_sum signal3_sum sig_min sig_max sig_fst sig_last ap
00:24:d7:e2:ea:08 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 3 164 44 120 7200 432000 59 60 -246 20190 -1658532 -85 -79 -79 -85 0
04:54:53:dd:84:1c 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 5 163 40 123 6410 366066 0 64 -406 32974 -2678584 -82 -79 -81 -82 0
04:f7:e4:40:4d:f9 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 41 188 25 162 3288 86679 0 32 -3095 233737 -17659835 -79 -74 -74 -76 0
Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IP Range benutzt wir im LAN?
Eine FortiGate kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung von IP Range's/Subnet auf Interface's konfiguriert werden. Per Standard ist folgende Option auf disable gesetzt und verhindert ein "subnet-overlap"
# config system settings
# set allow-subnet-overlap [enable | disable]
# end
Wenn dennoch auf Komandozeile ein "subnet-overlap" konfiguriert wird kommt es zu einer Fehlermeldung:
Subnets overlap between 'port1' and the primary IP of 'port1'
object set operator error, -54 discard the setting
oder
IP address is in same subnet as the others.
Eine SSID auf der ein IP konfiguriert wird, ist im technischen Sinne und aus Sicht der FortiGate nichts anderes als ein Interface! Möchte man zB die "Internal" SSID in den gleichen IP Range verschieben wie LAN resp. "inernal" Interface der FortiGate, ist dies nicht möglich da "allow-subnet-overlap" dies verhindert. Wenn der Traffic der SSID "Internal" über den CAPWAP zur FortiGate übermittelt wird, macht es keinen Sinn den gleichen IP Range/Subnet zu benützen wie das "internal" Interface. Nichts desto trotz kann "allow-subnet-overlap" auf enable gesetzt werden und somit ein "subnet-overlap" erlaubt werden. Dies ist jedoch nicht zu empfehlen da eine "loop" Gefahr besteht!
Upgrade
Wie kann ich für ein Forti Access Point betreffend Firmware ein Upgrade durchführen?
Bevor ein Upgrade betreffend FortiAP Firmware durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Weitere Informationen zu diesem Thema findet man im nachfolgenden Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_eingesetzt_werden.3F
Wenn verifiziert worden ist welche Firmware Version eingesetzt werden soll stehen verschiedenen Möglichkeiten zur Verfügung dies durchzuführen:
Firmeware Upgrade über den FortiGate WiFi Controller
WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
Firmeware Upgrade über FortiAccess Point anhand CLI und TFTP Server
# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
NOTE Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
Artikel:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Forti_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Firmeware Upgrade über FortiAccess Point Web Mgmt. Interface
Das Web Mgmt. Interface einer FortiGate ist -sofern dies die Firewall Policy Rule erlaubt wird- über dessen IP zugänglich. Dabei ist
zu berücksichtigen, dass dies in der entsprechenden Konfiguration auf der FortiGate erlaubt wird. Der Konfigurationspunkt der dies
steuert ist der Folgende:
NOTE Wenn das Firmware Upgrade des Forti Access Point lokal über seine Default IP durchgeführt werden soll siehe
nachfolgenden Artikel:
FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end
# exec telnet [IP des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin
# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c
Bulk Firmeware Upgrade über den FortiGate WiFi Controller anhand CLI und TFTP Server
Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F
Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen?
Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet anhand einer Firmeware die für spezifische Forti Access Point's auf den WiFi Controller geladen werden, werden alle pezifischen Forti Access Point angewiesen sich vom WiFi Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen sollten gegeben sein:
• Verifizierung der eingesetzten Firmeware und der neuen Firmware. Siehe dazu auch folgender Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_eingesetzt_werden.3F)
• Installierter TFTP Server im Netz und für alle Forti Access Point's erreichbar:
SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx
Wenn die Vorraussetzungen gegen sind führe folgendes durch:
• Lade das entsprechende Image für das Upgrade in das Root Verzeichnis des TFTP Servers.
• Führe auf der FortiGate Kommandozeile folgendes aus:
# execute wireless-controller upload-wtp-image tftp [Image Name FortiAP's Image] [IP Adresse des TFTP Servers]
NOTE Pro Bulk Update kann nur ein Image eines spezifischen Forti Access Point Modell's auf den WiFi Controller geladen werden.
Das Kommando "execute wireless-controller upload-wtp-image" ladet das spezifische Image auf den WiFi Controller. Mit dem
nachfolgenden Kommando lässt sich dieser Vorgang verifizieren:
# execute wireless-controller list-wtp-image
Wenn die Verifizierung durchgeführt wurde kann mit nachfolgenden Kommando das Upgrade ausgeführt werden. Dies bedeutet: Durch
das nachfolgende Kommando werden die Forti Access Points angewiesen sich das Image auf dem WiFi Controller runter zu laden und
das Upgrade durchzuführen.
# execute wireless-controller reset-wtp [Gebe an "all" oder die Serien Nummern]
NOTE Um die verschiedenen Serien Nummern auf dem Wireless Controller aufzulisten kann folgender Befehl benutzt werden:
# config wireless-controller wtp
# get
Nach einem erfolgreichen Upgrade kann das spezifische Image vom WiFi Controller gelöscht werden:
# execute wireless-controller delete-wtp-image
Kann ich einen Forti Access Point basierend auf Firmeware 5.2 anhand eines "Downgrade's" mit Firmeware 5.0.x laden?
Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:
Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
"verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.
Es muss dabei berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's "nur" mit FortiGate's basiernd auf FortiOS 5.2 betrieben werden können.
Backup
Kann ich von einer Forti Access Point Konfiguration ein Backup erstellen?
Ein Backup eines Forti Access Point's kann über Web Mgmt. Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Web Mgmt. Interface wird im Hintergrund folgender Befehl ausgeführt:
Backup der Forti Access Point Konfiguration über CLI
# cfg -e
BAUD_RATE=9600
ADMIN_TIMEOUT=5
AP_IPADDR=192.168.1.2
AP_NETMASK=255.255.255.0
IPGW=192.168.1.1
AP_MODE=0
DNS_SERVER=208.91.112.53
AP_MGMT_VLAN_ID=0
ADDR_MODE=DHCP
STP_MODE=0
TELNET_ALLOW=1
HTTP_ALLOW=1
AC_DISCOVERY_TYPE=0
AC_IPADDR_1=192.168.1.1
AC_HOSTNAME_1=_capwap-control._udp.example.com
AC_CTL_PORT=5246
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138
AC_DATA_CHAN_SEC=2
MESH_AP_TYPE=0
MESH_AP_SSID=fortinet.mesh.root
MESH_AP_BSSID=
MESH_AP_PASSWD=fortinet.mesh.root
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100
Backup der Forti Access Point Konfiguration über Web Mgmt. Interface
Das Web Mgmt. Interface einer FortiGate ist -sofern dies die Firewall Policy Rule erlaubt wird- über dessen IP zugänglich. Dabei ist
zu berücksichtigen, dass dies in der entsprechenden Konfiguration auf der FortiGate erlaubt wird. Der Konfigurationspunkt der dies
steuert ist der Folgende:
NOTE Wenn das Backup des Forti Access Point lokal über seine Default IP durchgeführt werden soll siehe
nachfolgenden Artikel:
FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end
# exec telnet [IP des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin
# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c
Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden. Danach
kann ein manuelles Backup unter folgender Position ausgeführt werden:
Status > System Configuration > Last Backup
Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese verschiedenen
Positionen erläutert:
WTP_NAME=FP221B3X12001413 [Hostname Forti Access Point]
ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
AC_CTL_PORT=5246 [CAPWAP Comunication Port]
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
MESH_AP_TYPE=0 [1 = Mesh Type "leave"; 2 = Mesh Type root]
MESH_AP_SSID=fortinet.mesh.root [Mesh SSID Name]
MESH_AP_BSSID= [Mesh SSID Broadcast Name]
MESH_AP_PASSWD=fortinet.mesh.root [Mesh SSID Passwort]
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100
NOTE Das Backup File kann herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und
dieses als Restore wieder einzuspielen.
Local Bridging
Wie konfiguriere ich ein Wireless Local Bridging?
Wenn eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:
• Tunnel to Wireless Controller
• Local bridge with FortiAP's Interface
• Mesh Downlink
Wenn die Konfiguration (Standard) "Tunnel to Wireless Controller" benutzt wird so wird der Traffic des Wireless Clients über den CAPWAP Tunnel zum FortiGate WiFi Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen Segment's -indem sich der Forti Access Point befindet- direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate WiFi Controller gesendet. Soll jedoch der Traffic direkt vom Forti Access Point Interface in das Segment erlaubt werden muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum Forti WiFi Controller exisitert wird nur zu management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:
Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
die Verbindung zum FortiGate WiFi Controller so werden die WiFi Clients nicht beinträchtigt da der Access Point im Bridge
Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!
Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:
# config wireless-controller vap
# edit [Name SSID Profile]
# set ssid [Name der SSID]
# set local-bridging enable
# set vlanid [VLAN ID]
# set local-authentication enable
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# end
NOTE Sofern gewünscht kann "eine" VLAN für die SSID vergeben werden! Wenn der Traffic zwischen den WiFi Client
über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf
"disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable" kann -da das Interface des Forti Access Point
im Bridge Mode ist- nicht mehr über den Forti Access Point verhindert werden, dass WiFi Clients über die gleiche
SSID komunizieren können!
VLAN
Was sind "Dynamische VLAN's" und wie konfiguriere ich Diese?
Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" einer SSID zu vergeben im Zusammenhang mit einem Radius Server. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:
IETF 64 (Tunnel Type) = Muss auf VLAN gesetzt werden
IETF 65 (Tunnel Medium Type) = Muss auf 802 gesetzt werden
IETF 81 (Tunnel Private Group ID) = Muss auf die entsprechende VLAN ID gesetzt werden
NOTE Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig
die nötigen Informationen nach erfolgreicher Radius Authentifizierung zu übermitteln.
Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen ist die Funktion -nebst der Radius Konfiguration- selber unter der entsprechenden SSID generell zu aktivieren:
# config wireless-controller vap
# edit [Wähle den Namen der entsprechenden SSID]
# set dynamic-vlan enable
# end
NOTE Um die VLAN Konfiguration auf einem Forti Access Point auszulesen kann folgendes Kommando auf dem
Forti Access Point ausgeführt werden:
# cw_diag show wllbr
Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:
Datei:Dynamic VLANs.pdf
Kann ich eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"?
Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige Segment/Subnet gesendet anstelle diesen über den Data Channel Enkapsuliert(CAPWAP) zum FortiGate WiFi Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN-ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Web Mgmt. Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann auf der CLI des Access Points folgender Befehl abgesetzt werden um die Konfiguration einzusehen:
NOTE Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" in Zusammenhang mit einem Radius Server (Radius
Attribute "IETF") zu benutzen. Weitere Informationen dazu siehe folgender Artikel:
FortiAP:FAQ#Was_sind_.22Dynamische_VLAN.27s.22_und_wie_konfiguriere_ich_Diese.3F
# brctl show
# cat /proc/net/vlan/conf
Die Konfiguration über die CLI wird folgendermassen durchgeführt:
# config wireless-controller vap
# edit [Name des Profiles SSID]
# set vdom root
# set ssid [Name der SSID]
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# set local-bridging enable
# set vlanid [VLAN ID]
# end
NOTE Ab FortiOS 5.2 kann die Konfiguration über Web Mgmt. Interface durchgeführt werden!
Mesh/Bridging
Wie konfiguriere ich ein Wireless Mesh/Bridging Netzwerk (manuell/automatisch)?
Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:
NOTE Im Dezember 2013 hat Fortinet speziell eingehend auf "Mesh" ein spezielles Handbook Released. Es lohnt
sich ebenfalls dieses Handbook einzusehen:
FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wireless Mesh (No VLAN Support)
Ein Access Point -auch genannt "root" Mesh Access Point- ist direkt verbunden mit dem WiFi Controller
(FortiGate oder FortiWiFi). Alle anderen Access Points -auch genannt "leaf" Mesh Access Points- benützen
den WiFi Controller indem diese über den "root" Mesh Access Point sich zum WiFi Controller verbinden.
Für Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh.
bemerken nicht, dass sie sich zu einem Mesh Netzwerk verbinden.
Wireless bridging (No VLAN Support)
Für ein Bridging werden zwei physische LAN Segmente über Wireless Access Points verbunden (the backhaul SSID).
Die Ethernet Anschlüsse an den Access Point ("leaf" Mesh Access Point) die diese LAN Segmente verbinden können
benutzt werden um ein zusätzliches Wireless Segment für die Clients bereitzustellen. Grundsätzliche sind die
Clients direkt in dem jeweiligen Segment per LAN oder erweitertes Wireless Netzwerk verbunden.
Daraus ergeben sich folgende Möglichkeiten:
FortiAP werden benützt als "root" Mesh und "leaf" Mesh Access Points
Datei:Fortinet-345.jpg
FortiWiFi wird benützt als "root" Mesh Access Point und die FortiAP's als "leaf" Mesh Access Points
Datei:Fortinet-346.jpg
FortiAP's werden benützt um zwei LAN Segmente zu verbinden (Bridging)
Datei:Fortinet-347.jpg
Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:
• Alle FortiAP's die im Mesh Wireless Network eingesetzt werden müssen über Firmware 5.0 Build 003 oder höher verfügen!
• FortiAP 222B muss über die Bios Version 400012 oder höher verfügen:
ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out
• Auf dem WiFi Controller (FortiGate und FortiWiFi) muss FortiOS 5.0 GA oder höher installiert sein!
NOTE Folgende Funktionen sollten möglichst nicht benützt werden auf dem FortiAP "radio" auf dem der Mesh Link
konfiguriert wurde:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F
FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F
Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) sowie Automatischer Konfiguration:
AUTOMATISCHE KONFIGURATION WIRELESS MESH
Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].
Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen:
Datei:Fortinet-348.jpg
Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:
• Konfiguriere einen "root" Mesh Access Point auf einer FortiAP oder auf einer FortiWiFi.
• Konfiguriere die Access Points für "leaf" Mesh.
• Authorisiere die "leaf" Mesh Access Point damit diese auf den WiFi Controller verbinden können.
Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points
Wähle über das WebGui folgendes:
WiFi Controller > Managed Access Points > Managed FortiAP
Selektiere den gewünschte Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".
Wähle folgendes:
Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
NOTE Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
mehr gesetzt werden!
Datei:Fortinet-349.jpg
Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points
Verbinde dich auf das Web Mgmt. Interface auf dem "leaf" Mesh konfiguriert werden soll. Per Standard dh.
Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2. Weitere Details
dazu siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
Auf dem Web Mgmt. Interface unter "Connectivity" konfiguriere folgendes:
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Forti_Access_Point_Manuell_auf_Factory_Default_setzen.3F
Uplink Mesh
Mesh AP SSID fortinet.mesh.[VDom Name dh. Standard "root"]
Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
Datei:Fortinet-350.jpg
Bestätige die Konfiguration anhand "Apply".
Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Access Points
Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Access Points über den "root" Mesh
Access Points am WiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss jeder "leaf"
Mesh Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
WiFi Controller > Managed Access Points > Managed FortiAP
Gehe auf "refresh" bis der/die "leaf" Mesh Access Points ersichtlich sind. Danach selektiere den FortiAP
und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Access Points
ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit
"OK" die Konfig.
Sobald die Konfiguration bestätigt wurde wir der Access Point seinen Status von Offline zu Online wechseln
(ca. 2 Minuten). Die autom. Konfiguration ist abgeschlossen und kann getestet werden.
AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING
Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die
Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
(Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet
sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert
da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul
link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu
benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point
Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point
direkt mit dem zu verbindenen Segment verbunden!
Datei:Fortinet-358.jpg
MANUELLE KONFIGURATION WIRELESS MESH
Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über
die Devices gibt. Ein Mesh WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
(Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Access Points verbinden sich
über diesen "root" Mesh AP (backhaul link) zum WiFi Controller. Ein FortiAP Device verfügt über 2 Radios
(2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die
Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu
berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's.
Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Access Point
• Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die FortiAP benutzt werden kann.
• Erstelle eine SSID für den "backhaul link".
• Erstelle eine Access Point Profil das die SSID für den "backhaul link" enthält.
• Füre das neue Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
• Konfigureire den "root" Mesh Access Point.
Um die SSID für den "backhaul link" zu erstellen wähle im WebGui folgendes:
WiFi Controller > WiFi Network > SSID, select Create New
Konfiguriere folgendes:
Interface Name [Name des Interfaces zB "mesh-backhaul"]
IP/Netmask [Belasse die IP auf 0.0.0.0/0.0.0.0]
SSID [Name der SSID zB "mesh-backhaul"]
Preshared Key [Wähle ein Preshared Key]
Datei:Fortinet-351.jpg
Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set mesh-backhaul enable
# end
Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
Datei:Fortinet-352.jpg
Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
Position "Traffic Mode"
# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set ssid "[Name der SSID zB "mesh-backhaul"]"
# set security wpa2-only-personal
# set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
# set encrypt AES
# set vdom root
# set mesh-backhaul enable
# end
Nun muss ein "backhaul" Access Point Profile erstellt werden. Wähle dazu im WebGui folgendes:
WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
- Wähle für das Profile einen Namen zB "mesh-backhaul-root".
- Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Access Point.
- Aktiviere die Position "Mesh Downlink".
- Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
Datei:Fortinet-353.jpg
NOTE Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des Profiles zur Verfügung.
Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
# config wireless-controller wtp-profile
# edit [Profil Name zB "mesh-backhaul-root"]
# config platform
# set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
# end
# config radio-1
# set mode ap
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# end
Nun muss das erstellt Profil dem Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
Wähle dazu im WebGui folgendes:
WiFi Controller > Managed Access Points > Managed FortiAP
Der "root" Mesh Access Point muss über physisches LAN angeschlossen sein sowie Verbindung zum WiFi Controller
haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und kann selektiert werden. Gehe auf "Authorize"
und wähle das entsprechende Profil das erstellt wurde für den "backhaul link". In unserem Beispiel wäre dies zB
"mesh-backhaul-root"! Nach einiger Zeit geht danach der Access Point auf den Status "Online".
Um das Profil per CLI zum entsprechenden Profile hinzu zu fügen, gehe folgendermassen vor:
# config wireless-controller wtp
# get
FAP22B3U11005354
# edit FAP22B3U11005354
# set admin enable
# set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
# end
Nun muss der "root" Mesh Access Point als solches definiert werden dh. im WebGui unter folgender Position ist die
entsprechende IP des Access Points zu eruieren (Blende die Spalte "Connecting from" ein unter Collums Settings):
WiFi Controller > Managed Access Points > Managed FortiAP
Wir nehmen an, dass der Access Point dem wir das "backhaul" Profil hinzugefügt haben die IP zugewiesen worden ist
192.168.3.2. Verbinde dich nun anhand dieser IP auf den WebBased Manager auf den Access Point (Ein Login erscheint
indem wir nur User "admin" eingeben: es gilt per Standard KEIN Passwort):
http://192.168.3.2
Im WebBased Manager auf dem Access Point unter "Mesh Configuration" selektiere:
Ethernet with mesh backup support
Datei:Fortinet-354.jpg
NOTE Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden -da
der Access Point als "root" Mesh konfiguriert ist- ignoriert!
Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe auf der Console des FortiAP folgendes ein:
# cfg -a MESH_AP_TYPE=2
# cfg –c
Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
# cfg -s
NOTE Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist, ist der Consolen Port per
Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist.
Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's
ohne Consolen Port:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Forti_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
WiFi Controller > Managed Access Points > Managed FortiAP
Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point
Wie schon beschrieben sind "leaf" Mesh Access Points Devices die das Wireless Netz (nicht physisch) benutzen um sich
ins Wireless Netz zu integrieren. Die Verbindung zum WiFi Controller wird über den "root" Mesh Access Point bewerkstelligt.
Um ein "leafe" Access Point zu konfigurieren benutzen wir den WebBased Manager der auf den FortiAP's läuft. Per Standard
nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2. Verbinde
dich nun auf den WebBased Manager anhand dieser IP:
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Forti_Access_Point_Manuell_auf_Factory_Default_setzen.3F
http://192.168.1.2
Im WebBased Manager konfiguriere folgendes:
Uplink [Mesh]
Mesh AP SSID [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
Mesh AP Password [Preshared Key gemäss SSI "mesh-backhaul"]"
Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
Konfiguration mit "Apply":
Datei:Fortinet-355.jpg
Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
NOTE Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per
Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist.
Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's
ohne Consolen Port:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Forti_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
# cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
# cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
# cfg -a MESH_AP_TYPE=1
# cfg -c
Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
# cfg -s
Als nächsten Schritt muss für die "leaf" Access Points ein Profil angelegt werden. Dazu wähle im WebGui folgendes:
WiFi Controller > Managed Access Points > Custom AP Profile
Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
Name Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
Platform Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform
Radio 1 Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Radio 2 Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
Datei:Fortinet-356.jpg
NOTE Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des Profiles zur Verfügung.
Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
# config wireless-controller wtp-profile
# edit [Namen für das Profil zB "mesh-backhaul-leaf"]
# config platform
# set type [Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform]
# end
# config radio-1
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# config radio-2
# set mode ap
# set band 802.11n
# set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
# end
# end
Nun muss das entsprechende Profil das erstellt worden ist dem entsprechenden FortiAP das für "leaf" Mesh Access Point
benützt wird, zugewiesen werden. Wähle daszu im Gui:
WiFi Controller > Managed A ccess Points > Managed FortiAP
Wenn der "leaf" Mesh Access Point in Betrieb ist müsste dieser nun in der Liste der Access Points erscheinen. Selektiere
diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird sollte der Access
Point die Mesh IP zeigen. Nach dem "Authorize" kann das entsprechende Profile für die "leaf" Mesh Access Point, das
vorhergend erstellt worden ist gewählt werden. Bestätige die Konfiguration anhand "Apply". Wenn die Konfiguration auf
der CLI durchgeführt werden soll führe folgendes aus:
# config wireless-controller wtp
# get
FAP22B3U11d05924
# edit FAP22B3U11d05924
# set admin enable
# set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
# end
Die Konfiguration der Manuelle Konfiguration betreffend Mesh ist nun abgeschlossen. Um das "Mesh" Wireless
Netzwerk zu kontrollieren wähle im WebGui folgendes:
WiFi Controller > Managed Access Points > Managed FortiAP
In dieser View werden alle verbundenen und nicht verbundenen FortiAP's aufgelistet. Wenn man unter "Column Settings"
das Feld "Connected Via" einblended sieht man in diesem Feld "Mesh" für die FortiAP's die über Mesh verbunden sind
sowie deren IP Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen FortiAP durchgeführt werden:
# cw_diag -c mesh
Eine weitere Möglichkeit um an Informtionen heranzukommen ist auf dem FortiAP folgender Befehl abzusetzen:
# dmesg
MANUELLE KONFIGURATION WIRELESS BRIDGING
Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die
Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
(Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet
sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert
da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul
link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu
benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point
Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point
direkt mit dem zu verbindenen Segment verbunden!
Datei:Fortinet-357.jpg
Guest Access
Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion?
Fortinet bietet im Zusammenhang mit WiFi Infrastrukturen zwei verschiedene Arten eines Ticketing System's:
Guest Access Provisioning:
Das "Guest Access Provisioning" basiert auf einem Ticket System die durch einen definierten Administrator
generiert werden. Der "Guest Access Administrator" hat bereits Zugriff auf das Netzwerk und die "Guest"
User können sich in unterschiedlichen Netzwerken befinden. Für dieses "Gues Access Provisioning" können
die Tickets selber dh. Inhalt nicht modifiziert werden sondern sind gegeben. In so einer Situation sollte
die "Captive Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt
man eine FortiGate mit FortiOS 5.0 / 5.2. Keine zusätzliche Installationen müssen durchgeführt werden
da eine FortiGate alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information
zur Implmenenterung siehe:
FortiAP:FAQ#Wie_implementiere_ich_ein_.22Wireless_Guest_Access_Provisioning.22.3F
User Self Registration:
In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein
"Captive Portal" vorgeschaltet sein jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self
Registration Portal. Die Felder, der Inhalt etc. des Self Registration Portal und/oder der Ticket's können
vollumfänglich selber definiert werden. Für das "Wireless Self Registration" benötigt man einen
FortiAuthenticator! Weitere Inoformationen zur Implementierung siehe:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F
Wie implementiere ich die "Wireless Self Registration" Funktion?
Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:
FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F
Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einer FortiGate konfiguriert wird:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F
Wie implementiere ich ein "Wireless Guest Access Provisioning"?
Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0 / 5.2) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:
NOTE Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt
werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe
nachfolgender Artikel:
FortiAP:FAQ#Wie_implementiere_ich_ein_.22Wireless_Guest_Access_Provisioning.22_.28Guest_Management.29_ein_.22Custome_Language_File.22.3F
User & Device > User > User Groups
Datei:Fortinet-363.jpg
NOTE Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch
durch das System erstellt (Batch):
Datei:Fortinet-373.jpg
Zur dazugehörigen Gruppe erstellen wir einen Administrator der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:
System > Admin > Administrators
Datei:Fortinet-364.jpg
Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:
Datei:Fortinet-365.jpg
Datei:Fortinet-366.jpg
Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:
Datei:Fortinet-367.jpg
Datei:Fortinet-368.jpg NOTE Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch" erstellt (Batch). Dies sieht dann folgendermassen aus: Datei:Fortinet-374.jpg Nach der "automatischen" Erstellung wird folgendes Ausgegeben: Datei:Fortinet-375.jpg Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes: Datei:Fortinet-376.jpg Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts: Datei:Fortinet-377.jpg
Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing:
Datei:Fortinet-369.jpg
Wählt man zB Printing so erscheint folgendes:
Datei:Fortinet-372.jpg NOTE Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden!
Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste sehen sowie einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:
Datei:Fortinet-370.jpg
Wenn man sich als "regulärer" Administrator wiederum einloggt kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:
User & Device > User > Guest Management
Datei:Fortinet-371.jpg
NOTE Der "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts
-wie der "Restricted to Provision Guest Accounts" Administrator"- erstellen/verwalten!
Für die SSID muss nun ein "Captive Portal" ausgewählt werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:
NOTE Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal".
Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene
URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste
der Guest Account die URL abermals eingeben!
Als Letzteres muss eine entsprechende Firewall Policy implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Lösung getestet werden. Sobald ein WiFi Client die entsprechende SSID aufruft und Anfragen absetzt wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der WiFi Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:
Guest Access User Group
# config user group
# edit [Name der Gruppe zB "FortiGroup-Guest"]
# set group-type guest
# set user-id [email | auto-generate | specify]
# set password [auto-generate | specify | disable]
# set user-name [enable | disable]
# set email [enable | disable]
# set mobile-phone [enable | disable]
# set default-expire [seconds]
# end
Guest admin profile options
# config system admin
# edit [Name des Administrators]
# set guest-auth [enable | disable]
# set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
# end
SSID Security Mode option –captive-portal
# config wireless-controller vap
# edit [Name des SSID Profiles zB "only4guest"]
# set vdom "root"
# set ssid [Name der SSID zB "only4guest"]
# set security captive-portal
# set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
# set intra-vap-privacy enable
# end
# config system interface
# edit [Name des Interface für SSID zB "only4guest"]
# set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
# set allowaccess ping
# set devindex 0
# set device-identification enable
# set snmp-index 0
# end
# config system dhcp server
# edit [Gebe einen Integer an zB 1]
# set forticlient-on-net-status disable
# set dns-service default
# set default-gateway [IPv4 Adresse zB 192.168.10.1]
# set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
# set interface [Interface für DHCP Server zB "only4guest"]
# config ip-range
# set start-ip 192.168.10.2
# set end-ip 192.168.10.254
# end
# end
Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:
# diagnose test guest ?
add add a guest user
del delete guest users
list list guest users
# diagnose test guest list
user_id=new-user-1@beispiel.com
group=Beispiel-Gruppe
user_name=gast-1
password=pwj8m9
mobile_phone=
sponsor=
company=
email=new-user-1@beispiel.com
expire=1 Hours
# diagnose test guest add
<group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>
# diagnose test guest del
12 deleted for group , user-id
# diagnose test guest list
0 found for group , user-id
Wie implementiere ich ein "Wireless Guest Access Provisioning" (Guest Management) ein "Custome Language File"?
