FortiAP:FAQ
FortiAP:FAQ
Vorwort
Diese FAQ's sind für FortiAP Systeme basierend auf OS 6.4 sowie 7.x. Die FortiAPs werden über die FortiGate Controller Funktion konfiguriert.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
edit 20.03.2024 - 4Tinu
Wo finde ich die Administrations Guides für den FortiAP ?
- Datei:FortiAP-AdminGuide-70.pdf
7.0.4 - Datei:FortiAP-AdminGuide-72.pdf
7.2.4 - Datei:FortiAP-AdminGuide-74.pdf
7.4.2
edit 20.03.2024 - 4Tinu
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
Firmware
Wo finde ich die Release Notes für die Version 7.0?
FortiAP Release Notes
- Datei:FortiAP-ReleaseNote-7.0.0.pdf
- Datei:FortiAP-ReleaseNote-7.0.1.pdf
- Datei:FortiAP-ReleaseNote-7.0.2.pdf
- Datei:FortiAP-ReleaseNote-7.0.3.pdf
- Datei:FortiAP-ReleaseNote-7.0.4.pdf
- Datei:FortiAP-ReleaseNote-7.0.5.pdf
- Datei:FortiAP-ReleaseNote-7.0.6.pdf
- Datei:FortiAP-ReleaseNote-7.0.7.pdf
FortiAP 2W - Release Notes
- Datei:FortiAP-2W-ReleaseNote-7.0.0.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.1.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.2.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.3.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.4.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.5.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.6.pdf
- Datei:FortiAP-2W-ReleaseNote-7.0.7.pdf
edit 21.03.2024 - 4Tinu
Wo finde ich die Release Notes für die Version 7.2?
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.2.x aufgelistet.
- Datei:FortiAP-ReleaseNotes-7.2.0.pdf
- Datei:FortiAP-ReleaseNotes-7.2.1.pdf
- Datei:FortiAP-ReleaseNotes-7.2.2.pdf
- Datei:FortiAP-ReleaseNotes-7.2.3.pdf
Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:
- Datei:FortiAP-2W-ReleaseNotes-7.2.0.pdf
- Datei:FortiAP-2W-ReleaseNotes-7.2.1.pdf
- Datei:FortiAP-2W-ReleaseNotes-7.2.2.pdf
Die Aktuellen Release Notes für die FortiAP-2W, können jeweils unter folgendem Link heruntergeladen werden:
edit 17.10.2023 - 4Tinu
Wo finde ich die Release Notes für die Version 7.4?
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.4.x aufgelistet.
- Datei:FortiAP-ReleaseNotes-7.4.0.pdf
- Datei:FortiAP-ReleaseNotes-7.4.1.pdf
- Datei:FortiAP-ReleaseNotes-7.4.2.pdf
Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:
- Datei:FortiAP-2W-ReleaseNotes-7.4.0.pdf
- Datei:FortiAP-2W-ReleaseNotes-7.4.1.pdf
- Datei:FortiAP-2W-ReleaseNotes-7.4.2.pdf
Die Aktuellen Release Notes für die FortiAP-2W, können jeweils unter folgendem Link heruntergeladen werden:
edit 20.03.2024 - 4Tinu
Von welcher FortiAP Version kann ich auf die Version 7.0 upgraden (Upgradepfad)?
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.2
Upgrade Pfad für FortiAP auf die Version 7.0.7
Upgrade Pfad für FortiAP-W2 auf die Version 7.0.7
Den Upgradepfad ist auch in diesem Dokument zu entnehmen:
- Datei:FortiAP-UpgradePath-70.pdf 7.0.0 - 7.0.7
add 17.10.2023 - 4Tinu
Von welcher FortiAP Version kann ich auf die Version 7.2 upgraden (Upgradepfad)?
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.2
Upgrade Pfad für FortiAP auf die Version 7.2.3
Upgrade Pfad für FortiAP-W2 auf die Version 7.2.2
Den Upgradepfad ist auch in diesem Dokument zu entnehmen:
- Datei:FortiAP-UpgradePath-72.pdf 7.2.0 / 7.2.1 / 7.2.2 / 7.2.3
edit 17.10.2023 - 4Tinu
Von welcher FortiAP Version kann ich auf die Version 7.4 upgraden (Upgradepfad)?
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.4
Den Upgradepfad ist auch in diesem Dokument zu entnehmen:
edit 23.04.2024 - 4Tinu
Welche FortiAP Modelle sind vom FortiOS 7.2.x unterstützt?
Folgende FortiAP Unterstützen das FortiOS 7.2:
Wifi 6 Modelle:
- FAP-231F
- FAP 234F
- FAP-23JF
- FAP-431F
- FAP-432F
- FAP-433F
- FAP-831F
Wifi 6E Modelle:
- FAP-231G --> Build 4789 und 5072
- FAP 233G --> Build 4789 und 5072
- FAP-431G --> Build 4789 und 5072
- FAP-433G --> Build 4789 und 5072
Folgende FortiAP-2W Unterstützen das FortiOS 7.2:
- FAP-221E
- FAP-222E
- FAP-223E
- FAP-224E
- FAP-231E
edit 23.04.2024 - 4Tinu
Welche FortiAP Modelle sind vom FortiOS 7.4.x unterstützt?
Folgende FortiAP Unterstützen das FortiOS 7.4.2:
Wifi 6 Modelle:
- FAP-231F
- FAP 234F
- FAP-23JF
- FAP-431F
- FAP-432F
- FAP-433F
- FAP-831F
Wifi 6E Modelle:
- FAP-231G
- FAP 233G
- FAP-234G
- FAP-431G
- FAP-433G
edit 20.03.2024 - 4Tinu
Welche FortiAP OS Version verwende ich mit welchem FortiOS?
Fortinet empfiehlt die FortiAP-Firmware-Version mit der entsprechenden FortiOS-Version abzustimmen, sofern diese Verfügbar ist. Andere Varianten von FortiOS- und FortiAP-Versionen können technisch gesehen für den niedrigsten gemeinsamen Funktionssatz funktionieren. Sollten jedoch Probleme auftreten, wird der Fortinet-Support darum bitten, die Versionen wie empfohlen abzugleichen, bevor eine Fehlerbehebung erfolgt.
Die fogenden Modelle unterstützen keine strong chiphers. Damit die Verbindung mit der FortiGate funktioniert muss auf der FortiGate folgendes Kommando konfiguriert werden:
- FAP-C24JE
- FAP-221C
- FAP-320C
- FAP-321C
 Konfiguration über die CLI:
|
|
Für das FortiOS 7.0.0: config system global set ssl-static-key-ciphers enable set strong-crypto disable end Ab dem FortiOS 7.0.1: config wireless-controller global set tunnel-mode compatible end |
In den folgenden Dokumenten findest du die FortiAP und FortiOS Kompatibilitäts Matrixen. In diesen Matrixen wird beschrieben, welches FortiOS der FortiGate mit welchem FortiOS auf den APs funktionieren. Diese Liste immer vor einem Upgrade der FortiGate hinzuziehen, damit es keine Überraschungen gibt.
|
FortiOS 7.0.x Datei:FortiAP-FortiOS-7.x-FirmwareCompatibilityMatrix.pdf |Link zu den Docs FortiOS 6.x Datei:FortiAP-FortiOS-6.x-FirmwareCompatibilityMatrix.pdf |Link zu den Docs |
edit 23.04.2024 - 4Tinu
Design
Auf was muss ich beim Aufbau eines WLAN Netzes achten?
Bereit, die Geheimnisse der drahtlosen Welt zu ergründen? Wir zeigen dir heute einige Regeln für die Einrichtung von WLAN-Netzwerken, damit du in dieser technischen Achterbahnfahrt den Durchblick behältst.
Schritt 1: Die passive Standortuntersuchung:
Okay, du willst also ein drahtloses Netzwerk aufbauen. Aber halt! Bevor du loslegst, müssen wir sicherstellen, dass deine Access Points an den richtigen Orten stehen. Stell dir vor, du bist ein WLAN-Detektiv auf der Suche nach dem perfekten Versteck. Du sammelst Infos über andere Access Points, ihre Signalstärke, SNR und ob sie Störsignale aussenden. Mit einer speziellen Spektrumanalyse enttarntst du die Übeltäter – Wi-Fi-Störungen haben keine Chance!
Schritt 2: Die aktive Standortuntersuchung:
Jetzt geht's ans Eingemachte! Dein drahtloses Netzwerk ist live, aber die Dinge können sich ändern. Möbel werden verschoben, Wände werden gebaut, und dein Netzwerk verändert sich. Du musst es während und nach den Geschäftszeiten überwachen, um sicherzustellen, dass alles rund läuft. Manchmal musst du vielleicht ein paar FortiAPs verschieben oder sogar neue in die Schlacht werfen!
Schritt 3: Die prädiktive Standortbestimmung:
Jetzt wird es richtig magisch! Wir tauchen ein in die Welt der WLAN-Zauberei. Mit speziellen Tools simulierst du die Ausbreitung von WLAN-Signalen in deinem Raum. Du lädst Karten mit Wänden, Möbeln und Decken, als wärst du ein digitaler Innenarchitekt. Das Ergebnis? Eine magische Vorhersage, wie viele Access Points du brauchst und wo sie stehen sollten. Aber merk dir: Das ist keine 100%ige Prophezeiung. Manchmal gibt es geheime Wi-Fi-Interferenzen, die die Zukunft beeinflussen. Du bist jetzt bereit, die Welt der WLAN-Einrichtung zu erobern! Schnapp dir deinen FortiAP und mach dich bereit für ein technisches Abenteuer!
Folgende Fragen und Punkte helfen dir sicher weiter für ein optimales WLAN Netzwerk:
- Wie viele Nutzer werden das 2,4-GHz-Band verwenden?
- Wie viele Benutzer werden das 5-GHz-Band verwenden?
- Kann ich das 2,4-GHz-Band deaktivieren, um Leistungseinbussen zu vermeiden?
- Prüfen wir die Anforderungen, die unsere Anwendung bei der Verwendung einer Wi-Fi-Verbindung erfüllen muss, z.B. Sprache, Video, RTLS und Daten.
- Welche Art von Client-Geräten haben wir in unserer Umgebung?
- Lass uns mindestens 3 SSIDs beibehalten, um eine Überlastung der Verwaltungsrahmen zu vermeiden.
- Die von unseren Geräten unterstützten Datenübertragungsraten können variieren, da wir uns nach der schwächsten Wireless-Karte des Benutzers richten.
- Lass uns ein sekundäres FortiAP mit der gleichen Abdeckung wie das primäre FortiAP validieren; das ist eine gute Backup-Methode für Anwendungen wie Sprache und Video.
- Wir sollten den RSSI (Receive Signal Strength Indicator) von -65 dBm oder -67 dBm mit einem eigenen SNR von 25-30 dBm für Sprachanwendungen im Auge behalten, um die Sendezeit pro Benutzer zu minimieren und höhere Datenraten zu erzielen.
- Beachten wir, dass einige spezielle Wireless-Karten unterschiedliche Funktionen wie Kanäle, Authentifizierungs- und Verschlüsselungsmethoden und Empfangsempfindlichkeit aufweisen.
- Lass uns das drahtlose Netzwerk für zukünftiges Wachstum entwerfen. Die aktuelle Anforderung beträgt vielleicht 50 Clients, aber wir sollten mögliche Unterbrechungen im Netzwerk und mehrere Wartungsfenster vermeiden.
- Schauen wir, wie wir Sendezeit sparen können, wenn eine Anwendung verwendet wird, unter Berücksichtigung des verwendeten Bands, der Geräteleistung und der Kanalbreite. Geräte, die mit höheren Geschwindigkeiten übertragen, können das Medium freigeben und anderen Geräten ermöglichen, so schnell wie möglich mit der Übertragung zu beginnen.
- Nutzen wir eine Kanalbreite von 20 MHz, um Interferenzen in dicht besiedelten Umgebungen zu vermeiden, im Vergleich zu 40 oder 80 MHz.
- Versuchen wir, niedrigere Datenraten wie 802.11b zu isolieren, um eine geringe Leistung im drahtlosen Netzwerk zu vermeiden.
- Manchmal benötigen wir möglicherweise mehr FortiAPs, wenn unser Unternehmen wächst und der Datenverkehr zunimmt. Bevor wir jedoch weitere FortiAPs hinzufügen, sollten wir Faktoren wie CCI, Sendeleistung, Datenraten und Frequenzbänder berücksichtigen.
- Überprüfen wir die Gebäudestruktur und berücksichtigen wir die Dämpfungsfaktoren auf den verschiedenen Etagen.
- Stellen wir sicher, dass wir die richtigen Regelungsbereiche und Kanäle verwenden.
- Denken wir daran, dass ein Design für die Kapazität und ein anderes für die Abdeckung nicht dasselbe ist.
- Berücksichtigen wir einige Dämpfungsfaktoren aus der folgenden Tabelle:
| Material | Dämpfung bei 2,4 GHz | Dämpfung bei 5 GHz |
| Glas/Fenster | 2-3 dB | 6-8 dB |
| Stoff, Jalousien, Deckenplatten | 1 dB | 1,5 dB |
| Kabinenwand | 2-5 dB | 4-9 dB |
| Trockenbauwände innen | 3-4 dB | 3-5 dB |
| Stahl-/Fluchttür | 13-19 dB | 25-32 dB |
| Holztür (hohl - massiv) | 3-4 dB | 6-7 dB |
| Beschichtetes Doppelscheibenglas | 13 dB | 20 dB |
| Ziegel-/Betonwand | 6-18 dB | 10-30 dB |
Zusammen gefasst können wir folgendes über ein WLAN Netz schreiben: Das WLAN ist nicht wie das Verlegen von Kabeln – es ist eine ganz eigene Herausforderung. Und weisst du was? Die Arbeit hört nach der Einrichtung nicht auf. Es ist ein ständiger Prozess, denn unser Netzwerk braucht Pflege, wie eine Pflanze Wasser. Wir müssen regelmässig nachschauen, ob alles in Ordnung ist. Glaub mir, du willst keine Abdeckungsprobleme haben. Stell dir vor, du verlierst deine WLAN-Verbindung, wenn du dich nur einen Schritt zu weit bewegst – das wollen wir nicht! Und dann sind da noch die Kapazitätsprobleme. Wenn zu viele Leute gleichzeitig im Netzwerk unterwegs sind, kann es ziemlich chaotisch werden. Und last but not least: Sicherheit. Das ist ein Dauerbrenner. Wir müssen unser Netzwerk ständig auf Bedrohungen überprüfen, wie ein digitaler Superheld, der die Bösewichte in Schach hält.