Auf einer FortiGate ist das Web Mgmt. Gui und andere Gui's auf Englisch. Unter der folgende Position können andere Sprachen gewählt werden:
System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]
Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):
• Guest Management Admin Accounts (Guest Access Provisioning)
• SSL VPN Portal
• SSL VPN Personal Bookmarks
Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:
# config system global
# set gui-custom-language enable
# end
Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Web. Mgmt. Interface auf der Fortiate
aktiviert:
System > Config > Advanced > Language
Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann
um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":
Datei:Sample-language-template.txt
Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:
System > Config > Advanced > Language > Create New
Danach kann das File raufgeladen werden:
Damit das entsprechende File benutzt wird in der Funktion muss dies unter Kommandozeil und/oder über Web Mgmt. Interface
konfiguriert werden:
VPN > SSL > Portals > [Wähle das entsprechende Portal] > Page Layout > [Wähle das entsprechende "Sprachfile"]
# config system admin
# edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
# set guest-auth enable
# set guest-lang [Wähle das entsprechende "Sprachfile"]
# end
# end
Kann ich für "Wireless Guest Access Provisioning" die Erstellung der Tickets limitieren?
Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" erstellen dh. Tickets. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket-Erstellung limitiert. Unter FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:
# config user group
# edit guest-group
# set group-type guest
# set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
# end
# end
NOTE Wird die Limitierung gesetzt in einer Situation indem die "restricted" Administratore bereits Ticket's erstellt
haben muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert tiefer konfiguriert werden
so muss um den Wert anzupassen zuerst Tickets gelöscht werden.
Remote
Wie konfiguriere ich einen FAP-11C für einen Remote Zugriff?
Ein Forti Access Point 11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point 11C, 14C sowie 28C da diese Access Point über einen Internal Switch verfügen der es dem User/Client erlaubt entweder über den Internen Switch zu arbeiten oder über WiFi resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:
_________
| | 193.193.135.70
| FAP-11C |--|
|_________| |
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP-11C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN
NOTE In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "DMZ" durchgeführt! Bedeutet dieses
DMZ ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen
benützt.
Alle Forti Access Point benützen für deren Komunikation zum WiFi Controller CAPWAP. Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F
Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden sind per Standard Clear-Text. Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel "vom" FortiAccess Point zum WiFi Controller der FortiGate zu verschlüsseln. Weitere Informationen zu DTLS siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_.22WiFi_Data_Channel_Encryption.22_.28DTLS.29_und_wie_konfiguriere_ich_Diese.3F
Um einen Remote Zugriff zu konfigurieren kann im Grundsatz normal Vorgegangen werden in der Konfiguration eines Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point in Betrieb genommen wird und was dabei zu beachten ist:
FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_in_Betrieb_und_konfiguriere_ich_diesen.3F
Sobald der Forti Access Point intern getestet wurde sollte dieser unter der folgenden Position gelöscht werden:
WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]
Als Nächstes muss dem Forti Access Point mitgeteilt werden mit welchen FortiGate WiFi Controller er sich Remote zu verbinden hat. Dies muss auf dem Forti Access Point über Web Mgmt. Interface oder CLI konfiguriert werden. Die Informationen die eingeben werden können sind:
IPv4 Adresse
FQDN (Fully Qualified Domain Name]
Um auf den Forti Access Point lokal zu verbinden kann die Default IP des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
Es können für Failover Zwecke bis zu 3 WiFi Controller konfiguriert werden:
Datei:Fortinet-700.jpg
NOTE Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Sobald der
Forti Access Point auf seinem WAN Interface über ein existierenden Segment/Subnet eine IP zugewiesen bekommt
beginnt der Forti Access Point über IPv4 Adresse und/oder FQDN den WiFi Controller über CAPWAP (UDP 5246) zu
erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf
"Auto" konfiguriert was wiederum bedeutet:
Broadcast -> Multicast > Static > DNS > DHCP
In dieser Reihenfolge versucht der Forti Access Point über UDP 5246 den definierten WiFi Controller zu erreichen.
Aus diesem Grund wenn zB nur ein IPv4 Adresse definiert wird sollte "Static" benutzt werden. Wenn ein FQDN benutzt
wird ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS
Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:
# cfg -a DNS_SERVER=[DNS Server IP Adresse]
Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:
# cfg -a WTP_NAME=FP11C3X12001413 [Hostname Forti Access Point]
# cfg -a ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -a STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
# cfg -a TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
# cfg -a HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
# cfg -a AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
# cfg -a AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_2= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_3= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_2= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_3= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_CTL_PORT=5246 [CAPWAP Comunication Port]
# cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
# cfg -a AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]
Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. "DTLS" ist bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate WiFi Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end
Als nächstes muss gewährleistet sein, dass der Forti Access Point über dessen WAN Interface den FortiGate Device resp. WiFi Controller erreichen kann. Dies kann nur dann durchgeführt werden wenn das WAN Interface des Access Point mit einer IPv4 Adresse konfiguriert wird. Dies kann anhand der "Network Configuration" erreicht werden indem diese auf "DHCP" oder "Static" gesetzt wird. Unter normalen Umständen sollte die Konfiguration auf "DHCP" belassen werden. Wenn der User den Access Point in einem Segment zB zu Hause mit dem WAN Interface verbindet wird diesem WAN Interface über den existierenden DHCP Server in diesem Segment eine IP zugewiesen. Wenn dies durchgeführt wurde, beginnt der Forti Access Point über die definiert IPv4 Adresse und/oder FQDN den WiFi Controller der FortiGate zu erreichen:
NOTE Um die Konfiguration über die CLI durchzuführen benütze folgende Befehle:
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]
DHCP Konfiguration (Default):
Datei:Fortinet-702.jpg
Static Konfiguration:
Datei:Fortinet-703.jpg
Damit die Anfragen des Forti Access Point auf den FortiGate WiFi Controller beantwortet werden muss CAPWAP auf der FortiGate für das WAN Interface aktiviert werden:
System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]
NOTE Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP 5246 auf dem
WAN Interface erlaubt. Die "Local-In" Policy erlaubt den UDP 5246 Traffic von jeder Source dh. soll diese
eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden.
Weitere Informationen dazu siehe nachfolgenden Artikel:
Fortigate:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F
Wenn nun der Forti Access Point in einer Remote Lokation benutzt wird so wird folgendes durchgeführt:
1. Verbinde in der Remote Lokation das WAN Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.
2. Dem Forti Access Point wird über DHCP auf das WAN Interface eine IP zugewiesen oder das WAN Interface wurde
mit einer LAN IP aus dem Segment/Subnet konfguriert.
3. Uber das WAN Interface werden UDP 5246 Anfragen an die definierte IPv4 Adresse und/oder FQDN an das WAN
Interface der FortiGate resp. WiFi Controller gesendet.
4. Der Forti Access Point erscheint auf dem FortiGate Device unter:
WiFi Controller > Managed Access Points
5. Dem Forti Access Point kann ein entsprechendes Profile zugewiesen werden.
Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende Profile sowie auf dem Forti Access Point selber durchgeführt werden:
FortiGate
Datei:Fortinet-705.jpg
FortiAP
Datei:Fortinet-706.jpg
Wenn man einer der Remote Forti Access Point's einsetzt dh. 11C, 14C sowie 28C hat man nun die zusätzliche Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Wie dies durchgeführt wird zeigt folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Switch_Port.27ss_eines_FAP_11C.2F14C.2F28C_benutzen.2Fkonfigurieren.3F
Bei einem Remote Zugriff wieviel Bandbreite benützt der Management Tunnel (CAPWAP) für die Komunikation?
Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:
--> Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
--> Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
NOTE Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!
LAN Port's / Switch
Wie kann ich die Switch Port'ss eines FAP 11C/14C/28C benutzen/konfigurieren?
Die FortiAP's 11C, 14C sowie 28C werden mit einem kleinen Switch ausgeliefert! Bis anhin (Stand FortiGate FortiOS 5.0.4 sowie FortiAP FortiOS 5.0.5) waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:
Fuer die LAN Port Konfiguration gelten folgende Restriktionen:
• Beim FortiAP-14C können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration!
• Jeder Node/Host der sich über die LAN Ports verbindet gilt als "Authentifiziert"!
• Dynamische V-Lan Konfiguration für Node/Host verbunden über die LAN Ports wird nicht unterstützt:
FortiAP:FAQ#Was_sind_.22Dynamische_VLAN.27s.22_und_wie_konfiguriere_ich_Diese.3F
• RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
• Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden (ab FortiOS 5.0.6 und FortiAP FortiOS 5.0.7)!
Die LAN Ports können komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden AP-Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
# end
NOTE Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende
Bedeutung:
offline Der Port wird komplett deaktiviert!
bridge-to-wan Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
bridge-to-ssid Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
nat-to-wan Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!
Bridge to SSID
Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
Client über die LAN Ports, wird dem Client über den DHCP Server, der für die SSID konfiguriert wurde, eine IP zugewiesen. Der Traffic
des Clients, der sich am LAN Port verbindet, wird zum Wireless Controller gesendet. Ein "local bridging" ist nicht möglich! WiFi
Clients die diese SSID benutzen -die für das Bridging der LAN Ports benutzt wurde- sowie die Clients die über den Switch Port verbunden
sind, können untereinander uneingeschränkt komunizieren. Es findet keine Authentication auf den LAN Ports statt! Die Clients, die über
die LAN Ports in diesem Modus verbinden, sind über den folgenden Menpunkt ersichtlich:
WiFi Controller > Monitor > Client Monitor
Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen! Auf dem FortiAP steht
die DTLS Verschlüsselung per Standard auf "Clear Text or DTLS Enabled" dh. der FortiAP bietet beides an. Somit steuert der Wireless
Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
FortiAP:FAQ#Was_bedeutet_.22WiFi_Data_Channel_Encryption.22_.28DTLS.29_und_wie_konfiguriere_ich_Diese.3F
Bridge to WAN
Es wird ein "bridge-to-wan" auf das WAN Interface durchgeführt was folgendes bedeutet: Verbindet sich ein Client über die LAN Ports,
wird dem Client über den DHCP Server sofern dieser existiert- im WAN Segment eine IP zugewiesen. WiFi Clients die über eine SSID auf
dem FortiAP verbunden sind und Clients die über die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn
eine entsprechende Firewall Policy auf der FortiGate implementiert wird! Somit wenn dies der Fall ist, wird der Traffic über die FortiGate
abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!
NAT to WAN
Es wird ein "nat-to-wan" auf dem WAN Port durchgeführt dh. die Source des Traffic vom LAN Port wird translated anhand der IP die auf
dem WAN Port existiert.
Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter folgender Position sofern es sich um ein Profile handelt für eine FAP, der über einen internen Switch verfügt:
WiFi Controller > WiFi Network > Forti/Custom AP Profiles
Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port-ssid [Name der gewünschten SSID]
# set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# end
# set dtls-policy [ dtls-enabled | clear-text]
# end
Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:
FortiAP:FAQ#Gibt_es_die_Funktion_.22Split_Tunneling.22_f.C3.BCr_Forti_Access_Points_und_deren_SSID.27s.3F
Sniffer
Kann ich einen FortiAP als Sniffer benutzen um den Traffic zu verfolgen (capture)?
Ja dies ist möglich jedoch mit folgenden Einschränkungen:
--> Nur ein Radio auf's Mal kann benutzt werden um den Sniffer auszuführen (capture)
--> Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden
Wenn ein Radio für den Sniffer Mode konfiguriert wurde so wird lokal auf dem FortiAP ein File in folgendes Verzeichnis abgelegt:
/tmp/wl_sniff.pcap
NOTE Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des FortiAP durchgeführt
wird so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none"
Persistent Verzeichnis handelt. Aus diesem Grund muss das File "vor" einem Neustart per TFTP
auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren
benutze folgende Kommandos:
# cd /tmp
# ls
wl_sniff.cap
# tftp
BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server
Options:
-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file
Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:
# tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IP Adresse des TFTP Servers] 69
Um einen FortiAP in den Sniffer Mode zu versetzen muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:
# config radio-1
# set mode disabled
# end
# config radio-2
# set mode sniffer
# set ap-sniffer-bufsize 32
# set ap-sniffer-chan 1
# set ap-sniffer-addr 00:00:00:00:00:00
# set ap-sniffer-mgmt-beacon enable
# set ap-sniffer-mgmt-probe enable
# set ap-sniffer-mgmt-other enable
# set ap-sniffer-ctl enable
# set ap-sniffer-data enable
# end
# end
NOTE Durch die folgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:
ap-sniffer-add --> Kann angegeben werden um einen spezifischen Client zu definieren dh. anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
ap-sniffer-chan --> Kann angegeben werden um einen spezifischen Channel zu definieren
Sobald die Konfiguration durchgeführt wurde ist diese ebenfalls über das Mgmt. WebInterface resp. GUI ersichtlich:
Datei:Fortinet-699.jpg
Wenn nun das Profile "FortiAP-Sniffer" einem FAP zugewiesen wird so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI der FAP verifiziert werden:
# iwconfig
Durch diesen Befehl werden die entsprechenden WLAN Interface aufgelistet und das entsprechende ist im "monitor" Mode dh.:
Mode: Monitor
Authentication
Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine WiFi Authentication?
Wenn man für ein WiFi Client eine Authentication implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme, speziell wenn die Authentication über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Client/Workstation zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung des Passwortes vers. "password hashing schemas" die jedoch NICHT Kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muss der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn "kein" OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte so ist die "Im Allgemeinen" zu bevorzugende Variante eine Radius Authentication Implementierung. Diese "Radius Authentication" verifiziert die Credentials des Client/Workstation im Active Directory (Anbindung des Active Directory im Radius Server). Durch diese Art der Anbindung/Authentication wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Client aus eine Verifizierung des Radius Servers erfolgt sollte/kann dieser anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Verisign) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich dafür da den Radius Server zu verifizieren "bevor" die Credentials gesendet werden. Als Radius Server können vers. Produkte eingesetzt werden! Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers auf einem Windows 2008 Server.
NOTE Die bevorzugende Variante anstelle eines Windows 2008 Server ist der FortiAuthenticator einzusetzen.
Weitere Informationen zu diesem Produkt findet man unter folgenden Artikel:
FortiAuthenticator:FAQ
Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf
Wie konfiguriere ich für einen Public HotSpot der Swisscom die Authentication und SSID?
Nun ein Public HotSpot der Swisscom kenn grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:
SSID MOBILE (Authentication "Open")
SSID MOBILE-EAPSIM (Authentication "WPA2-Enerprise" / Radius Port 1645)
NOTE In naher Zukunft werden diese zwei SSID's MOBILE und MOBILE-EAPSIM verschwinden und durch folgende ersetzt:
Swisscom (Vorher MOBILE)
Swisscom_Auto_Login (Vorher MOBILE-EAPSIM)
Die Schreibweise der neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen
die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten
Zeit lanciert werden benützen bereits die neuen SSID's!
SSID MOBILE
Mit der SSID MOBILE wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu gelangen.
Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese SSID
angeht wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom Login
etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten Arten
wie zB Kreditkarte.
SSID MOBILE-EAPSIM
Die SSID MOBILE-EAPSIM steht ausschliesslich Swisscom Kunden zur Verfügung denn wenn der Kunde diese SSID angeht
wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius Authentifizierung
abgearbeitet. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting durchzuführen.
Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE" sowie "MOBILE-EAPSIM" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. In unserem Beispiel existiert ein dedizierter Port (port2) über diesen die Swisscom mit dessen Environment angehängt ist (Für Internet Access und Authentifizierung). Nachfolgend einen Ueberblick über das Env der Swisscom in unserem Beispiel (Representiert die Umgebung die über besagten "port2" verbunden ist):
Datei:STUE WSTA.pdf Datei:STUE WLS.pdf
Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM Authentifizierung einen Radius Server. Erstelle diesen unter:
User > Remote > RADIUS
Datei:Fortinet-315.jpg
NOTE Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server vergeben.
Dies bedeutet in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem
Verantwortlichen der Swisscom mitgeteilt werden in welcher ART und WEISE die MAC Adresse übermittelt wird um
die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen (Standard Format Beispiel:
0000.4096.3e4a, Unformatiert Beispiel: 000040963e4a)
NOTE Der Swisscom Radius Server in unserem Fall arbeitet noch mit dem "old radius port" dh. nicht mit 1812
sondern mit Port 1645. Dieser muss per Console umgestellt werden:
# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end
Um die Anbindung zu überprüfen siehe folgender Artikel:
Fortigate:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F
Für die Konfiguration der SSID "MOBILE" und "MOBILE-EAPSIM" gehe folgendermassen vor:
Als Erstes erstelle die SSID's "MOBILE" und "MOBILE-EAPSIM" unter folgendem Konfigurationspunkt:
WiFi Controller > WiFi Network > SSID
Datei:Fortinet-310.jpg
NOTE Die IP 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und
auf einer Fortigate wird durch diese IP ein virtuelles Interface unter folgenden Punkt erstellt:
System > Network > Interface
Datei:Fortinet-311.jpg NOTE Die IP 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IP ein virtuelles Interface unter folgenden Punkt erstellt: System > Network > Interface
Nun erstelle ein Profile indem die zwei SSID's hinzugefügt werden:
WiFi Controller > Manage Access Points > Custom AP Profile
Datei:Fortinet-312.jpg
NOTE Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei
SSID's "MOBILE" und "MOBILE-EAPSIM" unter SSID den entsprechenden Radios hinzu!
Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein Interface auf einer Fortigate (ist nicht ein Muss) sowie einen DHCP Server auf diesem Interface, dass den FortiAP's die entsprechende IP vergibt. In unserem Beispiel haben wir ein dezidiertes Access Point Interface dh. port1:
System > Network > Interface
Datei:Fortinet-313.jpg
Erstelle den dazugehörigen DHCP Server:
NOTE In neueren Versionen von FortiOS 5.0 / 5.2 exisitert der seperate Menüpunkt des DHCP Server nicht mehr sondern
befindet sich innerhalb der Interface Konfiguration!
System > Network > DHCP Server
Datei:Fortinet-314.jpg
Nun kann der Access Point an port1 resp. in diesem Segment angeschlossen werden!
NOTE Damit ein Access Point mit dem Wireless Controller komunizieren kann muss Broadcast, Multicast sowie Unicast auf diesem
Segmment aufgeschaltet sein und nicht geblockt werden.
Nun muss das vorhergehende Profil "Swisscom-HotSpot" auf den entsprechenden FortiAP geladen werden. Dies bedeutet der neu angeschlossene FortiAP sollte nun ersichtlich sein unter:
WiFi Controller > Manage Access Points > Manage FortiAP
Sobald der Access Point ersichtlich ist Doppelklicke den Eintrag dieses FortiAP und wähle:
Authorize
Nun kann unten das entsprechende Profile geladen werden dh. "Swisscom-HotSpot". Sobald bestätigt wird so wird die Konfiguration auf den FortiAP geladen (dauert ca. 3 - 4 Minuten)!
NOTE Achte immer auf die Firmware Revisionen der FortiGate und der Access Points dh. weitere Informationen betreffend
welche Firmware auf der FortiGate und/oder FortiAP eingesetzt werden soll siehe Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_eingesetzt_werden.3F
Im Grundsatz sind die Forti Access Point nun konfiguriert, jedoch die angemeldeteten Clients müssen vom DHCP Server der Swisscom eine IP bekommen. Bei "MOBILE" geschieht dies "ohne" eine Authentifizierung (Open). Bei MOBILE-EAPSIM wird erst eine IP vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und MOBILE-EAPSIM. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:
SSID MOBILE (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
SSID MOBILE-EAPSIM (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
NOTE In neueren Versionen von FortiOS 5.0 / 5.2 exisitert der seperate Menüpunkt des DHCP Server nicht mehr sondern
befindet sich innerhalb der Interface Konfiguration!
System > Network > DHCP Server
Datei:Fortinet-316.jpg
Datei:Fortinet-317.jpg
Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE und MOBILE-EAPSIM Authentifizieren sich in disem Segment, beziehen die IP Adresse sowie "surfen" (Internet Access) über dieses Segment. Dies bedeutet sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir Policy Routen:
Router > Static > Policy Route
Datei:Fortinet-318.jpg
Datei:Fortinet-319.jpg
Damit die IP des Radius Server "129.132.254.70" (User > Remote > RADIUS) ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:
Router > Static > Static Route
Datei:Fortinet-320.jpg
Nun fehlt nur noch die Policy:
Datei:Fortinet-321.jpg
Datei:Fortinet-322.jpg
Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Inteface (port2) einen Sniffer über die Console laufen zu lassen:
# diagnose sniffer packet port2
Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":
4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
Für das bessere Verständnis nachfolgend noch folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):
Datei:Fortinet-323.jpg
Wie erstelle ich ein sicheres WLAN Passwort und was ist dabei zu beachten?
Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Access Point mind. WPA2 eingestellt sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Gleichfalls wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken von neuem, um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.
Kann ich für ein WiFi SSID ein Captive Portal konfigurieren?
Ein "Captive Portal" ist dann möglich wenn der Traffic über CAPWAP (Mgmt. Tunnel) zum WiFi Controller auf der FortiGate übermittelt wird. Dies bedeutet: Ein Captive Portal kann nicht konfiguriert werden, wenn innerhalb einer SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum WiFi Controller der FortiGate übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement übermittelt wird. Das Captive Portal wird über folgende Position im Web Mgmt. Interface konfiguriert:
WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal
NOTE Neu unter FortiOS 5.2 stehen im Zusamenhang mit dem Captive Portal neue Funktionen zur Verfügung! Speziell
sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der
Position "Authentication Portal" kann nun neu unter FortiOS 5.2 auch ein externes Portal dh. das sich nicht
auf der FortiGate befindet benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die
eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt
List" von der "regulären Gruppe" (User Groups) Ausnahmen zu definieren! Diese "Exempt List" kann jedoch nur
verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID definiert wird:
Um ein Captive Portal innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security captive-portal
# set portal type [auth | auth+disclaimer | disclaimer | email-collect]
# set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
# end
# end
Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" mit
folgenden Kommando definiert werden:
NOTE Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich "nicht" anmelden müssen über
das Captive Portal dh. diese können sich ohne Authentifizierung und ohne Captive Portal sowie Disclaimer
verbinden!
# config user security-exempt-list
# edit [Name der Liste
# config rule
# edit [Vergebe einen entsprechenden Integer zB 1]
# set description [Bezeichnung der Liste Optional]
# set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
# set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
# end
# end
# end
Wird bei einer Radius Authentication die Funktion "Accounting" unterstützt?
Wenn ein zB WPA2/Enterprise Authentifizierung über Radius für eine SSID konfiguriert wird dh. mit einem entsprechenden Radius Server auf der FortiGate wird das "Radius Accounting" unter FortiOS 5.2 unterstützt. Bei der Radius Accounting Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IP sowie Usernamen zum Radius Server übermittelt. Wenn "Radius Accounting" auf dem Radius Server benutzt wird beginnt nach einer erfolgreichen Authentifizierung eine "interne Zurechnung". Diese "interne Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server sendet dieser dem zuständigen Device zB der FortiGate eine Accounting Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei WiFi HotSpot's benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt kein "Radius Accounting". Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:
http://de.wikipedia.org/wiki/RADIUS_(Protokoll)
Wireless Health
Gibt es eine Möglichkeit die Forti Access Point zu überwachen (Health Monitor)?
Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate überwachen. Die Möglichkeiten über SNMP sind jedoch beschränkt. Ab FortiOS 5.0.4 / 5.2 gibt es neu die Möglichkeit die am Wireless Controller angeschlossenen Forti Access Point über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende Widgets für die Uberwachung zur Verfügung:
WiFi Controller > Monitor
Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22.3F
WIDS
Was bedeutet "Wireless IDS" (WIDS) und wie konfiguriere ich diese Funktion?
"Wireless IDS" (WIDS) ist ein Intrusion Detection System (ab FortiOS 5.0 / 5.2) und überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten. Wenn ein Angriff stattfindet wird dieser auf der FortiGate ins Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen etc.
• Unauthorized Device Detection
• Rogue/Interfering AP Detection
• Ad-hoc Network Detection and Containment
• Wireless Bridge Detection
• Misconfigured AP Detection
• Weak WEP Detection
• Multi Tenancy Protection
• MAC OUI Checking
Per Standard existiert ein "default" Profil. Dieses Profile wird innerhalb eine Access Point Profil's als "default" automatisch ausgewählt! Das "default" Profile enthält folgendes:
NOTE Ab FortiOS 5.2 wird kein automatiesches "default" WIDS Profile mehr konfiguriert innerhalb der Forti Access Point's
Profile sondern muss explizit hinzugefügt werden. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS
5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet
man im nachfolgenden Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F
FortiOS 5.0
WiFi Controller > WiFi Network > WIDS Profiles
# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
used-by :
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
FortiOS 5.2
WiFi Controller > WiFi Network > WIDS Profiles
# config wireless-controller wids-profile
# edit default
# get
name : default
comment : Default WIDS profile.
used-by :
ap-scan : enable
ap-bgscan-period : 600
ap-bgscan-intv : 1
ap-bgscan-duration : 20
ap-bgscan-idle : 0
ap-bgscan-report-intv: 30
ap-bgscan-disable-day:
ap-fgscan-report-intv: 15
ap-scan-passive : disable
rogue-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Positionen:
Split Tunneling
Gibt es die Funktion "Split Tunneling" für Forti Access Points und deren SSID's?
Wenn ein Forti Access Point Remote benutzt wird sei es als Remote Zugang und/oder Remote Lokation konnten im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate WiFi Controller gesendet wird. Unter FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt zu erlauben. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt:
NOTE Diese neue Funktion wird ausdrücklich "nur" im "Tunnel to Wireless Controller" Mode empfohlen! Desweiteren
steht diese Funktion nur "FortiOS 5.2 zur Verfügung. Dies bedeutet wenn ein Upgrade in Betracht gezogen wird
müssen deren Auswirkungen berücksichtigt werden. Weitere Informationen findet man im nachfolgenden Artikel:
FortiAP:FAQ#Kann_ich_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F
# config wireless-controller vap
# edit [Name des entsprechenden SSID Profile]
# set split-tunneling enable
# end
# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Gebe einen entsprechenden Integer an zB 1]
# set dest-ip [IPv4 Adresse plus Subnet Maks zB 192.168.10.0/24]
# end
# end
CAPWAP / DTLS
Ist der Traffic zwischen dem Ethernet Interface des Forti Access Point und der FortiGate verschlüsselt?