Letztendlich ist der Aufbau eines drahtlosen Netzes nicht dasselbe wie der eines kabelgebundenen Netzes, es ist eine andere Herausforderung, und nach der Einrichtung geht die Arbeit weiter, denn es muss ständig gewartet werden. Es muss regelmässig überprüft werden, um Abdeckungsprobleme, Kapazitätsprobleme und Sicherheitsbedrohungen zu vermeiden.
add 10.10.2023 - 4Tinu
Was ist der Unterschied zwischen dem Bridge-Modus und dem Tunnel-Modus?
Heute machen wir eine kleine Reise durch die Welt der Netzwerkmodi! Ich stelle euch den Bridge- und den Tunnel-Modus vor und wir schauen uns an, was sie draufhaben - die coolen Eigenschaften und die kleinen Eigenheiten, die sie mitbringen
Bridge Modus
So funktioniert es:
Im Bridge-Modus agiert die SSID wie eine technologische Brücke zwischen den drahtlosen und verkabelten Netzwerken. Diese intelligente Verbindung ermöglicht es drahtlosen Geräten, nahtlos an demselben Netzwerk teilzunehmen, zu dem auch kabelgebundene Geräte gehören.
Was funktioniert:
- Alle Geräte, ob verkabelt oder drahtlos, befinden sich im gleichen heimeligen Netzwerk.
- Die Geräte können miteinander plaudern, als würden sie sich auf einer Cocktailparty treffen.
- Diese Methode ist ideal für einfache Netzwerkstrukturaufgaben, bei denen die Dinge flach und unkompliziert sein sollen.
Was nicht funktioniert:
- Der drahtlose Datenverkehr muss immer noch seinen Weg durch den Router des lokalen Netzwerks finden.
- Du hast nur eingeschränkte Kontrolle über den drahtlosen Datenverkehr, was wie wildes Tanzen auf einer Party sein kann - manchmal macht es Spaß, aber es kann auch chaotisch werden.
- Wenn dein Netzwerk so groß und komplex ist wie eine Gala, ist der Bridge-Modus nicht die beste Wahl.
- Beim Debuggen von Clients auf dem FortiGate (Verwenden von 'diagnose wireless-controller wlac sta_filter <mac> 255') zeigt die Ausgabe nur den Authentifizierungsprozess an, während die DHCP-Nachrichten ein bisschen schüchtern bleiben.
Leistung:
- In kleinen Netzwerken fühlt sich der Bridge-Modus wie ein gemütliches Zuhause an, aber wenn die Gästeliste wächst, könnte es zu einer unangenehmen Überlastung kommen.
Jetzt, wo wir den Bridge-Modus ausgelotet haben, werfen wir einen Blick auf den faszinierenden "Tunnel-Modus":
Tunnel Modus
Wie er funktioniert:
Im Tunnel-Modus erstellt die SSID sozusagen einen geheimen Tunnel, durch den alle drahtlosen Daten flitzen. Dieser Datenstrom wird dann zur zentralen Instanz, der FortiGate, gesendet, wo ein neues Interface mit dem Namen der SSID erstellt wird. Dieses Interface verhält sich dann wie ein Superheld, der die Regeln des FortiGate-VLANs befolgt.
Was funktioniert:
- Höhere Sicherheit: Die FortiGate überwacht und kontrolliert den gesamten Datenverkehr - so sicher wie ein Banktresor.
- Bessere Isolierung: Drahtlose Geräte werden von den Kabelgebundenen getrennt, als wären sie auf einer einsamen Insel.
- Einfachere Verwaltung: Du kannst den Datenverkehr und die Richtlinien so genau steuern wie ein Dirigent ein Orchester leitet.
- Ideal für riesige, komplexe Netzwerke, bei denen die Dinge so groß sind wie ein Musikfestival.
Was nicht funktioniert:
- Geräte im drahtlosen Netzwerk können nicht einfach mit ihren Kabelverwandten plaudern, ohne über die Firewall zu gehen - wie VIPs, die durch die VIP-Tür müssen.
Leistung:
- Im Allgemeinen bietet der Tunnel-Modus für große und sicherheitsbewusste Netzwerke eine Top-Leistung und Top-Sicherheit.
Empfehlung:
- Wenn dein Netzwerk so groß ist wie ein Rockkonzert und strenge Sicherheits- und Verkehrsregeln benötigt, dann ist der Tunnel-Modus die richtige Wahl.
- Wenn du jedoch die Einfachheit bevorzugst und alle Geräte friedlich in derselben Netzwerk-Nachbarschaft leben, kann der Bridge-Modus für kleinere Netzwerke eine Party sein. Aber denke daran, dass er bei zu vielen Gästen vielleicht die Musik leiser drehen muss.
add 17.10.2023 - 4tinu
Wie platziere ich einen Accesspoint optimal?
Um eine optimale Leistung zu erreichen, ist es wichtig, einige Grundregeln für die Platzierung von Access Points zu beachten. Es macht nicht immer Sinn, die Access Points dort zu platzieren, wo sie im Plan des Architekten oder Bauplaners eingezeichnet sind.
Um einen Access Point optimal zu platzieren, solltest du folgende technische Aspekte beachten:
- Vermeidung von Interferenzen: Platziere den Access Point fern von anderen Geräten, die im 2,4-GHz- oder 5-GHz-Frequenzband arbeiten, um Interferenzen zu minimieren. Beispiel: Vermeide die Nähe zu Mikrowellenherden oder Bluetooth-Geräten.
- Abstand zu Metallstrukturen: Halte einen Abstand von mindestens 1,8 Metern zu Metallstrukturen ein, da diese das Abstrahlverhalten beeinträchtigen können. Beispiel: Vermeide die Platzierung in der Nähe von Metallregalen oder großen Metallmöbeln.
- Zentrale Positionierung: Platziere den Access Point möglichst zentral im Raum, um eine gleichmäßige Abdeckung zu gewährleisten und Signalstörungen durch Wände zu minimieren. Beispiel: Montiere den Access Point an der Decke in der Mitte des Raumes.
- Vermeidung von Reflexionen: Achte darauf, dass der Access Point nicht in der Nähe von reflektierenden Oberflächen wie Glas oder Spiegeln platziert wird, um Signalreflexionen zu vermeiden. Beispiel: Vermeide die Platzierung in der Nähe von großen Fenstern oder Glastüren.
- Höhe der Montage: Montiere den Access Point in einer Höhe, die eine optimale Signalabdeckung im gesamten Raum ermöglicht. Beispiel: Montiere den Access Point etwa 2 bis 3 Meter über dem Boden, um eine gute vertikale Abdeckung zu gewährleisten.
- Berücksichtigung von Hindernissen: Achte darauf, dass der Access Point nicht durch dicke Wände oder andere bauliche Hindernisse blockiert wird, um die Reichweite des Signals nicht zu beeinträchtigen. Beispiel: Vermeide die Platzierung hinter dicken Betonwänden oder großen Möbelstücken.
Indem du diese technischen Überlegungen berücksichtigst und den Access Point entsprechend positionierst, kannst du eine optimale WLAN-Abdeckung und -Leistung in deinem Umfeld sicherstellen.
Denke auch daran, wie der Endnutzer auf die Access Points zugreifen kann. In öffentlichen Einrichtungen ist es üblich, dass externe Antennen entfernt werden (Schulen, Hotels usw.). Daher ist es sinnvoll, die Access Points so zu platzieren, dass sie nicht direkt von Hand ohne grosse Probleme erreicht werden können.
Beispiele von nicht optimal platzierten Accesspoints:
| Beispiel 1: |
|
| Beispiel 2: |
|
| Beispiel 3: |
|
Kurz zusammengefasst: Um optimale Leistung zu gewährleisten, beachte grundlegende Regeln für die Platzierung von Access Points. Achte darauf, Metallstrukturen zu meiden, und platziere Access Points idealerweise zentral im Raum, um Signalstörungen zu minimieren.
add 15.03.2024 - 4Tinu
Hardware
Welche Forti Access Point Produkte Linien existieren und was sind die Unterschiede?
Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:
• Light Forti Access Point
Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.
Diese Access Points müssen zwingen mit einem FortiGate Wireless Controller oder FortiCloud
Wireless Controller betrieben werden. Diese Forti Access Points verfügen über keine UTM
Features lokal auf den Forti Access Points sondern die UTM Features werden über die FortiGate
betrieben resp. bereitgestellt und verwaltet.
• Thick Forti Access Point
Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Dies bedeutet:
FortiGate Devices mit integriertem Radio (2.4 GHz / 5 GHz). Zusätzlich können diese Devices
(Thick Forti Access Points) mit Light Forti Access Points erweitert werden. Die UTM Features
werden wie bei den Light Forti Access Points über die FortiGate (FWF) zur Verfügung gestellt
sowie verwaltet.
• Smart Forti Access Point
Smart Forti Access Point verfügen über lokale UTM Features auf den Smart Forti Access Point
(FortiAP-S) und können nur über FortiCloud Wirless Controller verwaltet werden sofern diese
mit UTM Features eingesetzt werden. Werden Smart Forti Access Point resp. FortiAP-S ohne UTM
Features eingesetzt, können diese auch über einen FortiGate Wireless Controller verwaltet
werden! Weiter Infos siehe nachfolgender Artikel:
FortiAP-S:FAQ#Was_ist_unter_einem_.22Forti_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F
Nachfolgende Kurzübersicht zeigt ebenfalls welcher Forti Access Point über welche Platform eingesetzt werden kann:
Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:
Wo finde ich eine Uebersicht über die verschiedenen FortiAP Hardware und Produkte?
Die beste Uerbsicht für FortiAP Produkte bieten die folgenden Dokumente sowie Links:
Desweiteren hat Fortinet eine Wireless Brochure Released, die eine generelle Uebersicht bietet:
Datei:Wireless Brochure.pdf (Unified Access LayerArchitecture) Datei:FortiOS Wireless.pdf (FortiOS 5 Wireless LAN Controller)
Weitere Informationen betreffend technischem Aufbau eines FortiAP Produktes siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_Forti_Access_Point_Produkts_aus.3F
Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt:
edit 18.12.2023 - 4Tinu
Wo finde ich eine Uebersicht über die verschiedenen FortiAP-S Hardware und Produkte?
Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über einen FortiGate Wireless Controller verwaltet werden können wenn UTM Features auf den "Smart Forti Access Point" resp. "FortiAP-S" eingesetzt werden, sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" (FortiAP-S) nur dann anwendbar wenn diese "ohne" UTM Features betrieben werden. Nur ohne UTM Features können "Smart Forti Access Point" über einen FortiGate Wireless Controller verwaltet und betrieben werden. In so einer Situation sind diese hier gezeigten Konfigurationen anwendbar. Siehe auch folgender Artikel:
FortiAP:FAQ#Welche_Forti_Access_Point_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F
Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" (FortiAP-S) siehe nachfolgender Artikel:
FortiAP-S:FAQ
Verfügen alle FortiGate Devices über einen Wireless Controller für Forti Access Points?
Grundsätzlich verfügen alle FortiGate Devices über einen Wireless Controller mit Aussnahme von:
FortiGate 20C
FortiGate 30D
Ab FortiOS 5.0.6 / 5.2 wurde der FG-30D die Möglichkeit gegeben den FortiGate Wirless Controller zu verwenden. Ebenfalls kann die 30D ab dieser Version 2 FortiAPs managen! Somit ist jeder FortiGate Device limitiert in der Anzahl der FortiAPs die verwaltet resp. konfiguriert werden können. Folgender Artikel gibt Auskunft über die Anzahl FortiAPs die mit einem entsprechenden FortiGate Devices verwaltet/konfiguriert werden können sowie was dabei zu berücksichtigen ist:
FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F
Wieviele Forti Access Points können über eine FortiGate Wireless Controller konfiguriert werden?
Ab FortiOS 5.0 gibt nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAPs die über eine FortiGate konfiguriert werden können:
Produkte Matrix
Ab FortiOS 5.0.3 wurde die Anzahl der FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden könnnen erweitert. Dies bedeutet: es wird unterschieden zwischen folgenden Mode:
• SSID im "tunneling" Mode
• SSID im "local bridging" Mode
Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID konfiguriert auf "local bridging", zählt dieser FortiAP als "remote" (wtp-mode). Dies gilt jedoch nur wenn ausschliesslich nur diese Art einer SSID auf dem entsprechenden FortiAP benützt wird. Werden auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als "normal" (wtp-mode). Somit, wenn man einen FortiAP konfiguriert mit SSID im "local bridging" Mode kann dieser FortiAP explizit als "wtp-mode remote" gesetzt werden. Dies kann auf der CLI durchgeführt werden:
# config wireless-controller wtp
# edit [Gebe die entsprechende Serial Nummer des FAP an]
# set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
# end
Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging" gesetzt, erscheint folgende Meldung:
Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'
Die Produkt Matrix gibt somit Auskunft über die möglichen "normal" Mode sowie "remote" Mode. Die Anzahl der möglichen FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden können wird folgendermassen angegeben in der Produkt Matrix:
FG-60D 10/5 (Total/Tunnel)
Somit stehet zB für eine FG-60D folgendes zur Verfügung:
• 5 FortiAPs mit SSID im "tunneling" und/oder "local bridging" gemischt! (wtp-mode normal)
• 5 FortiAPs mit SSID im "local bridging" Mode (wtp-mode remote)
= 10 Total möglich wobei 5 im "local bridging" only! (10/5)
Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FortiAPs sowie "local bridging":
Die offizielle Information betreffend "tunneling" und/oder local bridging" möglichen FortiAPs auf einem FortiGate Device findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Fortinet hat ein Dokument herausgegeben, in dem der Umstand dieser Aenderung erklärt wird und wieso dem so ist:
Datei:Maximum Number of Managed FortiAPs in FortiOS 5 0 3 FAQ - August 2013 v1 r5.pdf
Kann ich einen Forti Access Point Device ohne FortiGate Wireless Controller konfigurieren und betreiben?