Der Traffic zwischen dem Ethernet Interface (WAN) eines Forti Access Point und dem FortiGate WiFi Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei ist der Traffic zwischen der FortiGate und dem Forti Access Point "Enkapsuliert" (Encapsulated) in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen der FortiGate und den Forti Access Point kann DTLS Verschlüsselung Optional zugeschaltet werden (Ab FortiOS 5.0 / 5.2). Ebenfalls kann sofern notwendig die Verschlüsselung durch "Clear Text" komplett ausgeschaltet werden. Weitere Informationen zu diesem Thema siehe nachfolgende Artikel:
FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F FortiAP:FAQ#Was_bedeutet_.22WiFi_Data_Channel_Encryption.22_.28DTLS.29_und_wie_konfiguriere_ich_Diese.3F
Wie werden Forti Access Point über die Fortigate gesteuert/konfiguriert (CAPWAP)?
Der Standard der benutzt wird um die Forti Access Point über die Fortigate zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:
http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol
Die Ports die benutzt werden für CAPWAP sind per Standard:
UDP 5246 und 5247
Ab FortiOS 5.0.3 kann die CAPWAP Funktion sprich ob dieser Traffic resp. Funktion zugelassen ist oder nicht über die Interface Konfiguration "Administrative Access" aktiviert und/oder deaktiviert werden:
System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP
Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend (Anhand Zertifikate auf der FortiGate sowie auf dem Forti Access Point)! Per Standard ist der "Data Channel" der die WiFi Client's benutzen um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:
FortiAP:FAQ#Was_bedeutet_.22WiFi_Data_Channel_Encryption.22_.28DTLS.29_und_wie_konfiguriere_ich_Diese.3F
Wenn es betreffend WiFi Client's zu Performance Problemen kommt die zurück zu führen sind auf Defragmentierung gibt folgender Artikel Auskunft was getan werden kann:
FortiAP:FAQ#Wie_kann_ich_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F
Was bedeutet "WiFi Data Channel Encryption" (DTLS) und wie konfiguriere ich Diese?
DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic -der vom Access Point WAN Interface zum WiFi Controller (FortiGate)- zu übermitteln. Der "Data Channel" wird "Enkapsuliert" (Encapsulated) im CAPWAP zum WiFi Controller übermittelt. Per Standard wird dieser Traffic "nicht" verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen das "beide" Seiten dh. der FortiGate WiFi Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate WiFi Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate WiFi Controller die Funktion gesteuert werden. Wenn auf dem FortiGate WiFi Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funkton "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn das "automatic" Profil das zur Verfügung steht (nur unter FortiOS 5.0) benutzt wird, kann nur "Clear Text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren benutze folgendes:
NOTE Die Funktion DTLS Verschlüsselung sollte nur dann aktiviert werden, wenn die Komunikation über ein "NICHT" Trusted
Environment durchgeführt wird dh. zB Internet, öffentliche Netze etc.!
Auf dem FortiGate WiFi Controller:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end
Auf dem FortiAP:
# cfg -a AC_DATA_CHAN_SEC=1
# cfg -c
NOTE Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:
• 0 is Clear Text
• 1 is DTLS Enabled
• 2 is Clear T ext or DTLS Enabled (default)
NOTE Wenn der Access Point über keinen Consolen Port verfügt kann für den Access Point über den WiFi
Controller eine Telnet Session etabliert werden. Weitere Information siehe folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Forti_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Wie kann ich innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern?
Ein Problem, dass nicht nur Fortinet based WiFi Produkte -die sich über einen Wireless Controller verwalten lassen- haben, ist eine eventuelle IP Fragmentation innerhalb des CAPWAP Tunnels. Eine Fragementierung tritt auf, wenn das zu übermittelnde Packet die "max. transmission unit" (MTU) beinahe erreicht, jedoch der Overhead des CAPWAP noch dazu kommt. Dann ist das Packet grösser als die MTU und muss Fragmentiert werden. Fragementierung reduziert die Performance und kann sogar zum Datenverlust führen. Die Lösung zu diesem Problem geht FortiOS so an, dass der Wireless Client angewiesen wird kleinere Packete zu senden damit die "max. transmission unit" (MTU) inkl. dem CAPWAP Overhead nicht überschritten wird. Dies kann auf der CLI folgendermassen durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profile]
# set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
# set tun-mtu-uplink [0 | 576 | 1500]
# set tun-mtu-downlink [0 | 576 | 1500]
# end
# end
tcp-mss-adjust
Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS)
zu senden. Der Forti Access Point fügt dem "SYN" Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
und somit kann der Forti Access Point den Overhead des CAPWAP hinzufügen und eine Fragmentierung verhindern.
icmp-unreachable
Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der
Forti Access Point Packet verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
Wenn dies eintrifft sendet der Forti Access Point ein Packet zum Wireless Controller:
Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
tun-mtu-uplink
Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!
tun-mtu-downlink
Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!
NOTE Wenn "tcp-mss-adjust" oder "icmp-unreachable" aktiviert ist und der Wert für "tun-mtu-uplink/downlink" auf TCP MTU 1500
wird der Wireless Client angewiesen keine grösseren Packete zu senden als "1500". Dies bewirkt, dass die Packete die nach Erhalt
in den CAPWAP Tunnel gesendet werden, nicht fragementiert werden müssen.
Konfiguration
Für eine SSID betreffend "Security Mode" können welche Modi konfiguriert werden?
Die üblichen Security Mode können über das Web Gui konfiguriert werden:
Captive Portal
WPA2 Personal
WPA2 Personal with Captive Portal
WPA2 Enterprise
Andere stehen nur über die CLI zur Verfügung dh.:
FortiOS 5.0
# config wireless-controller wtp-profile
# edit [Name des SSID Profile]
# set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
# end
FortiOS 5.2
# config wireless-controller wtp-profile
# edit [Name des SSID Profile]
# set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
# end
Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic"?
Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind können die User -sofern "Block Intra-SSID Traffic" nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke von einem Device im selben Segment/IP Range (SSID). Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Access Point komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:
Block Intra-SSID Traffic Aktiviert
# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy enable
# set local-switching disable
# end
Block Intra-SSID Traffic Deaktiviert
# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy disable
# set local-switching enable
# end
Was bedeutet der Konfigurationspunkt "Rogue AP’s"?
"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der WiFi Controller der FortiGate indem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese -nicht regulären Access Points (Fake AP) zu unterdrücken- werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Um den WiFi Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:
NOTE Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Unter FortiOS 5.2
ist diese Funktion Profile basierend und wird diesem über das WIDS Profile zugewiesen!
FortiOS 5.0
WiFi Controller > WiFi Network > Rogue AP Settings
# config wireless-controller setting
# set ap-scan enable
# set on-wire-scan enable
# end
FortiOS 5.2
# config wireless-controller wids-profile
# set ap-scan enable
# set roque-scan enable
# end
Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden Profile's folgendes konfiguriert werden
NOTE Unter FortiOS 5.0 wird die Funktion innerhalb eines Forti Access Point Profiles (wtp) konfiguriert. Unter FortiOS 5.2
wurde diese Funktion in den WIDS Profile verschoben die einem Forti Access Point zugewiesen werden können.
FortiOS 5.0
WiFi Controller > WiFi Network > Custom AP Profiles
# config wireless-controller wtp-profile
# edit [Name des Profils]
# config radio-1
# set ap-bgscan enable
# set rogue-scan enable
# set ap-bgscan-period 300
# set ap-bgscan-intv 1
# set ap-bgscan-duration 20
# set ap-bgscan-idle 100
# end
# end
FortiOS 5.2
WiFi Controller > WiFi Network > WIDS Profiles
# config wireless-controller wids-profile
# edit [Name des entsprechenden WIDS Profil]
# set ap-scan [enable | disable]
# set ap-scan-passive [enable | disable]
# set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
# set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
# set ap-bgscan-period [Interval in Sekunden; Standard 600]
# set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
# set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
# set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
# end
Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration unter FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:
WiFi Controller > WiFi Network > WIDS Profiles
Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:
Wenn ein Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt, wird die Suche nach
irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Access
Points im gleichen IP Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und
WiFi Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt
"MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate
Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung"
muss mindestens ein WiFi Client vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten
sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die WiFi
MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht
korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:
# config wireless-controller global
# set rogue-scan-mac-adjacency [0 - 7; Standard 7]
# end
Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)?
ARRP "Automatic Radio Resource Provisioning" oder DRRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "Channels" für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden Channel. Dies bedeutet nichts anderes als: Wenn diese Position aktiviert ist sucht sich der FortiGate WiFi Controller den oder die besten "channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 5 Minuten evaluiert und falls notwendig dem FortiGate WiFi Client mitgeteilt damit dieser auf den neuen -sofern nötig- "channel" wechseln kann. Somit um DARRP richtig nutzen zu können ist die Vorraussetzung zu wissen welche "channel's" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:
NOTE Ab FortiOS 5.2 wird DARRP für die Modelle FAP-221C sowei FAP-320C ebenfalls unterstützt (802.11ac)
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F
Wenn nun feststeht welche "channel's" in der Umgebung bereits benutzt werden kann ein entsprechendes Forti Access Point Profil erstellt werden unter berücksichtigung der zu wählenden "channel's". Dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen unter den "channel's" zu verhindern. DARRP wird in den entsprechenden Profil (Radio 1 und/oder2) des Forti Access Point konfiguriert. Im Web Mgmt. Interface findet man diese Position im Profile unter:
WiFi Controller > WiFi Network > FortiAP Profiles > [Wähle das entsprechende Profil] > [Rechte Maustaste Edit] > [Radio 1 und/oder 2 Position "Radio Resource Provision"]
Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Profile Name]
# config radio-[1 oder 2]
# set darrp enable
# end
# end
Um nach der Konfiguration festzustellen ob eine Kollidierung unter den "channel's" exisitiert kann über Wireless Health Monitor die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:
FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Point_zu_.C3.BCberwachen_.28Health_Monitor.29.3F
NOTE Unter FortiOS 5.2 wurde innerhalb des Forti Access Point Profile's unter Radio-1 und/oder 2 die Position "Background Scan"
(ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22.3F
Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse"?
Unter FortiOS 5.0 existiert in den Forti Access Point Profiles unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health" siehe nachfolgenden Artikel:
FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Point_zu_.C3.BCberwachen_.28Health_Monitor.29.3F
Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's". Zu Analyse Zwecken kann dieser Konfigurationspunkt aktiviert jedoch im regulären Betrieb deaktiviert werden. Ueber Web Mgmt. Interface findet man diesen Konfigurationspunkt unter:
WiFi Controller > WiFi Network > Custom AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Background Scan"]
Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:
# config wirless-controller wtp-profile
# edit [Name des Profile]
# config radio-[1 oder 2]
# set ap-bgscan eanble
# end
# end
NOTE Dieser Konfigurationspunkt existiert unter FortiOS 5.2 nicht mehr und wurde ersetzt mit "Spectrum Analyse"!
WiFi Controller > WiFi Network > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Background Scan"]
# config wirless-controller wtp-profile
# edit [Name des Profile]
# config radio-[1 oder 2]
# set spectrum-analysis eanble
# end
# end
Was bedeutet der Konfigurations Punkt "short guard intervall"?
"Guard Intervalle", auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt, um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen, gegen die digitale Daten, die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei, wie störanfällig eine Übertragung ist. Je länger ein solches Intervall ist, desto besser schützt es gegen Störungen, desto geringer wird allerdings auch die Kanaleffektivität (Performance).
802.11 Guard Interval
Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
"short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
könnte entwickelt werden, um herauszufinden ob ein Short Guard Intervall von Vorteil wäre. Um die Komplexität
zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
zu erhöhen.
NOTE Wie erklärt dient dieser Konfigurtionspunkt der Performance resp. um diese zu erhöhen. Jedoch kann dieser
Konfigurationspunkt auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser
Konfigurationspunkt in der ersten Phase nicht zu benutzen resp. zu deaktivieren!
WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]
# config wireless-controller wtp-profile
# edit [Profile Name]
# config radio-[1 oder 2]
# set short-guard-interval enable
# end
# end
Was bedeutet der Konfigurations Punkt "channel-bonding" (Channel Width)?
Die Funktion "channel-bonding" (20/40 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat ist der Einsatz kontraproduktiv, störanfällig und deshalb nicht verfügbar. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu, auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" nicht zu empfehlen im 2.4 Ghz Bereich! Da die einzelnen Kanäle breiter werden, aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr, dass sich WLANs gegenseitig stören, wenn sie auf angrenzenden Kanälen funken. Das "channel-bonding" im 5 GHz Bereich kann innerhalb der Forti Access Point Profile für Radio-1 aktiviert werden:
NOTE Unter FortiOS 5.0 kann das "channel-bonding" aktiviert resp. deaktiviert werden. Jedoch kann das "channel-bonding"
nicht spezifisch auf 20MHz resp. 40MHz konfiguriert werden. Unter FortiOS 5.2 ist dies nun möglich.
FortiOS 5.0
WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
# config wireless-controller wtp-profile
# edit [Name des Profile]
# config radio-1
# set channel-bonding [enable | disable]
# end
FortiOS 5.2
WiFi Controller > WiFi Network > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
# config wireless-controller wtp-profile
# edit [Name des Profile]
# config radio-1
# set channel-bonding [20MHz | 40MHz]
# end
Was bedeutet "fast-roaming" und wie konfiguriere ich diese Funktion?
Wenn User sich in einem Netzwerk befinden/verbunden sind -speziell zB mit Mobile Devices- kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen -sich in Reichweite befindenden- Forti Access Point wieder verbunden. Dadurch wird eine nochmalige Authentifizierung ausgelöst. Möchte man diese abermalige Authentifikation verhindern so muss "fast-roaming" aktiviert werden. "fast-roaming" benützt 2 Unterschiedliche Techniken:
• Pairwise Master Key (PMK) Caching
Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im
Cache abgelegt wird der mit dem ersten AP mit dem sich der User zu Beginn
verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch
bekannt als "fast roam back"!
• Pre-authentication oder "fast-associate in advance"
Aktiviert eine 802.11 Access Point der mit einem Client verbunden ist um
den verbundenen Client auf "event." weiteren Access Points zu verbinden
authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen
weiteren Access Points auf dem sich der Client verbinden könnte dh. es
veranlasst den Access Point auf dem der Client verbunden ist diesen PMK
abzulegen um zukünftige Authentifizierung für den Client durchzuführen
ohne das dieser eine Authentifizierung selber/manuell abermals durchführen
muss.
NOTE Die Option "fast-roaming" ist/wird per Standard auf jeder SSID aktiviert!
# config wireless-controller vap
# edit [wtp-profile Name]
# set fast-roaming enable
# end
Was bedeutet "Client Load Balancing Access Point Hand-off" und wie konfiguriere ich diese Funktion?
Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing" (ab FortiOS 5.0 / 5.2). Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende:
Ein "Hand-off" wird durch den Access Point ausgelöst anhand des "threshold" (Standard 30).
Wenn der "Load" auf einem Access Point den gesetzten "threshold" übersteigt, wird der WiFi
Client angewiesen auf den nächsten Access Point und/oder Radio zu wechseln. Für diesen
Wechsel -der "Hand-off" genannt wird- ist die Signalstärke des Client entscheidend (RSSI
threshold). Dieser Wert erhält der Client vom zuständigen Access Point. Um zu verhindern
das ein Zugriff auf den Client (durch Access Point) verhindert wird, werden wiederholende
Anfragen zum Access Point - durch den WiFi Client, auf dem Access Point auf dem der WiFi
Client momentan verbunden ist- akzeptiert. Diese Funktion nennt man "soft-limit".
Datei:Fortinet-340.jpg
Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden Profil ein- oder auszuschalten sowie den "threshold" zu setzen:
# config wireless-controller wtp-profile
# edit [Name des zu editieren Profil]
# set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
# config radio-1
# set ap-handoff {disable | enable}
# end
# config radio-2
# set ap-handoff {disable | enable}
# end
# end
NOTE "handoff-sta-thresh" bedeutet: Der Durchschnitt (verbundene Clients) der erreicht werden soll auf einem Access Point,
bevor diese angewiesen werden sich auf dem nächsten Access Point zu verbinden! Die Konfiguration kann ebenfalls im Web Mgmt.
Interface innerhalb des Access Point Profile's für Radio-1 und/oder 2 durchgeführt werden jedoch kann die Funktion nur
aktiviert oder deaktiviert werden. Um die "handoff-sta-thresh" zu konfigurieren muss die CLI benutzt werden!
Was bedeutet "Client Load Balancing Frequency Hand-off" und wie konfiguriere ich diese Funktion?
Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing". Die Funktionsweise des "Access Point Frequenzy Hand-off" (ab FortiOS 5) ist die folgende:
Der Wireless Controller überprüft in gewissen Abständen die WiFi Client's betreffend Ihrer
Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den Wireless Controller betreffend dem
WiFi Client die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn
ein neuer WiFi Client sich verbinden will, überprüft der Wireless Controller die MAC Adresse
des Client und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen
abgelegt sind wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der
Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht:
Datei:Fortinet-341.jpg
• Wenn der WiFi Client über "kein" Dual-Band verfügt: Wird dem WiFi Client erlaubt sich mit dem Access Point (2.4 GHz) zu verbinden!
• Wenn der WiFi Client über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der Wireless Controller nicht auf die Anfrage
betreffend 2.4 GHz sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den Access Point zu verbinden. Um zu verhindern, dass
ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Access Point durch den WiFi Client auf dem Access
Point auf dem sich der WiFi Client verbinden will akzeptiert.
NOTE Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden
wird automatisch 5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS
Devices.
Das "frequency-off" respektive der "threshold" wird unter der Kommandozeile folgendermassen konfiguriert:
# config wireless-controller wtp-profile
# edit [Name des zu editieren Profil]
# set handoff-rssi [Grenzwert des handoff; Standard 25]
# config radio-1
# set ap-handoff {disable | enable}
# end
# config radio-2
# set ap-handoff {disable | enable}
# end
# end
NOTE "handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Client bevor
der Client auf den 5 GHz Bereich verschoben wird!
Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden!
Was bedeutet "TX Power" und wie konfiguriere ich diese Funktion?
Bei "TX Power" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "TX Power" herabgesetzt werden. Neu unter FortiOS 5.0 / 5.2 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:
• Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
• Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
NOTE Die Informationen über die Signalstärke wird durch den FortiGate WiFi Controller gesammelt und ausgewertet. Aus
diesem Grund erkennt der WiFi Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der
über dessen FortiGate WiFi Controller verwaltet wird.
Dieser Konfigurationspunkt kann im entsprechenden Access Point Profil konfiguriert werden:
WiFi Controller > WiFi Network > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control / TX Power"]
# config wireless-controller wtp-profile
# edit [Name des Profile]
# config radio-[1 oder 2]
# set auto-power-level disable
# set power-level 100
# end
Was ist DFS (Dynamic Frequency Selection) Support und um was handelt es sich dabei?
Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard, ist diese Funktion implementiert worden, so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Hierdurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 / 5.2 unterstützt und zwar auf den folgenden FortiAP:
FAP-221B/C
FAP-320B (AB FortiOS 5.0.8 und nur für "European Union")
Datei:DFS Europe.pdf
Grundsätzlich gilt:
Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:
UNI1 : 4 Kanäle
UNI2 : 4 Kanäle
UNI2e : 7 Kanäle
UNI3 : 4 Kanäle
Für die Schweiz gilt:
Indoor: Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
Channels: 36 40 44 48 52* 56* 60* 64*
* Nur mit DFS Support!
Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
Channels: 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
* Nur mit DFS Support!
NOTE Die Channel's "52 56 60 64" dürfen in der Schweiz nur aktiviert werden wenn das Gerät DFS unterstützt und nur im
Indoor Bereich! Ebenso dürfen die Channels "100 - 140" nur dann aktiviert werden wenn der Access Point im Ausenbereich
eingesetzt wird. DFS ist zwingend für UNI2 und UNI2e!
Weitere technische Informationen zum DFS findet man unter folgenden Link:
http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection http://en.wikipedia.org/wiki/List_of_WLAN_channels http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de
Um was handelt es sich beim "802.11g Protection Mode" und wie/wann aktiviere ich diese Funktion?
Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:
http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination
Ab FortiGate 5.0.6 / 5.2 sowie FortiAP 5.0.7 / 5.2 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert auf "disable":
# config wireless-controller wtp-profile
# edit [Name des Profiles]
# config [Wähle den entsprechenden Radio im 5 GHz Bereich zB "radio-1"]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end
NOTE Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder
802.11b Clienst verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus
Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt.
Aus diesen Informtionen stellt sich die Frage "wann" dieser Mode eingeschaltet werden soll und wenn nicht. Die Antwort ist nicht generell zu beantworten jedoch kann man Grundsätzlich von Folgendem ausgehen:
• Wenn der Forti Access Point sowie die WiFi Clients ausschliesslich 802.11g und/oder 802.11n benutzenm kann der
Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:
protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
• Wenn der Forti Access Point sowie die Clients zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten
und diese "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:
protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b
Um was handelt es sich beim "802.11g Protection Mode" und wie/wann aktiviere ich diese Funktion?
Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:
http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination
Ab FortiGate 5.0.6 / 5.2 sowie FortiAP 5.0.7 / 5.2 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert auf "disable":
# config wireless-controller wtp-profile
# edit [Name des Profiles]
# config [Wähle den entsprechenden Radio im 5 GHz Bereich zB "radio-1"]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end
NOTE Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder
802.11b Clienst verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus
Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt.
Aus diesen Informtionen stellt sich die Frage "wann" dieser Mode eingeschaltet werden soll und wenn nicht. Die Antwort ist nicht generell zu beantworten jedoch kann man Grundsätzlich von Folgendem ausgehen:
• Wenn der Forti Access Point sowie die WiFi Clients ausschliesslich 802.11g und/oder 802.11n benutzenm kann der
Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:
protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
• Wenn der Forti Access Point sowie die Clients zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten
und diese "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:
protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b
Um was handelt es sich bei der Option "beacon-interval" und wann soll ich diese Funktion manipulieren?
Ein Wireless Access Point sendet in einstellbaren Intervallen (set beacon-intervall 100) kleine Datenpakete, sogenannte "Beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die Beacons enthalten u. a. folgende Informationen:
-> Netzwerkname ("Service Set Identifier", SSID)
-> Liste unterstützter Übertragungsraten
-> Art der Verschlüsselung
Dieses "Leuchtfeuer" erleichtert den Verbindungsaufbau ganz erheblich, da die Clients lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität – auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. Beacons werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet, der erfolgreiche Empfang des "Leuchtfeuers" garantiert also noch keine stabile Verbindung mit dem Netzwerk. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate steht dieser auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch bedeutet dies eine hohe Kapazität auf dem Access Point sprich viele Client können sich auf dem Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Clients benötigen eine sehr lange Zeit bis die Verbindung zustande kommt da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert werden die passiven Scan's der Client schneller beantwortet also ist die Verbindung schneller jedoch sinkt die Kapazität des Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Clients sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:
# config system wireless-controller wtp-profile
# edit [Name des Profiles]
# config radio-[1 | 2]
# set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
# end
NOTE Der Standard Wert 100 für "beacon's" ist unter normalen Umständen nicht zu manipulieren! Kommt es zu Problemen
sollte bevor der Interval der "beacon's" manipuliert wird event. die Option "probe-resp-suppresion" konsultiert werden
Dazu siehe folgender Artikel:
FortiAP:FAQ#Um_was_handelt_es_sich_bei_der_Funktion_.22Probe_Respond_Suppression.22_und_wann_soll_ich_diese_Funktion_aktivieren.3F
Um was handelt es sich bei der Funktion "Probe Respond Suppression" und wann soll ich diese Funktion aktivieren?
Um dem Client eine Verbindung auf einen Access Point zu ermöglichen sendet der Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:
FortiAP:FAQ#Um_was_handelt_es_sich_bei_der_Option_.22beacon-interval.22_und_wann_soll_ich_diese_Funktion_manipulieren.3F
Auf der Client Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln der "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel werden diese "probe request" Frame vom Client an den Access Point gesendet um über den "probe response" Informationen über einen Client im gleichen WLAN zu erhalten. Ebenfalls wird zB diese Funktion von "sniffing" Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Access Point über die folgende Option gesteuert:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set probe-resp-suppression [enable | disable]
# set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
# next
# end
NOTE Per Standard ist "probe-resp-suppression" deaktiviert dh. die Unterdrücken der Funktion ist deaktiviert.
Die Funktion kann nicht komplett deaktiviert werden durch "enable" jedoch kann durch die Werte "dBm"
gesetzt werden in "welchem Range" ein "prope response" gesendet werden soll. "probe request" ausserhalb
des Ranges werden nicht mehr beantwortet mit einem "probe response".
Channels
Welche Radio Channels existieren in den vers. Ländern?
Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:
Datei:Fortinet-304.jpg NOTE Zu Berücksichtigen ist der DFS (Dynamic Frequency Selection) Support! Weitere Informationen siehe Artikel: FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
Datei:Fortinet-305.jpg
Datei:Fortinet-306.jpg
Was bedeutet "overlapping wifi channels"?
Wireless-Verbindungen funktionieren auf Frequenzbändern auch Kanäle genannt. Einer der Gründe, dass eine WiFi Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird und somit die Verbindung beeinträchtigt wird. Somit sollte man dieses "overlapping" möglichst verhindern. Nachfolgend eine Abbildung für den 2.4 sowie 5 GHz Bereich des "overlapping":
Datei:Fortinet-330.jpg
Um herauszufinden welchen Kanal in der Umgebung verwendet wird, kann der Monitor auf dem FortiGate WiFi Controller benutzt werden. Siehe auch:
FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Point_zu_.C3.BCberwachen_.28Health_Monitor.29.3F
Dies bedeutet: man setzt einen "Radio" auf einem Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Alle Kanäle anzuwählen und "Radio Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar die DARRP Funktion zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F FortiAP:FAQ#Wie_kann_ich_herausfinden_welche_.22channel.27s.22_ich_benutzen_soll_auf_einem_Forti_Access_Point_um_.22overlapping.22_zu_verhindern.3F
Wie kann ich herausfinden welche "channel's" ich benutzen soll auf einem Forti Access Point um "overlapping" zu verhindern?