Ein Forti Access Point hat zwar ein Mgmt. Web Interface über dieses bestimmte einfache Konfigurationen durchgeführt werden können wie zB die Vergabe einer fixen IPv4 Adresse jedoch benötigt ein Forti Access Point für den Betrieb und dessen Grundkonfiguration einen FortiGate Wireless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem Forti Acces Point vom FortiGate Wireless Controller übermittelt/zugewiesen und somit kann ein Forti Access Point nicht ohne FortiGate Wirless Controller betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein Forti Access Point auch ohne FortiGate Wireless Controller betrieben werden da Fortinet neu einen entsprechenden Wireless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:
FortiCloud:FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F
Was ist die max. Anzahl User die auf einem Forti Access Point verbunden werden können?
Nun die FortiAPs unterliegen keinem Hardlimit! Wenn eine Limitierung konfiguriert werden möchte, kann dies über die jeweilige SSID im Mgmt. Web Interface über folgende Position konfiguriert werden:
WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients
Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen:
3-7 - For a direct wire replacement.
8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
>50 - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.
Diese Angaben stammen aus folgendem Dokument:
Datei:FortiAP Technical FAQ - January 2014.pdf)
Was ist die max. Anzahl SSID's die ich auf einem Forti Access Point konfigurieren und betreiben kann?
Grundsätzlich gelten die "maximum values" für das entsprechende FortiOS. Weitere Informationen betreffend "maximum values" siehe nachfolgenden Link:
Datei:Fortigate-max-values-50.pdf Datei:Fortigate-max-values-52.pdf Datei:Fortigate-Max-Values-54.pdf
In diesen "maximum values" sind zwei Werte gelistet:
• SSIDs Dieser Wert stellt das Maximum dar der SSID's die konfiguriert werden können!
• SSID lists per FortiAP Dieser Wert stellt das Maximum dar der SSID's die für einen Forti Access Point konfiguriert werden können!
Dabei ist folgendes zu beachten: Wenn auf einem Forti Access Point die volle Anzahl der SSID's konfiguriert wird so entsteht durch den Traffic der SSID's selber eine hohe Belastung (zusätzliche Broadcast Frames). Aus diesem Grund ist es nicht empfehlenswert mehr als 7 SSID's auf einem Forti Access Point zu konfigurieren da durch mehr SSID's die Performance durch die zusätzlichen Broadcast Frames beeinträchtigt wird. Die empfohlen Anzahl seitens Fortinet ist 4 SSID's!
Wie sieht der Hardware-Technische Aufbau (block diagram) eines Forti Access Point Produkts aus?
In der nachfolgenden Abbildung resp. "block diagram" wird anhand eines FortiAP-28C gezeigt, wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:
Wie aus dem "block diagram" ersichtlich ist, wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:
http://en.wikipedia.org/wiki/Qualcomm_Atheros
Desweiteren eine "Schematische" Uebersicht betreffend FAP-221C, FAP-320C sowie FAP-321C:
FAP-221C
FAP-320C
FAP-321C
Weitere Modelle betreffend Forti Access Point Hardware Schematics findet man unter folgenden Link:
Fortinet:ProduktInfo#Fortinet_Hardware_Schematics
Wieso kann die Hardware eines Forti Access Point FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten?
Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:
FortiAP:FAQ#Wo_finde_ich_detailliert_Informationen_.C3.BCber_Wireless_.22802.11AC_MU-MiMo.22_Funktion.3F
In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:
# cw_diag -c radio-cfg
Radio 0: AP
country : cfg=CH oper=CH
radio type : 11N_2.4G
beacon intv : 100
tx power : 15
HT param : mcs=23 gi=disabled bw=20MHz
ack timeout : 64
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=6 age=25011
channel : num=6
oper_chan : 6
r_ac md_cap : 2, 6, 10,
r_ac chan list : 2, 6, 10,
chan list : 2, 6, 10,
hw_chan list : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
nol list :
ap scan : background regular scan,
ap scan period : 600s
ap scan intv : 1s
ap scan dur : 20ms
ap scan idle : 0ms
ap scan rpt tmr: 30s
sta scan : enabled
arrp : enabled --info only
spect analysis : disabled
wids : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
long-dur-thresh: 8200
auth-flood: time=10, thresh=30
assoc-flood: time=10, thresh=30
Radio 1: AP
country : cfg=CH oper=CH
radio type : 11AC
beacon intv : 100
tx power : 31
VHT param : mcs=9 gi=disabled bw=80MHz
ack timeout : 25
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=0 age=68299
channel : num=0
oper_chan : 36
r_ac md_cap : 36, 40, 44, 48,
r_ac chan list : 36, 40, 44, 48,
chan list : 36, 40, 44, 48,
hw_chan list : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
128, 132, 136, 140,
nol list :
ap scan : disabled,
sta scan : disabled
arrp : disabled --info only
spect analysis : disabled
wids : disabled
Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche Umgebungsvariablen 100% stimmen was wiederum bedeutet: Der Host/Client muss für die Verbindung zB ebenfalls den entsprechenden "MCS Index" unterstützen! Somit wenn die Umgebungs Variablen 100% stimmen bestimmt der MCS Index den max. Durchsatz gemäss unteren Tabelle:
Datei:Fortinet-718.jpg
Welches FortiOS soll im Zusammenhang mit FortiGate Devices und/oder Forti Access Points eingesetzt werden?
Grundsätzlich ist es empfohlen die jeweiligen Release Notes für das entsprechenden FortiOS für einen Forti Access Point zu konsultieren um zu verifizieren welche Version für welchen FortiGate Patch Level unterstützt wird. In einem Upgrade Scenario muss ebenfalls verifiziert werden, wie ein Upgrade zu erfolgen hat dh. von welcher FortiOS Version für die Forti Access Points. Teilweise ist es möglich für Forti Access Points höhere Versionen einzusetzen dh. Zb FortiGate Device 5.0 und auf den Forti Access Point 5.2. Dabei ist jedoch zu berücksichtigen: Features die für FortiOS 5.2 grundsätzlich zur Verfügung stehen, können obwohl der Forti Access Points basierend auf FortiOS 5.2 betrieben wird, nicht zugewiesen werden da der FortiGate Wireless Controller FortiOS 5.0 basierend ist. Da die Konfiguration eines Forti Access Point über den FortiGate Wireless Controller einem Forti Access Point zugewiesen wird kann in so einer Konstellation der FortiGate Wireless Controller einem Forti Access Point nicht 5.2 basierend Features zuweisen da der FortiGate Wireless Controller diese nicht kennt da dieser auf FortiOS 5.0 basiert. Je nach FortiOS Version ist es nicht möglich ein durchgeführtes Upgrade durch ein Downgrade zu ersetzen. Auch hier gibt die Release Notes des entsprechenden FortiOS für die Forti Access Points Auskunft ob ein nachträgliches Downgrade durchführbar ist. Weitere Auskunft über diese Problematik betreffend Downgrade von 5.2 auf 5.0 gibt nachfolgender Artikel:
FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_einer_Firmware_5.0_ein_.22Downgrade.22_durchf.C3.BChren.3F FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.4_anhand_einer_Firmware_5.2_ein_.22Downgrade.22_durchf.C3.BChren.3F
Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet: ein Upgrade für den FAP-320C ist folgendermassen durchzuführen:
Schritt 1: FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out
Schritt 2: Danach Upgrade mit regulärem Image auf 5.2.2
Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Patch Level sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss, die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:
https://support.fortinet.com/Download/FirmwareImages.aspx / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/
Nachträglich eine kurze Uebersicht über die möglichen Konstellation:
FortiGate 5.2.x --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)
FortiGate 5.0.x --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)
FortiGate 5.0.x (Special Support Build) --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (Zwingend für Modelle FAP-221C/222C/223C/321C damit diese erkannt werden)
Bei dieser Aufstellung der Möglichkeiten ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D sind in der Version Forti Access Point 5.0.x nicht erhältlich. Somit müssen die Forti Access Point basierend auf Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu achten immmer den neusten Patch Level für Forti Access Points einzusetzen unter berücksichtigung der Release Notes.
Wie kann ich das lokale Passwort auf einem Forti Access Point zurücksetzen?
Wenn ein Forti Access Point in Betrieb genommen wird so ist das Standard Password wie bei allen Fortinet Geräten für den User "admin" nicht gesetzt dh. kein Passwort. Wenn nun dennoch in einer weiteren Konfiguration auf einem Forti Access Point ein Passwort gesetzt wird und später für ein Login dieses nicht mehr zur Verfügung steht kann Grundsätzlich folgendes durchgeführt werden:
"Forti Access Point ist nicht mit einem FortiGate Wireless Controller verbunden"
Wenn ein Forti Access Point nicht mit einem FortiGate Wireless Controller verbunden ist dh. das entsprechende
Passwort benötigt wird um Lokal auf den Forti Access Point zu verbinden bleibt einem nichts anderes übrig als
einen "Factory Reset" auszuführen auf dem Forti Access Point. Zu diesem Zweck verfügen alle Forti Access Points
über einen "Hardware Reset" Button anhand diesem ein Factory Reset ausgeführt werden kann. Weitere Informationen
dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F
"Forti Access Point ist mit einer FortiGate Wireless Controller verbunden"
Wenn der Forti Access Point über eine FortiGate Wireless Controller verbunden ist kann das Passwort auf einem
Forti Access Point über den "FortiGate Wireless Controller" der FortiGate zurück gesetzt werden. Dies wird
folgendermassen ausgeführt:
FortiOS 5.0/5.2
# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set login-passwd-change default
# end
# end
FortiOS 5.4
# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set override-login-passwd-change enable
# set login-passwd-change default
# end
# end
Sofern der Forti Access Point ein WTP Profile benutzt kann das Passwort ebenfalls über dieses WTP Profile
zurück gesetzt werden:
# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile des Forti Access Point an]
# set login-passwd-change default
# end
# end
Durch dieses Kommando wird das Passwort eines Forti Access Point auf "default" zurück gesetzt dh. es gilt User
"admin" und kein Passwort.
Wie kann ich für eine Forti Access Point Hardware einen Factory Reset durchführen?
Wenn für eine Forti Access Point Hardware ein Factory Reset durchgeführt werden soll so kann das Lokal über die CLI auf einem Forti Access Point durchgeführt werden. Einerseits wenn dies durchgeführt werden möchte, ist es möglich per "telnet" über den Forti Gate Wireless Controller Zugriff auf die CLI eines Forti Access Point zu erhalten. Ebenso kann der Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden werden um danach ebenso über "telnet" Zugriff auf die CLI des Forti Access Point zu erhalten.
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
Wenn ein Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden ist muss "telnet" Zugriff über das Mgmt. Web Interface des Forti Access Point aktiviert werden. Um auf der CLI danach ein Factory Reset auszuführen gebe folgendes ein:
# cfg -x
# reboot
oder auch
# factoryreset
Durch den Befehl "cfg -x" wird der Forti Access Point zurückgesetzt und zware ohne Neustart des Forti Access Point im Gegensatz zu "factoryreset"! Aus diesem Grund muss nach "cfg -x" ein manueller Neustart durchgeführt werden. Die Forti Access Points können ebenfalls auch manuell anhand eines "Hardware Reset" Buttons auf Factory Reset zurückgestellt werden. Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:
FAP-210B and FAP-220B
Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.
FAP-221B, FAP 221C and FAP-223B
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Es wird automatisch ein Neustart ausgeführt.
FAP-320B and FAP320C
Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
ein Neustart ausgeführt.
FAP-222B
Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.
FAP-11C
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.
Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:
Fortinet:ProduktInfo#FortiAP
Was bedeuten die verschiedenen Regionen Codes im Zusammenhang mit der Forti Access Point Hardware resp. SKU?
Wenn man einen Forti Access Point beim Distributor bestellt, wird die korrekte Fortinet Hardware mit der SKU indiziert dh. eine Fortinet SKU zB für einen FortiAccess Point FAP-221C hat folgende SKU:
FAP-221C-E
Der Zusatz "-E" indiziert den "Regionen Code". Dies bedeutet: Durch den entsprechenden Regionen Code werden Regulatorien resp. Richtlinien der einzelnen Ländern bestätigt. Dies bedeutet wiederum: Muss für ein Projekt zB ein Forti Access Point nach Japan gesendet werden ist es nicht korrket ein "-E" Modell nach Japan zu senden da sich dieser Forti Access Point dh. "-E" unterscheidet von "-J" und somit die Richtlinien für das entsprechende Land nicht eingehalten werden. Somit muss bei einer Bestellung dies mitgeteilt werden zB:
FAP-221C-J
Um den richtigen Forti Access Point mit dem korrekten "Region Code" bestellt werden kann muss das Installations Land bekannt sein damit der korrekte "Region Code" verifiziert werden kann. Nachfolgend einen Ueberblick ober die verschiedenen "Region Code":
-A CANADA
GUAM
PUERTO RICO
ARGENTINA
UNITED STATES
-E ARUBA
AUSTRIA
BELGIUM
BOSNIA AND HERZEGOVINA
BULGARIA
CAMBODIA
CROATIA
CYPRUS
CZECH REPUBLIC
DENMARK
ESTONIA
FINLAND
FRANCE
GERMANY
GREECE
GREENLAND
HAITI
HUNGARY
ICELAND
IRAQ
IRELAND
ITALY
LATVIA
LEBANON
LIECHTENSTEIN
LITHUANIA
LUXEMBOURG
MACEDONIA
MALTA
NETHERLANDS
NETHERLANDS ANTILLES
NORWAY
POLAND
PORTUGAL
ROMANIA
SAUDIA ARABIA
SERBIA & MONTENEGRO
SLOVAK REPUBLIC
SLOVENIA
SOUTH AFRICA
SPAIN
SWEDEN
SWITZERLAND
TURKEY
UNITED ARAB EMIRATES
UNITED KINGDOM
BELARUS
KENYA
MOZAMBIQUE
ANGOLA
SUDAN
MAURITANIA
-I ARMENIA
AZERBAIJAN
GEORGIA
ISRAEL
KUWAIT
Morocco
TUNISIA
UZBEKISTAN
MONACO
-J JAPAN
-K KOREA REPUBLIC
-N AUSTRALIA
BARBADOS
BOLIVIA
BRAZIL
CHILE
COLOMBIA
COSTA RICA
DOMINICAN REPUBLIC
GUATEMALA
ECUADOR
EL SALVADOR
FIJI
HONG KONG
JAMAICA
MACAU
MEXICO
NEW ZEALAND
OMAN
PANAMA
PAPUA NEW GUINEA
PARAGUAY
PERU
PHILIPPINES
QATAR
TRINIDAD & TOBAGO
VENEZUELA
-V VIETNAM
BAHRAIN
SRI LANKA
-S BRUNEI DARUSSALAM
INDIA
SINGAPORE
THAILAND
GRENADA
HONDURAS
BELIZE
CHINA
IRAN
NEPAL
MALAYSIA
PAKISTAN
URUGUAY
EGYPT
-T TAIWAN
-U UKRAINE
-P RUSSIA
-W ALBANIA
TANZANIA
YEMEN
ZIMBABWE
ALGERIA
BANGLADESH
INDONESIA
KAZAKHSTAN
SYRIA
Folgendes Dokument kann gerne benutzt werden um die richtigen Ländercodes zu ermitteln:
Als Exel Datei mit Filterfunktion:
Datei:FortiAP LaenderCode-Tabelle-version1.xlsx
Als PDF Datei:
Datei:FortiAP LaenderCode-Tabelle-version1.pdf
FortiAP und 5.0 GHZ
Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ?
Gemäss IEEE 802.11 haben WLANS mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist 2.4 GHZ der am meisten verwendete Frequenzbereich, gefolgt von 5.0 GHZ. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.
Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (Radio 1-3 Capabilities):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E FAP-222E, FAP-224E, FAP-C24JE FAP-U231F, FAP-U431F, FAP-U433F FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV FAP-U422EV, FAPU24JEV
Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ?
Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):
https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799
Dabei ist u.a. wichtig, dass unter FortiAP Profiles zunächst Frequency Handoff und AP Handoff aktiviert werden. Bei TX power control (sowohl Radio 1 & 2) wählt man die Option Auto, und stellt anschliessend die entsprechenden Transmit Power Ranges ein:
2.4 GHz: 6 to 12 dB 5.0 GHz: 12 to 18 dB
Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.
Power Adapter
Welcher Power Adapter oder PoE Injektor brauche ich für meinen Forti Accesspoint?
FortiAPs werden teilweise mit jedoch teilweise auch ohne PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAPs mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter die für fast alle FortiAPs erhältlich sind aufgeführt:
FortiAP Netzteile:
FortiAP S-Serie Netzteile:
FortiAP U-Serie Netzteile:
FortiAP C-Serie Netzteile:
In der Folgenden Datei findet man eine Zusammenfassung welcher Poweradapter zu welchem FortiAP genutzt werden kann:
Datei:FAP-PowerAdapter.pdf
Betreffend dieser Informationen im Zusammenhang mit FortiAP-S siehe nachfolgender Artikel:
FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F
2692514 GPI-115 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
2700323 GPI-130 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W
FortiCare
Muss ich für die "Lifetime Warranty" eines Forti Access Point ein FortiCare (Maitenance) beziehen?
"Lifetime Waranty" muss für einen Forti Access Point nicht in jedem Fall bezogen werden! Die Fortinet hat im März 2014 folgendes Dokument released:
Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf Datei:Fortinet Limited Lifetime Warranty FAQ - January 2015.pdf
Dieses Dokument besagt folgendes:
Jeder FortiAP der nach 1. November 2013 gekauft/registriert wurde (purchased after November 1st 2013) benötigt kein FortiCare mehr und hat
"LifeTime Waranty" betreffend RMA. "LifeTime Waranty" bedeutet: 5 Jahre nach EOL (End Of Life Announcement).
Alle Geräte vor dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden! Alle FortiAP die über kein FortiCare verfügen und nach dem 1. November 2013 gekauft wurden, werden über Fortinet EMEA (Sophia Antipolis) bei Defekt ausgetauscht. Was jedoch zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich nicht auf:
• Firmware Upgrade
• Technischer Support (Ticketing)
Somit muss für die Aussage im Zusammenhang mit "Lieftime Warranty" folgendes berücksichtigt werden: Um ein Firmware Upgrade auf einem Forti Access Point durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt man weiterhin FortiCare dh. ohne FortiCare können keine regulären Firmware Upgrades für Forti Access Point durchgeführt werden und können keine technischen Support Tickets eröffnet werden! Somit muss für einen Forti Access Point Maintenance resp. mit FortiCare bezogen werden!
Antenna
Kann man Forti Access Points mit externen Antennen Nach-/Ausrüsten?
Grunsätzlich ist es möglich Forti Access Points mit externen Antenen Nach-/Auszurüsten dh. das eingesetzte Forti Access Point Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Dies bedeutet: ob der vorhanden Anschluss für eine externe Antenne zur Verfügung steht oder nicht. Ob dies der Fall ist, kann über das jeweiligen Quickstart und/oder Datasheet verifiziert werden:
Fortinet:ProduktInfo#FortiWiFi Fortinet:ProduktInfo#FortiAP
Fortinet bietet eigene externe Antennen an in der Forti Access Point Produktlinie. Der Wirkungsgrad dieser Antennen etc. kann im jeweiligen Datasheet nachgelesen werden:
Fortinet:ProduktInfo#FortiAntenna
Was ist zu beachten wenn Forti Access Points mit einer externen Antenne ausgerüstet wird?
Eine externe Antenne verteilt das Signal nur dh. es verstärkt dieses nicht! Die Antennen verteilen das Signal in Ihrer speziellen Art und Weise (Wirkungsgrad). Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:
http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de
Welchen Anschluss benützt eine Forti Access Point für den externen Antenna Anschluss?
Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:
Fortinet:ProduktInfo#FortiWiFi Fortinet:ProduktInfo#FortiAP
Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:
https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder
Gibt es von Fortinet für Forti Access Point eine externe "omnidirect" Antenne?
Omnidirect bedeutet: 360° was wiederum bedeutet, dass Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet externen Antennen gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung (Wirkungsgrad):
Fortinet:ProduktInfo#FortiAntenna
FortiAP-OS
Wo finde ich den Upgrade Pfad für das FortiAP OS?
Beim Upgraden eines FortiAP ist es wie auf der FortiGate selber wichtig, den Upgrade Pfad einzuhalten. Wir emfpehlen, auf dem Accesspoint möglichst die gleiche OS Version zu installieren, wie die FortiOS Version auf der FortiGate welche als Kontroller eingerichtet ist. [FortiAP:FAQ#Welche_FortiAP_OS_Version_verwende_ich_mit_welchem_FortiOS.3F]
Wie auf einer FortiGate ist es auch mit dem Accesspoint wichtig, beim upgraden den UPGRADE PFAD einzuhalten.
Den Upgradepfad ist in den Release Notes zu finden oder beim speziellen Upgradepfad Dokument auf den docs.fortinet.com zu entnehmen:
Aktuelle Liste (FortiOS 6.4.7):
PDF Dateien mit den Upgrade Pfaden:
- Datei:FortiAP-6.0.6-SupportedUpgradePaths.pdf
- Datei:FortiAP-6.2.6-SupportedUpgradePaths.pdf
- Datei:FortiAP-6.4.7-SupportedUpgradePaths.pdf
- Datei:FortiAP-7.0.0-SupportedUpgradePaths.pdf
- Datei:FortiAP-7.0.1-SupportedUpgradePaths.pdf
- Datei:FortiAP-7.0.2-SupportedUpgradePaths.pdf
- Datei:FortiAP-7.0.3-SupportedUpgradePaths.pdf
Aktuelle Upgradepfade auf den Docs:
- FortiAP-Upgradepath auf 5.6.x
- FortiAP-Upgradepath auf 6.0.x
- FortiAP-Upgradepath auf 6.2.x
- FortiAP-Upgradepath auf 6.4.x
- FortiAP-Upgradepath auf 7.0.x
edit 18.03.2022 - 4Tinu
Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet?
Beim FortiOS eines Forti Access Point handelt es sich um ein "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0). Dies bedeutet: Prozesse und / oder Deamons werden über die zuständigen RC-Level (Start Scripts) abgewickelt. Diese RC-Level welche wiederum einfach Scripts darstellen, lesen Konfigurations-Dateien aus um die notwendige Konfiguration durchzuführen. Die RC-Levels befinden sich im folgenden Verzeichnis:
/etc/rc.d/
Die Konfigurations-Dateien befinden sich im folgenden Verzeichnis:
/etc/ath
In diesem Verzeichnis existieren folgende Files welche für folgende Konfiguration zuständig sind:
dflt.cfg (Standard Konfiguration)
# more /etc/ath/dflt.cfg
--------------- output dflt.cfg ---------------
## Default values of FAP cfg variables
## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
## Add an entry like: CFG_VAR_NAME_DFLT=DFLT_VALUE
## Don't include "" in DFLT_VALUE
BAUD_RATE_DFLT=9600
FIRMWARE_UPGRADE_DFLT=0
ADMIN_TIMEOUT_DFLT=5
ADDR_MODE_DFLT=DHCP
STP_MODE_DFLT=0
AP_IPADDR_DFLT=192.168.1.2
AP_NETMASK_DFLT=255.255.255.0
IPGW_DFLT=192.168.1.1
DNS_SERVER_DFLT=208.91.112.53
AP_MGMT_VLAN_ID_DFLT=0
WAN_MODE_DFLT=bridged
WAN_IPADDR_DFLT=192.168.2.1
WAN_NETMASK_DFLT=255.255.255.0
TELNET_ALLOW_DFLT=0
HTTP_ALLOW_DFLT=1
AC_DISCOVERY_TYPE_DFLT=0
AC_IPADDR_1_DFLT=192.168.1.1
AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
AC_CTL_PORT_DFLT=5246
AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
AC_PLAIN_CTL_DFLT=0
AC_DATA_CHAN_SEC_DFLT=2
MESH_AP_TYPE_DFLT=0
MESH_AP_MODE_DFLT=0
MESH_AP_SSID_DFLT=fortinet.mesh.root
MESH_AP_BSSID_DFLT=
MESH_AP_PASSWD_DFLT=fortinet.mesh.root
MESH_ETH_BRIDGE_DFLT=0
MESH_MAX_HOPS_DFLT=4
MESH_SCORE_HOP_WEIGHT_DFLT=50
MESH_SCORE_CHAN_WEIGHT_DFLT=1
MESH_SCORE_RATE_WEIGHT_DFLT=1
MESH_SCORE_BAND_WEIGHT_DFLT=100
MESH_SCORE_RSSI_WEIGHT_DFLT=100
--------------- output dflt.cfg ---------------
apcfg (Benutzerspezifische Konfiguration)
# more /etc/ath/apcfg
--------------- output dflt.cfg ---------------
###################################################################################
## apcfg
##
## Configuration file for Atheros AP.
## This file will "predefine" default configuration data for the AP. This
## will first read all configuration data from flash (cfg -E), then fill in any
## defaults that are missing. Thus the defaults will appear on the web pages
## even if the configuration store has been cleared.
##
###################################################################################
##
## Get the current settings from flash/cache area
##
cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$
source /etc/ath/dflt.cfg
##
## Set Network configuration
##
## AP_IPADDR = IP address of the bridge
## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
## WAN_MODE = bridged for attached to bridged, Get address if dhcp, fixed address
## if static
##
###################################################################################
if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
cfg -a FIRMWARE_UPGRADE=0
cfg -c
if [ ${LOGIN_PASSWD_ENC} ]; then
cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
fi
fi
cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
##
## Set WTP configuration
##
cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
##
## Set MESH configuration
##
cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
if test ${MESH_AP_PASSWD+defined}
then
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
else
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
fi
cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
_DFLT}} T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
#
# Account for S26 peculiarity
#
export WAN_IF=eth1
export LAN_IF=eth0
#
# Indicate if you want the WLAN to be activated on boot up.
#
cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
#
# AP Start Mode
# This can be overridded by environmental variables
# Modes can be
# standard := standard single AP start mode
# rootap := WDS root AP for WDS modes
#reptater-ind := WDS repeater station independent mode
# client := WDS "virtual wire" client
# multi := Multiple BSSID with all encryption types
# dual := Dual concurrent, automatically configure interface
# stafwd := Station mode with address forwarding enabled
#
#
cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
#################################################################################
## Default Parameters
## If these are not set explictly by exporting environmental variables, the following
## Defaults will be applied
#################################################################################