Wenn ein Forti Access Point eigerichtet wird, müssen die "channel's" (Kanäle) (speziell im 2.4 GHz Bereich) definiert/konfiguriert werden. Dazu stehen in der Schweiz (set country CH) 13 Kanäle zur Verfügung. Alle Kanäle zu selektieren sowie DARRP wäre die falsche Vorgehensweise da es so gezwungenermassen zu einem "ovelapping wifi channels" kommt. Weitere Informationen zu den Länderspezifischen Channels sowie DARRP siehe folgende Artikel:
FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
Eine Variante ist die Kanäle über die "dedicated monitoring" zu erkennen und zu analysieren. Eine weitere wäre die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:
FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F
Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhilft dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" augezeigt. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese Channels aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden im Profile:
NOTE Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen Channels
mind 4 freizulassen -sofern möglich- also im nachfolgenden Beispiel zB 2/7/12:
# get wireless-controller rf-analysis
WTP: FAP14C3X13000543 0-193.193.135.70:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 90 7 6 11
2 45 10 0 11
3 127 4 2 11
4 33 10 0 11
5 38 10 3 16
6 19 10 0 10
7 23 10 0 10
8 45 10 0 8
9 192 1 5 16
10 57 9 0 13
11 46 10 0 13
12 63 9 0 13
13 231 1 8 13
14 53 10 0 8
WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2
Controller: FGT60D4613048017-0
channel rssi_total
1 243
2 136
3 397
4 109
5 114
6 52
7 56
8 95
9 406
10 125
11 108
12 152
13 560
14 132
40 216
44 30
48 70
Es kann auch anhand der "wtp-id" nur ein spezifischer FAP aufgelistet werden:
# get wireless-controller rf-analysis FAP22B3U11011877
WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2
Desweiteren kann mit folgenden Befehl alle Access Point's augelistet werden, die durch den Scan erkannt werden:
# get wireless-controller scan
CMWF VF SSID BSSID CHAN RATE SIGNAL NOISE INT CAPS ACT LIVE AGE WIRED
(dBm) (dBm)
UNNN 0 00:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336613 52253 ? WME VEN VEN ATH
UNNN 0 12:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 22:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 32:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336763 52252 ? WME VEN VEN ATH
UNNN 0 42:09:0f:95:30:f0 8 11M -90 -95 100 ESs N 336618 52253 ? WME VEN VEN ATH
UNNN 0 4ourguests 58:97:1e:b3:4c:70 9 216M -45 -95 102 ESs Y 343847 203 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:71 9 216M -57 -95 102 ESs N 343847 1146 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:72 9 54M -57 -95 102 EPSs N 343847 1144 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:74 9 54M -42 -95 102 EPSs Y 343847 548 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:75 9 54M -59 -95 102 EPSs Y 343847 544 ? RSN VEN VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:76 9 216M -44 -95 102 EPSs Y 343847 203 ? RSN WPA WME VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:79 48 450M -60 -95 102 EP Y 343830 811 ? RSN WPA WME VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7a 48 54M -60 -95 102 EP N 342030 9211 ? RSN VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7b 48 54M -60 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7d 48 54M -59 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7e 48 450M -59 -95 102 E Y 340230 811 ? WME VEN VEN VEN VEN
Gibt es über das Web Mgmt. Interface eine Uebersicht ob mit irgendwelche fremden Access Point's ein Overlapping stattfindet (Interfering AP's)?
Wenn Access Points -speziell im 2.4 GHz Bereich- installiert werden, muss darauf geachtet werden -bei der Bestimmung der "channel's"-, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfindet. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:
FortiAP:FAQ#Wie_kann_ich_herausfinden_welche_.22channel.27s.22_ich_benutzen_soll_auf_einem_Forti_Access_Point_um_.22overlapping.22_zu_verhindern.3F
Um die Konfiguration nachträglich zu kontrollieren gibt es über folgende Position die Möglichkeit event. "overlapping's" resp. Interferenzen zu eruieren:
WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)
Diese Widget zeigt auf ob durch den FortiGate WiFi Controller event. "overlapping's" (Interferenze) bestehen. Siehe auch:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
Dies wird in den "Widget" unter der folgender Position aufgeführt:
Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:
NOTE Wird ein entsprechende Position unter "Interfering AP's" angewählt sieht man die Details wie "MAC Adresse des
fremden AP's, SSID, benutzter Channel und Signalstärke":
Es ist -je nach Anzahl fremder AP's- nicht immer möglich "overlapping's" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Clients den 5 GHz Bereich unterstützen sollte der 2.4 GHz Bereich gemieden werden!
FortiPlanner
Das Tool das Fortinet zur Plannung zur Verfügung stellt nennt sich FortiPlanner. Weitere Informtionen dazu siehe nachfolgenden Artikel:
FortiPlanner:FAQ
Site Survey
Gibt es eine Möglichkeit -ohne FortiGate- die Wireless Abdeckung anhand eines Forti Access Point zu testen?
Ja, diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort einzusetzen (ohne FortiGate) um die Abdeckung zu testen. Dabei kann -ohne eine FortiGate- ein Forti Access Point so konfiguriert werden, dass dieser eine SSID aussendet, mit der die Abeckung Vorort getestet werden kann. Um dies auf einem Forti Access Point zu konfigurieren führe folgendes durch:
NOTE Dieser Vorgang kann mit jedem FortiAP durchgeführt werden jedoch ist der FAP-221B zu empfehlen um ein "Site Survey"
durchzuführe! Wenn ein FAP-221B herangezogen wird um den "Site Survey" durchzuführen muss berücksichtigt werden, dass
dieser Forti Access Point -ohne PowerAdapter- geliefert wird (PoE). Weitere Informationen siehe dazu folgender Artikel:
FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F
1. Verbinde den Forti Access Point mit einer Workstation über die Ethernet Interface's; Konfiguriere auf der Ethernet Schnittstelle der Workstation folgende IP:
192.168.1.1/24 (Kein Gateway, Kein DNS)
2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface folgende IP konfiguriert:
192.168.1.2/24
NOTE Weitere Informationen zu "default" IP eines Forti Access Point siehe nachfolgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
3. Verbinde dich per Telnet auf die Forti Access Point anhand der IP Adresse:
telnet 192.168.1.2
4. Aktiviere den entsprechenden Mode auf dem AP anhand folgenden Befehls:
# cfg –a AP_MODE=2
# cfg -c
NOTE AP_MODE=2 bedeutet 2(Site Survey). Per Standard ist konfiguriert 0(Thin AP)! Weitere Informationen findet
man ebenfalls unter folgenden Artikel:
FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F
5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!
6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann nun die Abedeckung überprüft werden!
7. Soll die SSID oder andere Werte für die SSID im Survey Mode angepasst werden stehen folgende Einstellungen zur Verfügung:
• SURVEY_SSID='FAP_SURVEY' --> Diese Option vergibt den Namen für die SSID im Survey Mode.
• SURVEY_TX_POWER=30 --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige FortiAP's gilt ein Maximum von 17dBm.
• SURVEY_CH_24=6 --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
• SURVEY_CH_50=36 --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
• SURVEY_BEACON_INTV --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
NOTE Gesetzt werden die Werte folgendermassen:
# cfg -a [Entsprechende Option mit deren Wert]
# cfg -c
Soll der FortiAP wieder auf Factory Default gesetzt werden führe aus:
# cfg -x
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Forti_Access_Point_Manuell_auf_Factory_Default_setzen.3F
802.11
Wo finde ich weitere Informationen über den "IEEE 802.11" Standard?
Folgender Link gibt Auskunft über Standard und enthält weitere nützliche Links:
http://en.wikipedia.org/wiki/802.11
Wann kommt der 802.11ac Standard und um Was handelt es sich dabei?
Fortinet hat ein Dokument veröffentlich indem der neue "802.11ac" ([|IEEE 802.11ac] Standard beschrieben ist wie zB:
Do I need to buy new APs to support 802.11ac?
Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.
Datei:802.11ac Wireless LAN FAQ - July 2013.pdf Datei:802.11ac Wireless LAN FAQ - Januar 2014.pdf Datei:802.11ac Wireless LAN FAQ - Februar 2014.pdf NOTE Im Dokument FAQ vom Februar 2014 kommuniziert Fortinet, dass für die neuesn "C" Modelle für FortGate sowie FortiManager ein "special build" zur Verfügung gestellt wird! Dieser neue "Special Support Build" wurde nun unter folgenden Link für FGT/FWF zur Verfügung gestellt: https://support.fortinet.com/Download/FirmwareImages.aspx / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/ NOTE Dieser Link ist nur zugänglich wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Nur mit diesem "Special Support Build" werden FAP-320C und/oder FAP-221C unterstützt! NOTE Der Upgrade Path dieses "Feature_Support" ist gemäss "offiziellen" Upgrade Path dh. ausgehend davon folgendes Beispiel: - Installierte Version 5.0.x - Upgrade gemäss Upgrade Path auf 5.0.6 (Datei:FortiOS-Upgradepath.pdf) - Einspielen des "Feature_Support" Build Weitere Informationen betreffend der Firmware die auf dem Forti Access Point eingesetzt werden sollte siehe nachfolgender Artikel: FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_eingesetzt_werden.3F
Was ist mit 802.11AC MU-MiMo gemeint?
Unter "802.11AC MU-MiMo" (MI steht somit für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen) versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". Dahinter verbirgt sich im Prinzip ein cleveres Antennen-Management. So kann der Router seine Antennen gezielt aufteilen, wenn er mehrere Gegenstellen zu bedienen hat und damit jedem Konterpart eine besonders stabile und starke Verbindung garantieren:
Datei:Fortinet-326.jpg oder Datei:Fortinet-331.jpg
Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:
Datei:Fortinet-718.jpg
Wenn diese Technology für "802.11AC MU-MiMo" - die auch für den FAP-320B/C - benutzt wird eingesetzt werden soll so muss ebenfalls die Client Seite berücksichtigt werden! Dies bedeutet der Client selber - sei es zB Workstation und/oder Server etc - müssen diese Technology durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client (zB IPad) "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte.
4G/LTE
Was ist ein 4G/LTE Netzwerk und wie kann ich dieses benutzen?
Weitere Informationen zu diesem Thema siehe nachfolgenden Link:
FortiExtender:FAQ
CLI
Welche Kommandos können auf einem Forti Access Point über die CLI eingegeben werden?
Unter FortiOS 5.0 / 5.2 stehen folgende Kommandos zur Verfügung:
FortiOS 5.0
# fap-get-status
Version: FortiAP-220B v5.0,build064,140117 (GA)
Serial-Number: FAP22B3U11011877
BIOS version: 04000010
Regcode: E
Hostname: FAP22B3U11011877
Branch point: 064
Release Version Information:GA
# help
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool
# brctl -h
brctl: invalid argument '-h' to 'brctl'
BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary
Usage: brctl COMMAND [BRIDGE [INTERFACE]]
Manage ethernet bridges.
Commands:
show Show a list of bridges
showmacs BRIDGE Show a list of mac addrs
addbr BRIDGE Create BRIDGE
delbr BRIDGE Delete BRIDGE
addif BRIDGE IFACE Add IFACE to BRIDGE
delif BRIDGE IFACE Delete IFACE from BRIDGE
setageing BRIDGE TIME Set ageing time
setfd BRIDGE TIME Set bridge forward delay
sethello BRIDGE TIME Set hello time
setmaxage BRIDGE TIME Set max message age
setpathcost BRIDGE COST Set path cost
setportprio BRIDGE PRIO Set port priority
setbridgeprio BRIDGE PRIO Set bridge priority
stp BRIDGE [1|0] STP on/off
# cw_test_radio -h
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
# diag_console_debug -h
Usage:
diag_console_debug <on|off> --turn on/off console log message
# diag_debug_crashlog
Usage:
diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print
# cfg -h
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables
Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOG IN_PASSWD
ADM IN_TIMEOUT
Telnet and GUI session admin timeout in minutes
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
# cw_diag help
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA
FortiOS 5.2
# get system status
Version: FortiAP-221C v5.2,build490,140616 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 212
Release Version Information: GA
# help
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool
# cw_test_radio -h
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
# diag_console_debug -h
Usage:
diag_console_debug <on|off> --turn on/off console log message
# diag_debug_crashlog
Usage:
diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print
# cfg -h
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables
Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
# cw_diag help
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA
Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:
FortiAP:FAQ#Welche_Befehle_k.C3.B6nnen_auf_einem_FortiAP_OS_ben.C3.BCtzt_werden.3F
Troubleshooting
Wie kann ich einen Forti Access Point über den WiFi Controller neu starten?
Wenn man "einen" oder "mehrere" Forti Access Point über den FortiGate WiFi Controller neu starten möchte, ist folgendes Kommando auf der FortiGate auszuführen:
# execute wirless-controller reset-wtp [all | [Serien Nummer FAP]
This operation will reboot all specified WTP!
Do you want to continue? (y/n)y
Was kann getan werden wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate WiFi Controller?
Wenn ein Forti Access Point in einem bestimmten Subnet/Segment indem der Forti Access Point verwaltet wird nicht ersichtlich ist über den FortiGate WiFi Controller, speziell dann wenn er manuell betreffend IP konfiguriert wurde, ist dabei zu beachten das im betreffendem IP Subnet/Segment folgende Protokolle korrekt arbeiten und in diesem Segment für UDP-5246 folgendes zugelassen ist:
Broadcast
Multicast
Unicast
Auf einigen Switchen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste, dass diese Protokolle nicht über den Switch geblockt werden. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:
http://www.ietf.org/rfc/rfc5415.txt
Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP Port) kann folgendes durchgeführt werden:
Setze den Debug Filter zurück:
# diagnose debug reset
Setze einen neuen Debug Filter:
# diagnose debug application cw_acd 5
NOTE "5" stellt die "verbosity" dar. Diese "verbosity" zeigt ALLE Fehler an sowie den gesamten CAPWAP Prozess (Discovery,
Keep Uplive etc.) Sobald das "debug" nicht mehr benötigt wird muss die Funktion deaktivert sowie gelöschen werden
ansonsten läuft der Debug im Hintergrund weiter und der Filter bleibt bestehen!
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter zurück:
# diagnose debug reset
Kontrolliere den Debug Filter ob dieser zurückgesetzt wurde:
# diagnose debug info
Deszweiteren zB um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate, für das Interface auf dem der Forti Access Points verbunden ist, ausgeführt werden:
# diagnose sniffer packet any "port 5246" 6 0 a
Im Sniffer Output muss die Antwort des Access Point über Unicast (Discovery Request) zum FortiGate WiFi Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf der FortiGate nicht ersichtlich ist.
Wie kann ich Verbindungsprobleme mit einem Wireless Client/Workstation über den FortiGate WiFi Controller troubleshooten?
Folgender Artikel gibt Auskunft wie ein Troubleshooting über den FortiGate WiFi Controller betreffend Client's/Workstations durchgeführt werden kann:
Fortigate:FAQ#Wie_kann_ich_Verbindungsprobleme_mit_einem_Wireless_Client.2FWorkstation_troubleshooten.3F
Wie finde ich über den FortiGate WiFi Controller heraus welche Client's/Workstations mit welcher SSID verbunden sind und mit welcher MAC Adresse?