#
# AP_PRIMARY_CH could be
# 11na (which means auto-scan in 11na mode) or
# 11ng (which means auto-scan in 11ng mode)
cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
##
## Set up the channel for dual mode
##
cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
##
## This is for pure G or pure N operations. Hmmmm...
##
cfg -a PUREG=${PUREG:=0}
cfg -a PUREN=${PUREN:=0}
##
## Channel Configuration Section
##
cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
cfg -a SHORTGI=${SHORTGI:=1}
cfg -a SHORTGI_2=${SHORTGI_2:=1}
#
# Aggregation. First parameter enables/disables,
# second parameter sets the size limit
#
cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
cfg -a AMPDUMIN=${AMPDUMIN:=32768}
cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
cfg -a CWMMODE=${CWMMODE:=1}
cfg -a CWMMODE_2=${CWMMODE_2:=1}
cfg -a RATECTL=${RATECTL:="auto"}
cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
##
## AP Identification Section
##
cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
if [ "${AP_STARTMODE}" = "dual" ]; then
cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
fi
##
## Set the default modes for multi configuration
## Set default security modes
## Set default secfile to PSK, only valid in WPA mode
## Default keys are Decimal (NOT hex)
##
export MAX_VAPS_PER_RADIO=4
_1
## trailer - it's not a VAP number, it's the number of the key. This is done for-More-- (73% of 8884 bytes)
## both radios.
##
my_wep_keys="_1 _2 _3 _4"
for i in $my_wep_keys;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
done
##
## Now, for each radio, set the primary key and the mode value
##
cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
my_vaps=" _2 _3 _4 _5 _6 _7 _8"
for i in $my_vaps;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_AP_MODE="AP_MODE$i"
ITER_AP_SECMODE="AP_SECMODE$i"
ITER_AP_SECFILE="AP_SECFILE$i"
ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
eval ITER_MODE=\$$ITER_AP_MODE
eval ITER_SECMODE=\$$ITER_AP_SECMODE
eval ITER_SECFILE=\$$ITER_AP_SECFILE
eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
done LE=${ITER_WPS_ENABLE:="0"}
##
## Export the variables again to catch the defaults
##
cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$
##
## Set the proper radio parameter values depending on the
## interface selected. These are exported vice included
## in cache. These should really be in apup vice here,
## but this works OK.
##
for i in $my_vaps;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_RADIO_ID="AP_RADIO_ID$i"
eval ITER_RADIO_ID=\$$ITER_RADIO_ID
if [ "${ITER_RADIO_ID}" = "1" ]; then
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
else
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
fi
done
#####################################################################################
## The following parameters are board specific, and should not be modified
#####################################################################################
export ATH_use_eeprom=0
--------------- output dflt.cfg ---------------
Wo befindet sich das Standard Certificate auf dem FortiOS für ein Forti Access Point?
Das Standard Zertifikate für ein Forti Access Point ist wichtig und sollten nie manipuliert werden! Dies bedeutet: anhand dieser Zertifikates wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS-Verschlüsselung aufgebaut. Weitere Informationen betreffend DTLS-Verschlüsselung kann nachfolgendem Artikel entnommen werden:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
Die Zertifikate befinden sich im folgenden Verzeichnis:
/etc/cert
/etc/fgt.crt
/etc/fgt.key
Wo befindet sich das "root" des WebServers auf dem FortiOS für einen Forti Access Point?
Über das FortiOS eines Forti Access Point wird ein Mgmt. Web Interface für die minimale lokale Konfiguration zur Verfügung gestellt. Das "root" des WebServers dieses Mgmt. Web Interface befindet sich auf dem FortiOS eines Forti Access Point im folgenden Verzeichnis:
/usr/www
Welche Linux Befehle können auf einem FortiOS für einen Forti Access Point benützt werden?
Ein Forti Access Point basiert auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Linux Kommandos abgesetzt werden wie zB:
ifconfig
more
cd
Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:
/bin
/sbin
# ls -la /bin
--------------- output /bin ---------------
drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ash -> busybox
-rwxr-xr-x 1 admin root 1143436 Dec 11 00:54 busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cat -> busybox
lrwxrwxrwx 1 admin root 24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 chmod -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cp -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 date -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 df -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 dmesg -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 echo -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 egrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 factoryreset -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 fgrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 grep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ip -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 iproute -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 kill -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ln -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 login -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ls -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mkdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 more -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mv -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ping -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ps -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 pwd -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rm -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rmdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sh -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sleep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sync -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 touch -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 umount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 uname -> busybox
--------------- output /bin ---------------
# ls -al /sbin
--------------- output /sbin ---------------
drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
-rw-r--r-- 1 admin root 0 Dec 11 00:35 .dummy
-rwxr-xr-x 1 admin root 12128 Dec 11 00:54 apstart
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 arp -> ../bin/busybox
-rwxr-xr-x 1 admin root 1348400 Dec 11 00:54 cwWtpd
-rwxr-xr-x 1 admin root 6096 Dec 11 00:54 cw_debug
lrwxrwxrwx 1 admin root 6 Dec 11 00:54 cw_diag -> cwWtpd
-rwxr-xr-x 1 admin root 2534 Dec 11 00:46 cw_test_led
-rwxr-xr-x 1 admin root 3727 Dec 11 00:46 cw_test_radio
-rwxr-xr-x 1 admin root 4652 Dec 11 00:54 diag_console_debug
-rwxr-xr-x 1 admin root 5084 Dec 11 00:54 diag_debug_crashlog
-rwxr-xr-x 1 admin root 3932 Dec 11 00:54 ebtables
-rwxr-xr-x 1 admin root 9508 Dec 11 00:54 fap-factory-license
-rwxr-xr-x 1 admin root 4892 Dec 11 00:54 fap-get-status
-rwxr-xr-x 1 admin root 4484 Dec 11 00:54 fap-mount-udisk
-rwxr-xr-x 1 admin root 5956 Dec 11 00:54 fap-set-hostname
-rwxr-xr-x 1 admin root 4148 Dec 11 00:54 fap-umount-udisk
-rwxr-xr-x 1 admin root 74220 Dec 11 00:54 fsd
-rwxr-xr-x 1 admin root 11012 Dec 11 00:54 get
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 getty -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 halt -> ../bin/busybox
-rwxr-xr-x 1 admin root 4408 Dec 11 00:54 help
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 ifconfig -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 init -> ../bin/busybox
-rwxr-xr-x 1 admin root 3724 Dec 11 00:54 init_sys_shm
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 insmod -> ../bin/busybox
-rwxr-xr-x 1 admin root 21584 Dec 11 00:54 iwconfig
-rwxr-xr-x 1 admin root 25304 Dec 11 00:54 iwlist
-rwxr-xr-x 1 admin root 11352 Dec 11 00:54 iwpriv
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 lsmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 modprobe -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 poweroff -> ../bin/busybox
-rwxr-xr-x 1 admin root 12548 Dec 11 00:54 radartool
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 reboot -> ../bin/busybox
-rwxr-xr-x 1 admin root 61 Dec 11 00:49 repeater_pass_configuration
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 restore
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 rmmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 route -> ../bin/busybox
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 setcfg
-rwxr-xr-x 1 admin root 9268 Dec 11 00:54 startup_fw
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 udhcpc -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 upgrade -> ../bin/busybox
-rwxr-xr-x 1 admin root 105972 Dec 11 00:54 usbmuxd
-rwxr-xr-x 1 admin root 19848 Dec 11 00:54 wlanconfig
-rwxr-xr-x 1 admin root 244180 Dec 11 00:54 wpa_supplicant
--------------- output /sbin ---------------
FortiPlanner
Was ist ein FortiPlanner und wo finde ich weitere Informationen zum FortiPlanner?
Beim FortiPlanner handelt es sich um ein Tool das Fortinet zur Verfügung stellt um eine Wireless Plannung durchzuführen. Weitere Informationen zum FortiPlanner siehe nachfolgenden Artikel:
FortiPlanner:FAQ
802.11
Wo finde ich detailliert Informationen über den Wireless "IEEE 802.11" Standard?
Folgender Link gibt Auskunft über den "IEEE 802.11" Standard und enthält weitere nützliche Links:
http://en.wikipedia.org/wiki/802.11
Wo finde ich detailliert Informationen über den Wireless "802.11ac" Standard?
Fortinet hat ein Dokument veröffentlich in dem der neue "802.11ac" ([|IEEE 802.11ac] Standard beschrieben wird:
Datei:802.11ac Wireless LAN FAQ - July 2013.pdf Datei:802.11ac Wireless LAN FAQ - Januar 2014.pdf Datei:802.11ac Wireless LAN FAQ - Februar 2014.pdf
Dabei ist eine Position in den Dokument zu berücksichtigen:
Do I need to buy new APs to support 802.11ac?
Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.
Somit können bestehende Modelle wie zB FAP-221B nicht auf den neuen Standard 802.11ac anhand eines Software Updates gebracht werden da es für den 802.11ac Standard neue Hardware benötigt die diesen Standard 802.11ac unterstützt wie zB FAP-221C. Desweiteren ist zu berücksichtigen, dass für diesen Standard resp. neue Hardware und für FortiOS 5.0 ein spezielles FortiOS installiert werden muss, damit die neuen FAP-221C die auf diesen neuen Standard 802.11ac basieren erkannt werden. Dieser neue "Special Support Build" wird basierend auf FortiOS 5.0 unter folgenden Link zur Verfügung gestellt:
https://support.fortinet.com/Download/FirmwareImages.aspx / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/
Dieser Link kann nur dann aufgerufen werden, wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Mit diesem "Special Support Build" wird ausschliesslich die neuen Forti Access Point (zB FAP-320C und FAP-221C) basierend auf 802.11ac unter FortiOS 5.0 unterstützt. Die Forti Access Points müssen mit FortiOS 5.2 betrieben werden. Um den "Special Support Build" zu installieren muss folgendermassen vorgegangen werden:
1. Installierte Basis offizielles FortiOS 5.0.x
2. Upgrade auf die letzte zur Verfügung stehende offizielle Version zB FortiOS 5.0.12 gemäss Upgrade Path:
Datei:FortiOS-Upgradepath.pdf
3. Einspielen des "Feature Support Build" basierend auf FortiOS 5.0.12
Für FortiOS 5.2 und höher muss zur Unterstützung der neuen 802.11ac Standard kein "Feature Support Build" installiert werden!
Wo finde ich detailliert Informationen über Wireless "802.11AC MU-MiMo" Funktion?
Unter "802.11AC MU-MiMo" versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". MiMo bedeutet somit konkret:
MI steht für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen
Dahinter verbirgt sich im Prinzip ein cleveres Radio/Antennen Management! Wenn ein Access Point über mehrer "radios" mit Antennen vefügt, kann der Access Point seine "radio" Antennen gezielt aufteilen wenn er mehrere Gegenstellen zu bedienen hat um damit jeder Gegenstelle eine besonders stabile und starke Verbindung zu garantieren:
Datei:Fortinet-326.jpg oder Datei:Fortinet-331.jpg
Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:
Datei:Fortinet-718.jpg
Wenn diese Technology für "802.11AC MU-MiMo", die auch für den Forti Access Point FAP-320B/C benutzt wird eingesetzt werden soll, so muss ebenfalls die Client/Host Seite über diese Technolgie verfügen. Dies bedeutet: der Client/Host selber müssen diese Technologie durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client/Host zB IPad "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte um die entsprechende Performance zu erlangen!
802.11ax - Wi-Fi6
Welches FortiOS unterstützt den Wi-Fi6 Standard?
- Das FortiOS 6.4.0 und höher unterstützen den Wi-Fi6 Standard.
- Das FortiOS 6.2.7 unterstützt den Wi-Fi6 Standard auch. Das heisst FortiGate Modelle wie zum Beispiel : 30E, 50E, 100D und 140D welche nicht mehr das FortiOS 6.4.x und höher unterstützen, können als Kontroller für Wi-Fi6 Accesspoint von Fortinet benutzt werden.
Mehr Informationen über die Kompatibilität der Geräte findet man in diesem Wiki Artikel:
Welche FortiAP unterstützen den Wi-Fi6 Standard?
Sämtliche FortiAP mit dem Suffix F unterstützen den Wi-Fi6 Standard.
Infrastruktur FortiAP:
Universelle FortiAP:
Wireless Controller
Wie kann ich für einen FortiGate Wireless Controller den "Country Code" Konfigurieren?
Ein Forti Access Point wird über die Fortigate Wireless Controller konfiguriert. Es ist zwingend Notwendig die korrekte "location" (Country Code) zu setzen bevor ein Forti Access Point konfiguriert wird. UM den entsprechenden Country Code auf dem FortiGate Wireless Controller zu konfigurieren führe folgendes durch:
# config wireless-controller setting
# set country CH
# end
Wenn man die Konfiguration abschliesst, kann es zu einer Fehlermeldung führen. Der Grund dafür sind existierende WTP Profiles die auf den alten Country Code basierend. Der Konfigurationspunkt in den WTP Profiles die auf dem Country Code basieren, sind die zur Verfügung gestellten "channels" und diese können von Land zu Land unterschiedlich sein. Aus diesem Grund unter FortiOS 5.0 dürfen kein WTP Profiles existieren wenn der Country Code neu gesetzt wird. Aus diesem Grund müssen die bestehenden WTP Profiles unter FortiOS 5.0 gelöscht werden. Dies wird folgendermassen durchgeführt:
# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)y
Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert werden jedoch wird sämtliche "channel" Konfiguration zurückgesetzt und muss bei einer bestehenden Konfiguration nachträglich kontrolliert werden. Wird der Country Code unter FortiOS 5.2 auf der CLI geändert erscheint folgende Meldung:
This operation will also clear channel settings of all the existing wtp profiles
Do you want to continue (y/n)y
Kann ich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos absetzen?