Um herauszufinden welche Client's/Workstations mit welcher SSID über den FortiGate WiFi Controller verbunden sind benutze folgenden Befehl:
# diagnose wireless-controller wlac -d sta
vf=0 wtp=113 rId=1 wlan=only4also ip=192.168.5.2 mac=9c:b7:0d:de:8f:74 rssi=-41 idle=87 bw=0 use=2 chan=6 radio_type=11N
* vf=0 wtp=113 rId=1 wlan=only4also ip=0.0.0.0 mac=00:09:0f:f9:29:22 rssi=0 idle=594992 bw=0 use=2 chan=6 radio_type=11N
* vf=0 wtp=113 rId=2 wlan=only4guests ip=0.0.0.0 mac=00:09:0f:f9:29:29 rssi=0 idle=594993 bw=0 use=2 chan=11 radio_type=11N
In unserem Beispiel sehen wir, dass ein Client mit der IP 192.168.5.2 verbunden ist mit der MAC Adresse 9c:b7:0d:de:8f:74. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "only4also" sowie "only4guests" mit deren MAC Adresse "00:09:0f:f9:29:22" und "00:09:0f:f9:29:29".
Wie finde ich heraus welche Firmware auf einem Access Point installiert ist?
Die Firmware eines Forti Access Points ist über das Forti Access Point/Fortigate WebInterface ersichtlich. Steht dieses aus irgenwelchen Gründen nicht zur Verfügung kann über die Serial Console und/oder Telnet auf dem Forti Access Point dies ebenfalls direkt ausgelesen werden dh. führe dazu folgendes durch:
# fap-get-status
Version: FortiAP-220B v4.0,build222,120109 (MR3)
Serial-Number: FAP22B1234567890
BIOS version: 04000010
Regcode: N
Hostname: FAP22B1234567890
Branch point: 222
Release Version Information:MR3
Wie kann ich die Konfiguration eines Forti Access Point Manuell auf Factory Default setzen?
Wenn es nötig wird einen Forti Access Point auf Factory Default zu setzen, kann folgendes Kommando auf dem Forti Access Point über die CLI durchgeführt werden:
# cfg -x
# reboot
oder auch
# factoryreset
Durch den Befehl "cfg -x" wird der Access Point zurückgesetzt und zware OHNE Neustart des Gerätes im Gegensatz zu "factoryreset"! Die Geräte können ebenfalls auch manuell mit einem Hardware Factory Reset zurückgestellt werden (Reset Knopf). Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:
FAP-210B and FAP-220B
Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.
FAP-221B, FAP 221C and FAP-223B
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Es wird automatisch ein Neustart ausgeführt.
FAP-320B and FAP320C
Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
ein Neustart ausgeführt.
FAP-222B
Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.
FAP-11C
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.
Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:
Fortinet:ProduktInfo#FortiAP
Wie kann ich die Netzwerk Konfiguration eines Forti Access Point Manuell auslesen?
Die Konfiguration eines Forti Access Point kann man im normal Fall über das Forti Access Point Mgmt. Webinterface auslesen. Wenn dies jedoch nicht mehr möglich etc. kann die momentane Netzwerk Konfiguration über CLi auf dem Forti Access Point (Telnet, Serial Console) ausgelesen werden. Führe dazu folgendes durch:
# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138
Wie kann ich per Telnet auf einen Forti Access Point zugreifen wenn der Access Point über keinen Consolen Port verfügt?
Wenn ein Forti Access Point zB FAP-221B/C über keinen Consolen Port verfügt kann man dennoch über Telnet auf den Forti Access Point zugreifen um zB ein "debug" auszuführen. Die Funktion "Telnet" muss vorgängig auf dem Fortigate WiFi Controller freigeschaltet werden. Dies bedeutet: ein direkt Zugriff per Telnet auf den Forit Access Point ist nicht möglich. Der Zugriff erfolgt über die Fortigate. Um die Funktion für Telnet freizuschalten auf der Fortigate führe folgendes aus:
- Logge dich auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:
# config wireless-controller wtp
- Ueberprüfe durch "show" welche Access Points existieren:
# show
config wireless-controller wtp
edit "FAP22B3U11011877"
set name "FortiAP1"
set location "FortiAP 220B"
set wtp-profile "FortiAP1"
next
end
- Editiere den entsprechenden Access Point auf dem Telnet freigeschaltet werden soll:
# edit FAP22B3U11011877
# show
config wireless-controller wtp
edit "FAP22B3U11011877"
set name "FortiAP1"
set location "FortiAP 220B"
set wtp-profile "FortiAP1"
next
end
- Aktiviere durch "set login-enable enable" den Telnet Zugriff:
# set login-enable enable
# show
config wireless-controller wtp
edit "FAP22B3U11011877"
set name "FortiAP1"
set location "FortiAP 220B"
set wtp-profile "FortiAP1"
set login-enable enable
next
end
# next
# end
- Teste den Zugriff per Telnet auf den entsprechenden Access Point:
# exec telnet 192.168.3.2
FAP22B3U11011877 login: admin
BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
#
Ab FortiOS 5.2 gibt es neu die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist ebenfalls die Option "set login-enable enable". Steht diese Option wie oben beschrieben entweder auf "default" oder "disable" steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen bei der gesetzten Option "set login-enable enable" führe folgendes aus:
WiFi Controller > > Managed Access Points > Managed FortiAP's > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick > Connect to CLI]
Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten?
Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:
--> Als Erstes führe Tests durch mit den Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher nicht besetzt
oder beeinträchtigt durch "fremde" andere WiFi Infrastrukturen). Nach Möglichkeit ist der 5 Ghz zu bevorzugen vor dem
2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch Interferenzen das Resultat
negativ beeinflusst. In diesen Test's sollten vers. Client's/Workstation benutzt werden um festzustellen ob das Problem
basierend auf einer spezifischen Gruppe von "Client's/Workstation" ist. Ebenfalls sollte für die Client's/Workstations
nur die neusten WiFi Treiber verwendet werden.
--> Stelle fest/sicher das der Client/Workstation mit der max. Rate verbunden ist:
130Mbps für 2Ghz 2x2
300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
--> Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:
http://www.metageek.net/support/downloads (inSSIDer für Windows / Mac / Android)
http://www.nirsoft.net/network_tools.html (WifiInfoView für Windows)
http://www.ekahau.com/products/heatmapper/overview.html (HeatMapper für Windows XP / Windows Vista / Windows 7)
--> Vergewissere dich, dass zwischen den Forti Access Point, FortiGate WiFi Controller und Server 1000Mbit benutzt wird. Sofern
nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.
--> Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen
auf den CPU und/oder Memory herauszufinden/zu Monitoren:
# get sys perf status
# diagnose sys top
--> Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete
"aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete
verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr
aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).
--> Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf) Datei:Jperf-how-to.pdf
--> Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol
ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:
http://en.wikipedia.org/wiki/CCMP
CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.
--> Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
Datei:Fortinet-332.jpg
--> Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.
--> Ueberprüfe ob zuviele Broadcast sowie Multicast über das WiFi Netz gelangen/transportiert werden.
--> Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. eliminieren)
--> Ueberprüfe ob auf den End Device der User die neusten Treiber sowie WiFi Software installiert ist und überprüfe deren Datenrate.
Wie kann ich Multicast über einen Forti Access Point optimieren resp. die Performance steigern?
Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" wird durchgeführt. Dieser Umstand "kann" Multicast" Uebermittlung über die Forti Access Point's verlangsamen. Um diesen Umstand entgegenzutreten kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine "optimale" Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:
# set multicast-enhance [enable | disable]
NOTE Dieses Kommando aktiviert die Konvertierung von Multicast zu Unicast!
# set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
NOTE Dieses Befehl setzt die Multicast Erweiterung des Durchschnitt's der Forti Access Point's dh. Sobald der "threshold"
erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe
zu gross wird (Anzahl Forti Access Point's).
Ein Forti Access Point ist über zwei unterschiedliche FortiGate WiFi Controller ersichtlich?
Nun ein Forti Access Point ist per Standard im "AC_DISCOVERY_TYPE 0" was "auto" entspricht. Dies bedeutet der Forti Access Point sucht in der ganzen Umgebung (Broadcast, Multicast, DHCP) nach dem FortiGate WiFi Controller/n. Nun wenn mehrer FortiGate WiFi Controller in der Umgebung installiert sind, erscheinen die Forti Access Point auf all diesen FortiGate WiFi Controllern. Auch wenn einer dieser FortiGate WiFi Controller hbenutzt wird um den Forti Access Point zu konfigurieren, bleibt der Forti Access Pont auf den anderen FortiGate WiFi Controllern sichtbar. Um dies zu verhindern muss der "AC_DISCOVER_TYPE" auf "static" dh. "1" gesetzt werden. Dadurch wird explizit "statisch" nach der IP Adresse des "AC_IPADDR" gesucht. Aus diesem Grund muss "AC_IPADDR" explizit manuel gesetzt werden oder anhand einer DHCP Option mitgegeben werden. Dazu siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_kann_ich_einen_Forti_Access_Point_so_konfigurieren.2C_dass_er_seine_WiFi_Controller_IP_.C3.BCber_DHCP_Server_erh.C3.A4lt.3F
Wird "AC_IPADDR" manuell auf dem FortiAP konfiguriert gebe folgenden Befehl ein:
NOTE Wenn der FortiAP über keinen Consolen Port verfügt kann über den WiFi Controller der FortiGate der Access Point
per Telnet konfiguriert werden:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Forti_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
# cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
# cfg -c
# cfg -s
NOTE Für "failover" Zwecke stehen 3 "AC_IPADDR" zur Verfügung!
Um den "AC_DISCOVERY_TYPE" auf Statisch zu setzen gebe folgendes auf der CLI ein:
# cfg -a AC_DISCOVERY_TYPE=1
# cfg -c
# cfg -s
Wenn der Forti Access Point auf dem FortiGate WiFi Controller sichtbar ist (Connecting) auf dem der Forti Access Point nicht konfiguriert werden soll, kann dieser dort gelöscht werden (Eintrag mit der Maus markieren und rechte Maustaste > Delete). Nach der vorhergehenden Konfiguration darf nun der Forti Access Point auf diesem FortiGate WiFi Controller nicht mehr erscheinen.
Welche Informationen kann ich über den WiFi Controller betreffend eines Forti Access Point abrufen?
Wenn man Informationen über einen Forti Access Point abrufen möchte kann dies über Kommandozeile direkt auf dem FortiAccess Point durchgeführt werden. Auf dieser Kommandozeile stehen unzählige Möglichkeiten zur Verfügung. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F
Zusätzlich kann über den WiFi Controller der FortiGate über den der Forti Access Point konfiguriert wurde einge nützliche Informationen ausgelesen werden wie zB
# config wireless-controller wtp
# edit [Serial Nummer des Forti Access Point]
# get [Read-only Variablen]
Read-only Variablen
Wie finde ich heraus über welche Uptime ein FortiAP verfügt?
Wenn vermutet wird, dass ein FortiAP selbständig einen Neustart ausführt kann folgender Befehl ausgeführt werden um die Uptime zu eruieren:
# cw_diag uptime
Current uptime : 574652
WTP daemon start uptime : 18
WTP daemon RUN uptime : 74
Time since WTP daemon started : 574634
Time since WTP daemon connected : 574578
Watchdog timer triggered : 0
Watchdog timer action : 1
Watchdog timer time : 22
Divers
Wie kann ich auf eine einfache Art bei Performance Problemen Messungen durchführen?
Um in einem Netzwerk sei es WiFi oder Ethernet ist es ratsam eine kleine Client -> Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:
http://www.ars.de/ars/ars.nsf/docs/netio
Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab die danach ausgewertet werden. Ein Scenario wäre zB:
Windows Client --> Windows Server
Windows Server:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
C:\netio131>win32-i386.exe -s
Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein anderer Port definiert werden.
Windows Client:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls
angegeben werden mit -b. Weitere Optionen sind:
Usage: netio [options] [<server>]
-s run server side of benchmark (o
-b <size>[k] use this block size (otherwise
-B -K -M -G force number formatting to Byte
-t use TCP protocol for benchmark
-u use UDP protocol for benchmark
-h <addr> bind TCP and UDP servers to thi
(default is to bind to all loca
-p <port> bind TCP and UDP servers to thi
<server> If the client side of the bench
a server name or address is req
The server side can run either TCP (-t) or UDP
(default, if neither -t or -u is specified). Th
these protocols only (must specify -t or -u).
Windows Client --> Linux Server
Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
#./linux-i386 -s
NETIO - Network Throughput Benchmark, Version 1.30
(C) 1997-2008 Kai Uwe Rommel
UDP server listening.
TCP server listening.
TCP connection established ...
Receiving from client, packet size 1k ... 1364.51 KByte/s
Sending to client, packet size 1k ... 803.63 KByte/s
Receiving from client, packet size 2k ... 1473.31 KByte/s
Sending to client, packet size 2k ... 645.55 KByte/s
Receiving from client, packet size 4k ... 1452.13 KByte/s
Sending to client, packet size 4k ... 640.69 KByte/s
Receiving from client, packet size 8k ... 1120.63 KByte/s
Sending to client, packet size 8k ... 716.57 KByte/s
Receiving from client, packet size 16k ... 1506.04 KByte/s
Sending to client, packet size 16k ... 658.24 KByte/s
Receiving from client, packet size 32k ... 1433.88 KByte/s
Sending to client, packet size 32k ... 855.72 KByte/s
Done.
TCP server listening.
C:\netio131>win32-i386.exe -t [Linux Server / IP]
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 1381.22 KByte/s Tx, 780.68 KByte/s Rx.
Packet size 2k bytes: 1486.13 KByte/s Tx, 567.92 KByte/s Rx.
Packet size 4k bytes: 1466.74 KByte/s Tx, 612.15 KByte/s Rx.
Packet size 8k bytes: 1129.70 KByte/s Tx, 702.39 KByte/s Rx.
Packet size 16k bytes: 1541.18 KByte/s Tx, 617.14 KByte/s Rx.
Packet size 32k bytes: 1472.19 KByte/s Tx, 796.44 KByte/s Rx.
Done.