Ab FortiGate/FortiAccessPoint FortiOS 5.4.1 ist es möglich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos abzusetzen. Welche Kommandos dabei auf dem Forti Access Point abgesetzt werden können siehe nachfolgender Artikel:
FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_Lokal_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F
Wenn Kommandos die für eine Forti Access Point zur Verfügung stehen über den FortiGate Wireless Controller abgesetzt werden, spielt es keine Rolle ob der Administrative Access eines Forti Access Points dh. telnet, ssh, http oder https aktiviert ist oder nicht denn die Kommandos werden über CAPWAP UDP-5246 durchgeführt. Um ein Kommando abzusetzen steht folgende Syntax mit deren Optionen zur Verfügung:
# diagnose wireless-controller wlac wtpcmd [Forti Access Point IPv4] [CAPWAP Port] cmd [cmd-to-ap | run | show | showhex | clr | r&s | r&sh]
Die verschiedenen Optionen für "cmd" haben folgende Bedeutung:
• cmd-to-ap: any shell commands, but AP will not report results until the command is finished on the AP
• run: controller sends the ap-cmd to the FAP to run
• show: show current results reported by the AP in text
• showhex: show current results reported by the AP in hex
• clr: clear reported results
• r&s: run/show
• r&sh: run/showhex
Das Kommando das sich am Besten eignet um Kommandos abzusetzen ist "r&s" dh. "run and show". Nachfolgend ein Beispiel anhand "cfg -s" das die momentane Konfiguration eines Forti Access Points zeigt:
# diagnose wireless-controller wlac wtpcmd [Forti Access Point IP] 5246 cmd r&s "cfg -s"
Um die IPv4 Adresse eines Forti Access Points über CLI zu verifizieren siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F
Wie kann ich auf einem FortiGate Wireless Controller ein Troubleshooting durchführen (diagnose)?
Auf einem FortiGate Wireless Controller stehen folgende troubleshooting Kommandos zur Verfügung um verschiedenen Informationen zu verifizieren:
# diagnose wireless wlac -h
wlac usage:
wlac help --show this usage
wlac ping [-c cnt] [-s len] <ip> --send cnt len-bytes ping request
wlac tpt --show non-wireless terminaton point info
wlac tablesize --print tablesize for wireless-controller part only
wlac kickmac mac --disassociate a sta
wlac kickwtp ip cport --tear down a wtp session
wlac plain-ctl [[wtp-id] [0|1] | clear] --show, set or clear current plain control setting
wlac sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
wlac sniff [intf [wtp-id] [0|1|2] | clear] --show, set or clear sniff setting on intf for wtp-id
wlac list-vap --show configured VAPs and VAP groups.
wlac scanclr --clear the scanned rogue ap list
wlac scanstaclr --clear the scanned rogue sta list
wlac sta_filter [sta-mac level | clear] --show, set or clear sta filter
wlac wtp_filter [id vfid-ip:port level | clear] --show, set or clear wtp filter
wlac clear debug --clear all debug settings
wlac show debug --show all debug settings
wlac show kernel --show all -k command settings
wlac show data --show all -d settings
wlac show control --show all -c settings
wlac show all --show all -k,-c,-d and debug settings
wlac -k cws [wlan] --list cws info(kern)
wlac -k wtp [vfid-ip:port lip:port] --list wtp info(kern)
wlac -k vap [wlan | bssid] --list vap info(kern)
wlac -k sta [wlan | bssid mac] --list sta info(kern)
wlac -k wlan-sta wlan sta-ip --list wlan's sta info(kern)
wlac -d usage --list objects usage(data)
wlac wpad_vap [ip|bssid] --list vap info in wpad_ac
wlac wpad_sta [mac] --list sta info in wpad_ac
wlac sta-idle-auth [time] --get/set non-auth sta idle time
wlac -d all --list wlan/wtp/vap/sta info(data)
wlac -d wlan --list wlan info(data)
wlac -d wtp --list wtp info(data)
wlac -d vap --list vap info(data)
wlac -d sta --list sta info(data)
wlac -d sta-idx [wlan mac next] --list indexed sta info(data)
wlac -d wlsta wlan --list wlan's sta info(data)
wlac -d wtpsta wtp-index --list wtp's sta info(data)
wlac -d radiosta wtp-id rId --list radio's sta info(data)
wlac -c status --display ac status summary
wlac -c sta [mac] --list sta(ctl)
wlac -c wtpprof [wtpprof] --list configured wtp profiles(ctl)
wlac -c wtp [wtp] --list configured wtps(ctl)
wlac -c wtp-idx [wtp next] --list indexed wtp (ctl)
wlac -c radio-idx [wtp rId next] --list indexed radio (ctl)
wlac -c vap-idx [wtp rId wlan next] --list indexed vap (ctl)
wlac -c wlan [wlan|ssid] --list configured wlans(ctl)
wlac -c swintf --list configured switch interface(ctl)
wlac -c apsintf --list configured aps interface(ctl)
wlac -c ap-status --list configured ap status(ctl)
wlac -c widsprof --list configured wids profiles(ctl)
wlac -c byod_dev [dev | mac] --list configured devices(ctl)
wlac -c byod_devgrp [devgrp --list configured device groups(ctl)
wlac -c byod_devacl [devacl] --list configured device access lists(ctl)
wlac -c byod_devtype [devtype] --list configured device types(ctl)
wlac -c byod [wlan] --show device access in control plane
wlac -c byod_detected [wlan] --list detected devices(ctl)
wlac -c ws [ip] --list current wtp sessions(ctl)
wlac -c ws-fail --show current wtp sessions with SSID config failures
wlac -c ws-mesh vfid-ip:port --list this wtp session's mesh parent and child info(ctl)
wlac -c vap --list vap info(ctl)
wlac -c ap-rogue --list rogue ap info(ctl)
wlac -c sta-rogue --list rogue sta info(ctl)
wlac -c rap-hostlist bssid --list hosts related to the ap(ctl)
wlac -c arp-req --list arp info on the controller(ctl)
wlac -c mac-table --list mac table(ctl)
wlac -c br-table --list bridge table(ctl)
wlac -c nol --list the AP's non occupancy channel list for radar
wlac -c scan-clr-all --clear the scanned rogue ap and sta data(ctl)
wlac -c ap-onwire-clr bssid --clear the rogue ap's on wire flag(ctl)
wlac -c darrp --list darrp radio table(ctl)
wlac -c darrp-schedule --list darrp schedule table
wlac -c sta-cap [mac] --list sta capability(ctl)
wlac -c sta-locate --list located wireless stations(ctl)
wlac -c sta-locate-reset [1|2] --reset sta-locate data(ctl); 1: reset stats, 2 (default): flush entries
wlac -c rf-analysis [wtp-id|ac] --list rf analysis results(ctl)
wlac -c rf-sa wtp-id rId [chan] --list rf spectrum info
wlac -c radio-ifr wtp-id rId --list radio's interfering APs
wlac -c wids --show detected sta threat in control plane
Was kann getan werden, wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate Wireless Controller?
Wenn ein Forti Access Point in einem bestimmten IPv4 Adress Subnet/Segment in dem der Forti Access Point über den FortiGate Wireless Controller verwaltet wird (CAPWAP) nicht ersichtlich ist, muss folgendes berücksichtigt werden:
• Der Switch und/oder ein Router darf folgende Protokolle und Port nicht verwerfen/blocken:
Broadcast, Multicast sowie Unicast
CAPWAP Port UDP-5246
Auf einigen Switch Modellen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste das diese Protokolle nicht über den Switch verworfen/geblockt wird. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:
http://www.ietf.org/rfc/rfc5415.txt
Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP) kann folgendes durchgeführt werden:
Setze den Debug Filter zurück:
# diagnose debug reset
Setze einen neuen Debug Filter:
# diagnose debug application cw_acd 5
Aktiviere Debug:
# diagnose debug enable
"5" stellt die "verbosity" dar. Diese "verbosity" zeigt alle Fehler an sowie den gesamten CAPWAP Prozess (Discovery, Keep Uplive etc.). Sobald das "debug" nicht mehr benötigt deaktiviere den "debug" Mode sowie setze den Filter zurück!
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter zurück:
# diagnose debug reset
Um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate für das Interface auf dem der Forti Access Points verbunden ist ausgeführt werden:
# diagnose sniffer packet [Definiere das entsprechende Interface zB "dmz" oder alle Interfaces "any"] "port 5246" 6 0 a
Im Sniffer Output muss die Antwort des Forti Access Point über Unicast (Discovery Request) zum FortiGate Wireless Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Wireless Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf de FortiGate Wireless Controller nicht ersichtlich ist. Ein anderer Ansatz ist Broadcast, Multicast und Unicast zu verhindert. Der Grund, dass ein Forti Access Point diesen Vorgang/Protokolle benutzt um den FortiGate Wireless Controller zu finden, ist das der Forti Access Point nicht die nötige Information resp. IPv4 Adresse des FortiGate Wireless Controller besitzt um diese IPv4 Adresse Anzufragen. Die einfachste Art dies zu erreichen, ist dem Forti Access Point über den DHCP Server die nötige Information der IPv4 Adresse des FortiGate Wireless Controller zu zuweisen. Wenn für die Forti Access Point ein DHCP Server der FortiGate benutzt wird kann dies über Kommandozeile folgendermassen konfiguriert werden:
# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end
Wenn ein seperater DHCP Server benutzt wird, kann anhand der Option 138 der seperate DHCP Server so konfiguriert werden, dass dieser über diese Option dem Forti Access Point die IPv4 Adresse des FortiGate Wireless Controller zuweist. Diese Option 138 die für die IPv4 Adresse des FortiGate Wireless Controllers steht, ist auf dem Forti Access Point per Standard anhand der Konfiguration "AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138" gesetzt und kann bei Bedarf verändert werden:
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE:=138
# cfg -c
Wie kann ich für eine FortiGate den FortiGate Wireless Controller komplett deaktivieren?
Wenn man zB. aus Security Gründen den FortiGate Wireless Controller der auf einer FortiGate per Standard aktiviert ist komplett deaktivieren möchte, kann dies über CLI durchgeführt werden:
# config system global
# set wireless-controller [enable | disable]
# end
Dieses Kommando deaktiviert den FortiGate Controller komplett und somit können keine Forti Access Point mehr angebunden, verwaltet oder konfiguriert werden. Möchte man den "wireless-controller" nicht deaktivieren aber verhindern, dass sich Forti Access Points auf dem lokalen FortiGate Wireless Controller registrieren kann dies mit verschiedenen Konfigurationen erreicht werden. Weitere Auskunft über diese verschiedenen Konfigurationen siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_automatische_Registration_eines_Forti_Access_Point_auf_einem_FortiGate_Wireless_Controller_verhindern.3F
Wie kann ich auf einer FortiGate den FortiGate Wireless Controller/Service neu starten?
Wenn man den FortiGate Wireless Controller aus irgendwelchen Gründen neu starten möchte, kann dies mit verschiedenen Kommandos durchgeführt werden. Dabei ist jedoch zu beachten das ein komplett Unterbrucht für das Forti Access Point Wireless Netzwerk durchgeführt wird resp. für die Wireless Clients/Hosts. Nachfolgendes Kommando zeigt wie anhand des "execute" Kommandos der FortiGate Wireless Controller neu gestartet wird:
# execute wireless-controller restart-acd
Zu diesem Kommando steht ebenfalls die Option "reset-wtp" zur Verfügung. Durch diese Option werden alle oder spezifizierte Forti Access Points anhand der Serien Nummer angewiesen deren WTP Profiles neu zu laden. Dadurch wird ein Neustart des entsprechenden Forti Access Point durchgeführt oder durch "all" für alle Forti Access Points:
# execute wireless-controller reset-wtp [Definiere die entsprechende Serien Nummer eine Forti Access Points oder "all"]
Wenn dieser Vorgang nicht den gewünschten Effekt erziehlt kann auch folgendes durchgeführt werden jedoch sollte dieser Vorgang als letzte Option benutzt werden. Um die PID (Prozess ID Deamon) herauszufinden für den FortiGate Wireless Controller resp. Service "cw_acd" benützen folgenden Befehl auf der Console:
# fnsysctl more /var/run/cw_acd.pid
110
Sobald die PID eruiert ist, kann diese anhand des Kill Level 9 neu gestartet werden:
# diagnose sys kill [Kill Level/Sequenz 1 - 32] [PID des Prozesses cw_acd]
Durch diesen Vorgang ensteht ebenfalls ein Unterbruch auf dem FortiGate Wireless Controller, denn der Kill Level 9 zwingt den Service die Konfiguration für den FortiGate Wireless Controller neu einzulesen und für den Service ein "restart" durchzuführen. Dies kann nachträglich kontrolliert werden, denn wenn abermals die PID Nummer des Service "cw_acd" ausgelesen wird und durch den "restart" wird dem Service einen neue PID Nummer zugewiesen:
# fnsysctl more /var/run/cw_acd.pid
11985
Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welcher SSID und MAC Adresse verbunden sind?
Um herauszufinden welche Wireless Clients/Hosts mit welcher SSID über den FortiGate Wireless Controller verbunden sind benutze folgenden Befehl über die CLI der FortiGate:
# diagnose wireless-controller wlac -d sta
vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=198.18.2.2 mac=94:65:9c:74:47:c6 vci=MSFT 5.0 host=DESKTOP-HSEH6HM
user= group= signal=0 noise=0 idle=0 bw=1 use=4 chan=3 radio_type=11N security=wpa2_only_personal encrypt=aes cp_authed=no online=yes mimo=2
* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
*? vf=0 wtp=15 rId=1 wlan=fortinet4guest vlan_id=0 ip=0.0.0.0 mac=08:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=captive encrypt=none cp_authed=no online=yes
In unserem Beispiel sehen wir, dass ein Client mit der IP 198.18.2.2 verbunden ist mit der MAC Adresse 94:65:9c:74:47:c6. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "fortinet4intern" sowie "fortinet4guest" mit deren MAC Adresse "1a:5b:0e:5d:f7:15" und "08:5b:0e:5d:f7:0d". Ebenso sieht man die Authentication des Client 198.18.2.2 dh. "wpa2_only_personal" (aes) und den Host Namen "DESKTOP-HSEH6HM".
Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welchem IEEE 802.11 Standard verbunden sind?
Ueber nachfolgenden Befehl kann man verifizieren über welchen IEEE 802.11 Standard ein Client mit einem Forti Access Point verbunden ist:
# diagnose wireless-controller wlac -d sta
* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
Wie finde ich über den FortiGate Wireless Controller heraus mit welcher IPv4 Adresse ein Forti Access Point verbunden ist?
Um herauszufinden mit welcher IPv4 Adresse ein Forti Access Point mit dem FortiGate Wireless Controller verbunden ist kann das Mgmt. Web Interface benutzt werden:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > Connected Via
Steht der Mgmt. Web Interface Zugriff nicht zu Verfügung kann die IPv4 Adresse mit der ein Forti Access Point auf dem FortiGate Wireless Controller verbunden ist auch über die CLI der FortiGate verifiziert werden:
Liste alle IP's auf die momentan durch die Forti Access Point benutzt werden:
# diagnose wireless wlac -d wtp
vf=0 wtp=1 base=08:5b:0e:5d:f7:0d 198.18.3.3:45521<->198.18.3.1:5247 use=7
vf=0 wtp=2 base=08:5b:0e:0c:f4:1a 193.193.135.70:49026<->193.193.135.66:5247 use=4
vf=0 wtp=4 base=08:5b:0e:a3:97:a8 198.18.3.2:53715<->198.18.3.1:5247 use=6
vf=0 wtp=5 base=08:5b:0e:97:23:0e 193.193.135.71:46015<->193.193.135.66:5247 use=4
Liste alle Forti Access Point auf um die Serien Nummern zu verifizieren:
# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end
Liste einen bestimmten Forti Access Point anhand dessen Serien Nummer sowie mit dessen Informationen Informationen/IP:
# diagnose wireless wlac -c wtp [Entsprechende Serien Nummer des Forti Access Point zB "FAP21D3U14000144"; Keine Serien Nummer Angabe listet alle Forti Access Points auf]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------
Um nachträglich anhand dieser IPv4 Adresse über den Forti Gate Wireless Controller eine "telnet" Verbindung zum Forti Access Point durchzuführen siehe nachfolgender Artikel::
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme mit einem Wireless Client/Host Troubleshooten?
Um Verbindungsprobleme mit einem Wireless Client/Host zu Troubleshooten kann der "diagnose" Befehl Lokal auf dem FortiGate Wireless Controller benützt werden oder auf dem Forti Access Point anhand des Befehls "cw_debug". Um dieses Troubleshooting durchzuführen, muss im ersten Schritt für den Wireless Client/Host eruiert werden, mit welcher MAC Adresse der Wireless Client/Host verbindet um diese im "diagnose" Befehl zu benutzen und um so den Traffic auf diese MAC Adresse des Wireless Clients/Host einzuschränken. Wie diese MAC Adresse über den FortiGate Wireless Controller eruiert werden kann siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_welche_Clients_mit_welcher_SSID_und_MAC_Adresse_verbunden_sind.3F
Sobald die MAC Adresse des Wireless Client/Host eruiert wurde, kann nachfolgender "diagnose" Befehl benutzt werden um den Traffic des Client/Host anhand dieser MAC Adresse einzusehen:
# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 1
STA Filter Index 0/1 sta 9c:b7:0d:de:8f:74 log-enabled 1
Nach der MAC Adresse wird mit "1" die Funktion des "sta_filter" anhand der MAC Adresse aktiviert. Anhand "0" wird die Funktion wiederum deaktiviert. Für "wlac" stehen weitere Befehle zur Verfügung. Weitere Informationen siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_auf_einem_FortiGate_Wireless_Controller_ein_Troubleshooting_durchf.C3.BChren_.28diagnose.29.3F
Nachträglich, nach dem Troubleshooting muss die Funktion "sta_filter" wieder deaktiviert werden anhand folgenden Befehls:
# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 0
STA Filter is empty
Wird dies nicht durchgeführt so bleibt die Funktion "sta_filter" anhand "1" aktiv was aus performance Gründen nicht empfohlen wird. Nachfolgendes Beispiel zeigt eine korrekte Verbindung eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 dh. Der Client/Host sollte keine Verbindung erstellen vor der Aktivierung der "sta_filter" Funktion um nachträglich nur den Verbindungsaufbau einzusehen:
44386.013 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_req <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_resp ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <dc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 NON-AUTH band 0x10 mimo 2*2
44386.015 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(60) sta 94:65:9c:74:47:c6 add ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.015 94:65:9c:74:47:c6 <cc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 0
44386.028 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(60) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.029 94:65:9c:74:47:c6 <eh> send 1/4 msg of 4-Way Handshake
85792.029 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=95 replay cnt 1
85792.030 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 139B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=135
85792.032 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 2/4 Pairwise replay cnt 1
85792.033 94:65:9c:74:47:c6 <eh> send 3/4 msg of 4-Way Handshake
85792.033 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=175 replay cnt 2
85792.033 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 179B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=95
85792.036 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 4/4 Pairwise replay cnt 2
44386.037 94:65:9c:74:47:c6 <dc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 AUTH
44386.038 94:65:9c:74:47:c6 <cc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 1 ******
44386.038 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(62) sta 94:65:9c:74:47:c6 add key (len=16) ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.046 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(62) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.047 94:65:9c:74:47:c6 <eh> ***pairwise key handshake completed*** (RSN)
44386.086 94:65:9c:74:47:c6 <dc> DHCP Request server 0.0.0.0 <== host DESKTOP-HSEH6HM mac 94:65:9c:74:47:c6 ip 198.18.2.2 xId bd0e86c
44386.094 94:65:9c:74:47:c6 <dc> DHCP Ack server 198.18.2.1 ==> host mac 94:65:9c:74:47:c6 ip 198.18.2.2 mask 255.255.255.128 gw 198.18.2.1 xId bd0e86c
Nachfolgendes Beispiel zeigt einen korrekten Disconnect eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:
44447.890 94:65:9c:74:47:c6 <dc> STA del 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(64) sta 94:65:9c:74:47:c6 del ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA del 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL action del_by_wtp reason 201
85852.892 94:65:9c:74:47:c6 <eh> ***WPA_PTK 94:65:9c:74:47:c6 DISCONNECTED***
44447.894 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(64) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
Nun der oben gezeigte "output" stammt vom Fortigate Wireless Controller! Möchte man die gleiche Vorgehensweise für den Wireless Client/Host auf dem Forti Access Point durchführen muss in erster Linie auf dem Forti Access Point auf dem der Wireless Client/Host verbunden ist "telnet" für den Zugriff aktiviert werden. Wie dies durchgeführt wird siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Der Nachteil auf einem Forti Access Point liegt darin, dass der Traffic nicht anhand einer MAC Adresse eingeschränkt werden kann dh. durch "0x7fff" wird ein Debug Level 32767 gesetzt. Gleichzeitig muessen die "telnet" Nachrichten in der Console für "cw_debu" aktiviert werden. Es ist absolut nicht empfohlen diesen "cw_debug" über einen Consolen Port auf dem Forti Access Point durchzuführen oder über den Consolen Port der FortiGate selber. Der Grund ist der Folgende: Durch diesen "cw_debug" werden soviel "output" Produziert, dass der "buffer" des Consolen Port in kurzer Zeit vollgeschriebe wird. Dies verunmöglicht einen korrekten "cw_debug". Aus diesem Grund sollte die Verbindung SSH basierend sein dh. es sollte per SSH auf die FortiGate verbunden werden und nachträglich per "telnet" auf den entsprechenden Forti Access Point:
# execute [telnet | ssh] [IPv4 Adresse des entsprechenden Forti Access Point zB "198.18.3.3"]
Trying 198.18.3.3...
Connected to 198.18.3.3.
Local Access Point FAP-221C login: admin
BusyBox v1.15.0 (2016-01-07 14:13:50 PST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
Eingeloggt auf dem Forti Access Point können die entsprechenden Optionen für "cw_debug" eingesehen werden:
# cw_debug app
Usage:
cw_debug <on|off> --turn on/off telnet log message
cw_debug app <app_name> [debug_var] --get/set application debug var
cwWtpd capwap WTP daemon
dhcp capwap DHCP discover
wifi capwap wifi configuration commands
cwWtpd_mem capwap WTP daemon mem
fsd fsd daemon
hostapd hostapd daemon
wpa_supp wpa supplicant daemon
ddnscd ddnscd daemon
admin_timeout telnet/GUI session idle timeout in seconds
fapportal fapportal daemon
fcldc forticloud client daemon
service capwap WTP service daemon
all all above daemons
Um für "cw_debug" den "telnet" Output zu aktivieren führe folgendes durch:
# cw_debug on
Danach setze den "debug" Level für "cw_debug app cwWtpd" anhand folgenden Befehls:
# cw_debug app cwWtpd 0x7fff
Auch hier ist es absolut Notwendig, nach einem erfolgreichen Troubleshooting den Debug wiederum zu aktivieren. Wird dies nicht durchgeführt, bleibt der Debug Modus im Hintergrund aktiv und beeinflusst die Performance des Forti Access Point:
# cw_debug app cwWtpd 0x0
Nachfolgendes Beispiel zeigt den "output" einer korrekte Verbindung des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 wobei darauf hinzuweisen ist das dieser "output" nicht einfach ist zu lokalisieren. Aus diesem Grund wird empfohlen den "output" der SSH resp. "telnet" Session für einen spätere Analyse in ein Log File zu schreiben:
49009.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248929 dbg 00007fff Pkts 0 0
49010.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248930 dbg 00007fff Pkts 0 0
49011.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248931 dbg 00007fff Pkts 0 0
49012.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248932 dbg 00007fff Pkts 0 0
49012.742 Wireless event: cmd=0x8c03 len=20
49012.752 ==========================cwWtpProcRawMsg 7 1=========================
49012.752 cwWtpProcRawMsg recvfrom total bytes 1750766
49012.752 cwWtpProcRawMsg: it's a control message
49012.752 cwWtpProcCipherCtrlMsg: looking at 125-byte encapsulated control message
49012.752 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 125 (errno: 11)
49012.752 ==========================cwWtpProcRawMsg 7 2=========================
49012.752 cwWtpDtlsThread: SSL_read() returned 66 ssl_err 0
49012.753 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.753 CAPWAP Control Header Dump:
49012.753 msgType : 25 STA_CFG_REQ
49012.753 seqNum : 165
49012.753 msgElemLen : 53
49012.753 flags : 0
49012.753 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.753 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.753 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.753 ==========================cwWtpFsmThread 4 1=========================
49012.753 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.754 CWWS_RUN_enter: Add 1 STAs.
49012.754 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.754 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.754 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.755 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.755 CAPWAP Control Header Dump:
49012.755 msgType : 26 STA_CFG_RESP
49012.755 seqNum : 165
49012.755 msgElemLen : 11
49012.755 flags : 0
49012.755 wtpDtlsWrite: SSL_write() was successful
49012.756 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49012.756 ==========================cwWtpFsmThread 4 2=========================
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.756 cwWtpSendRawMsg: called with 81 bytes - dumping...
49012.756 cwWtpSendRawMsg: send out encrypted msg.
49012.756 cwWtpSendRawMsg: sendto of 81 of 81 bytes for 192.168.3.1/5246
49012.756 cwWtpSendRawMsg: sendto total bytes 2407860
49012.756 cwWtpProcOutCipherCtlMsg: successfully sent data...
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.962 ==========================cwWtpProcRawMsg 7 1=========================
49012.964 cwWtpProcRawMsg recvfrom total bytes 1750959
49012.964 cwWtpProcRawMsg: it's a control message
49012.964 cwWtpProcCipherCtrlMsg: looking at 189-byte encapsulated control message
49012.964 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 189 (errno: 11)
49012.964 ==========================cwWtpProcRawMsg 7 2=========================
49012.964 cwWtpDtlsThread: SSL_read() returned 135 ssl_err 0
49012.964 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.964 CAPWAP Control Header Dump:
49012.964 msgType : 25 STA_CFG_REQ
49012.965 seqNum : 166
49012.965 msgElemLen : 122
49012.965 flags : 0
49012.965 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.965 cw_me_decode: me type 11_sta_session_key (1038) len 36 claims 29 more octets
49012.965 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.965 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.965 ==========================cwWtpFsmThread 4 1=========================
49012.965 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.965 CWWS_RUN_enter: Add 1 STAs.
49012.965 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.966 cwWtpStaRbtDel: DEL duo to ADD remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49012.966 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.966 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.966 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.966 CAPWAP Control Header Dump:
49012.966 msgType : 49013.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248933 dbg 00007fff Pkts 0 0
49014.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248934 dbg 00007fff Pkts 0 0
49015.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248935 dbg 00007fff Pkts 0 0
49016.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248936 dbg 00007fff Pkts 0 0
49017.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248937 dbg 00007fff Pkts 0 0
49018.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248938 dbg 00007fff Pkts 0 0
Nachfolgendes Beispiel zeigt den Output eines "korrekten" Disconnect des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:
49113.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249033 dbg 00007fff Pkts 0 0
49114.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249034 dbg 00007fff Pkts 0 0
49114.417 Wireless event: cmd=0x8c04 len=20
49114.417 Wireless event: cmd=0x8c02 len=31
49114.417 Custom wireless event: 'del sta: wlan00 '
49114.417 cwWtp_wireless_event_wireless_custom Radio 0 wId 0 Del STA: 9c:b7:0d:de:8f:74
49114.417 cwWtpSend_REQ_MSG: sending WTP_EVENT_REQ (9) msg.
49114.417 cwWtpSendRawMsgQueue: SENDING OUT type 9 seqNum 156
49114.417 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.417 CAPWAP Control Header Dump:
49114.417 msgType : 9 WTP_EVENT_REQ
49114.417 seqNum : 156
49114.417 msgElemLen : 34
49114.417 flags : 0
49114.418 wtpDtlsWrite: SSL_write() was successful
49114.418 cwWtpSendRawMsgQueue: wtpDtlsWrite() succeeded.
49114.418 cwWtpPendingMsgAdd: add type 9 seqNum 156 into pending msg queue at head 18 Cnt 1
49114.418 cwWtpProcOutCipherCtlMsg: calling recv()
49114.418 cwWtpSendRawMsg: called with 113 bytes - dumping...
49114.418 cwWtpSendRawMsg: send out encrypted msg.
49114.418 cwWtpSendRawMsg: sendto of 113 of 113 bytes for 192.168.3.1/5246
49114.418 cwWtpSendRawMsg: sendto total bytes 2408459
49114.419 cwWtpProcOutCipherCtlMsg: successfully sent data...
49114.419 cwWtpProcOutCipherCtlMsg: calling recv()
49114.430 ==========================cwWtpProcRawMsg 7 1=========================
49114.430 cwWtpProcRawMsg recvfrom total bytes 1751749
49114.430 cwWtpProcRawMsg: it's a control message
49114.430 cwWtpProcCipherCtrlMsg: looking at 109-byte encapsulated control message
49114.430 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 109 (errno: 11)
49114.430 ==========================cwWtpProcRawMsg 7 2=========================
49114.430 cwWtpDtlsThread: SSL_read() returned 47 ssl_err 0
49114.431 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.431 CAPWAP Control Header Dump:
49114.431 msgType : 25 STA_CFG_REQ
49114.431 seqNum : 168
49114.431 msgElemLen : 34
49114.431 flags : 0
49114.431 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49114.431 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x100ef468 msgPtr (nil) len 0
49114.431 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49114.432 ==========================cwWtpProcRawMsg 7 1=========================
49114.432 cwWtpProcRawMsg recvfrom total bytes 1751830
49114.432 cwWtpProcRawMsg: it's a control message
49114.432 cwWtpProcCipherCtrlMsg: looking at 77-byte encapsulated control message
49114.432 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 77 (errno: 11)
49114.432 ==========================cwWtpProcRawMsg 7 2=========================
49114.432 ==========================cwWtpFsmThread 4 1=========================
49114.432 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49114.432 CWWS_RUN_enter: Del 1 STAs.
49114.432 CWWS_RUN_enter: STA DEL 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name wId 0
49114.432 CWWS_RUN_enter STA_DISASSOC wId 0 Intf wlan00 9c:b7:0d:de:8f:74
49114.433 do80211priv ap wlan00 op 35814 Invalid argument
49114.433 cwWtpStaRbtDel: STA_CFG_REQ remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49114.433 CWWS_RUN_enter: sending STA CFG RESP msg.
49114.433 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.433 CAPWAP Control Header Dump:
49114.433 msgType : 26 STA_CFG_RESP
49114.433 seqNum : 168
49114.433 msgElemLen : 11
49114.433 flags : 0
49114.433 wtpDtlsWrite: SSL_write() was successful
49114.434 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49114.434 ==========================cwWtpFsmThread 4 2=========================
49114.434 cwWtpDtlsThread: SSL_read() returned 24 ssl_err 0
49114.434 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.434 CAPWAP Control Header Dump:
49114.434 msgType 49115.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249116.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249036 dbg 00007fff Pkts 0 0
49117.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249037 dbg 00007fff Pkts 0 0
49118.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249038 dbg 00007fff Pkts 0 0
49119.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249039 dbg 00007fff Pkts 0 0
49120.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249040 dbg 00007fff Pkts 0 0
Folgender Fortinet Knowledge Base Artikel gibt weitere Auskunft über dieses Troubleshooting:
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33214&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=35950338&stateId=0%200%2035948485
Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme betreffend CAPWAP Troubleshooten?
Auf einem FortiGate Wireless Controller kann die Komunikation der einzelnen Fortinet Access Point betreffend CAPWAP folgendes Kommando eingesehen werden:
# diagnose wireless-controller wlac -c wtp
Bei diesem Output gibt speziell die Position "last failure" Auskunft über Probleme. Wenn zB nachfolgende Meldungen auftauchen ist dies ein Indikator das die Komunikation zwischen Fortinet Access Point und FortiGate Wireless Controller Verbindungstechnisch nicht einwandfrei funktioniert:
last failure : 4 -- Control message maximal retransmission limit reached
last failure : 14 -- ECHO REQ is missing
Diese Verbindungsprobleme können auftreten aus Netzwerktechnischen Gründen oder wenn zuviel Broadcast/Multicast Traffic über die Fortinet Access Point benutzt wird. Ist dies der Fall kann über die nachfolgenden Optionen die Timers erhöht werden:
# config wireless-controller global
# set max-retransmit [0 - 64; Standard 3]
# end
# config wireless-controller timers
# set echo-interval [1 - 255; Standard 30]
# end
Durch die Erhöhung der Werte dh. "max-retransmit 15" sowie "echo-interval 100" werden die "retransmit" sowie der "interval" erhöht.
Wie kann ich auf dem FortiGate Wireless Controller die momentanen Konfiguration eines Forti Access Point auslesen?
Um die momentane Konfiguration für 2.4 GHz sowie 5.0 GHz Forti Access Point über den Fortinet Wireless Controller für einen spezifischen Forti Access Point auszulesen kann folgender Befehl benützt werden:
# config wireless-controller wtp
# get
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
# end
Fuer 2.4 GHz Radio eines Forti Access Point
# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296
-------------------------------RADIO_IDX 1----------------------------
Radio 1 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11N
channel list : 1 6 11
darrp : enabled
txpower : 100% (calc 18 oper 18 max 18 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 0
bgscan rptintv : 30
sta scan : enabled
WIDS profile : local-default.local
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:0d
oper chan : 11
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------
Fuer 5.0 GHz Radio eines Forti Access Point
# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296 0
-------------------------------RADIO_IDX 1----------------------------
Radio 2 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11AC
channel list : 36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 ...
darrp : enabled
txpower : 100% (calc 14 oper 14 max 14 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 250
bgscan rptintv : 30
sta scan : disabled
WIDS profile : ---
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:15
oper chan : 48
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------
Grundsetup
Wie nehme ich ein Fortinet Access Point unter FortiOS 5.0/5.2 in Betrieb und konfiguriere ich diesen?
Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:
WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 192.168.3.1 | FAP 220B |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 192.168.1.99
LAN
Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F
Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem FortiAccess Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Es wird unter normalen Umständen empfohlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IP Range 192.168.3.0/24:
Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server
System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimm aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die FortiAccess Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie AC (Wireless Controller)
IP Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen! führe auf der
CLI folgendes aus:
# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end
Verbinden des Forti Access Points über CAPWAP und Authorisierung des FortiAccess Points
Nun muss der FortiAccess Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:
WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:
Forti Access Point Firmware Upgrade durchführen
Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:
FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F
Ein Firmware Upgrade wird folgendermassen durchgeführt:
WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem FortiAccess Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:
# config wireless-controller wtp
# get
Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:
# edit [Serien Nummer des entsprechendne FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable enable
# end
Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F:
# execute [telnet | ssh] [IPv4 Adresse des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin
BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:
# cfg -x
# reboot
Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"
User & Device > User > User Definition > Create New
User/Gruppe only4also
User & Device > User > User Groups > Create New
User/Gruppe also4guest
Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:
Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:
Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:
FortiAP:FAQ#Guest_Access
Konfiguriere der SSID "only4also" sowie "also4guest"
In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:
WiFi Controller > WiFi Network > Create New
Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:
FortiAP:FAQ#Konfiguration
Konfiguriere des WTP Profile's für den Forti Access Point
Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
Konfiguriertes WTP Profile dem Forti Access Point hinzufügen
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"
Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:
Firewall Objects > Address > Address > Create New
Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"
Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
Policy > Policy > Policy > Create New
"only4also Firewall Policy Rule"
"also4guest Firewall Policy Rule"
Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.
Wie nehme ich ein Fortinet Access Point unter FortiOS 5.4 in Betrieb und konfiguriere ich diesen?
Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.4. Für das Beispiel gehen wir von folgender Situation aus:
WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 198.18.3.1 | FAP 221C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 198.18.0.1
INTERNAL1
Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F
Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem Forti Access Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den Forti Access Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet, muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Wir empfehlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IPv4 Range 198.18.3.0/24:
Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server
Network> Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimmt aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Restrict Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die Forti Access Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IPv4 über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem Forti Access Point zur Verfügung wie AC (Wireless Controller)
IPv4 Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen. Führe auf der
CLI folgendes aus:
# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end
Verbinden des Forti Access Points über CAPWAP und Authorisierung des Forti Access Points
Nun muss der Forti Access Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:
WiFi&Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Edit
Sobald der Forti Access Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:
Forti Access Point Firmware Upgrade durchführen
Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:
FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F
Ein Firmware Upgrade wird folgendermassen durchgeführt:
WiFi & Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Upgrade
Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem Forti Access Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:
# config wireless-controller wtp
# get
Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:
# edit [Serien Nummer des entsprechendne Forti Access Point zB "FP221C3X14001296"]
# set override-allowaccess [enable|disable]
# set allowaccess [telnet | http | https | ssh]
# end
Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F:
# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point; Ersichtlich über "Managed FortiAPs"]
FP221C3X14001296 login: admin
BusyBox v1.15.0 (2015-07-31 17:21:29 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.
Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:
# factoryreset
Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"
Konfiguration des Users für "only4also"
User & Device > User Definition > Create New
Beim Schritt 3 "Contact Info" Next anwählen.
Konfiguration der Gruppe für "only4also"
User & Device > User Groups > Create New
Gruppe also4guest
User & Device > User Groups > Create New
Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden.
Dies erfolgt über das folgende Menu: User & Device > Guest Management > Create New
Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:
Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen:
Weitere detailliert Informationen siehe nachfolgender Artikel:
FortiAP:FAQ#Guest_Access
Konfiguriere der SSID "only4also" sowie "also4guest"
In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:
SSID "only4also"
WiFi & Switch Controller > SSID > Create New
SSID "also4guest"
WiFi & Switch Controller > SSID > Create New
Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:
FortiAP:FAQ#Konfiguration
Konfiguriere des WTP Profile's für den Forti Access Point
Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
Konfiguriertes WTP Profile dem Forti Access Point hinzufügen
WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"
Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:
Policy & Objects > Addresses > Create New > Adress
Alle weiteren Adressobjekte analog erfassen. (net-only4also-192.168.4.0-24 und net-local-lan-198.18.0.0-24))
Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"
Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
"only4also Firewall Policy Rule"
Policy & Objects > IPv4 Policy > Create New
"also4guest Firewall Policy Rule"
Policy & Objects > IPv4 Policy > Create New
Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.
Setup
Wie kann ich per "telnet/ssh" auf einen Forti Access Point verbinden wenn dieser über keinen Consolen Port verfügt?
Wenn ein Forti Access Point zB FAP-21D über keinen Consolen Port verfügt kann man dennoch über "telnet/ssh" (SSH ab FortiGate/FortiAP FortiOS 5.4.1) auf den Forti Access Point zugreifen um zB ein "debug" auszuführen oder eine lokale Konfiguration auf dem Forti Access Point durchzuführen. Die Funktion "telnet/ssh" muss vorgängig auf dem Fortigate Wireless Controller freigeschaltet werden. Dies bedeutet: ein direkter Zugriff per "telnet/ssh" auf den Forti Access Point ist nicht möglich. Der Zugriff eines "telnet/ssh" erfolgt über die Fortigate CLI oder über das Mgmt. Web Interface der FortiGate anhand des CLI Funktion für einen Forti Access Point. Um die Funktion für "telnet/ssh" freizuschalten auf dem FortiGate Wirless Controller kann dies entweder für FortiOS 5.0/5.2 sowie 5.4 für einen Forti Access Point erfolgen oder unter FortiOS 5.4 für ein WTP Profile. Um "telnet/ssh" für einen Forti Access Point zu aktivieren führe ein Login durch auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:
Aktiviere "telnet" und/oder "http" im WTP Profile (FortiOS 5.4)
# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile an]
# set allowaccess [telnet | http | https | ssh]
# end
Das entsprechende WTP Profile muss nun dem entsprechenden Forti Access Point zugewiesen sein damit
die Aktivierung von "telnet/ssh" und/oder "http/https" erfolgt. Danach kann über folgende Position
eine CLI geöffnet werden:
WiFi Controller > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste] > Edit in CLI
Wenn der Zugriff für "telnet/ssh" über den FortiGate Wireless Controller resp. CLI erfolgen soll muss
und die entsprechende IPv4 des Forti Access Point umbekannt ist siehe nachfolgender Absatz für FortiOS
5.0/5.2.
Aktiviere "telnet" im WTP(FortiOS 5.0/5.2)
Ueberprüfe über "wtp" welche Forti Access Points existieren:
# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end
Ueberprüfe über "diagnose wireless" welche IP ein bestimmter Access Points benutzt:
# diagnose wireless wlac -c wtp [Gebe den entsprechenden Forti Access Point an]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------
Editiere den entsprechenden Forti Access Point auf dem "telnet" freigeschaltet werden soll und aktiviere den Zugriff:
# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set login-enable enable
# end
Für FortiOS 5.4 existiert dieses Kommando "login-enable" nicht mehr. Ein Zugriff für "telnet/ssh" und/oder "http/https" kann
dennoch über "wtp" für einen entsprechenden Forti Access Point freigeschaltet werden und wird folgendermassen
durchgeführt:
# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end
Durch diese Konfiguration wird ein Neustart des Forti Access Point durchgeführt!
Teste den Zugriff per "telnet/ssh" auf den entsprechenden Access Point:
# exec [telnet | ssh] 193.193.135.71
FAP22B3U11011877 login: admin
BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
#
Wenn "ssh" benutzt wird ist folgendes berücksichtigen: Wenn ein das "default" Passwort auf einem Forti Access Point gesetzt ist dh. also kein Passwort dann erscheint durch nachfolgenden Befehl kein Login Prompt sondern es wird direkt ein Login durchgeführt:
# execute ssh [IPv4 Adresse des Forti Access Point]
Warning: Permanently added '[IPv4 Adresse]' (RSA) to the list of known hosts.
Es wird somit im Hintergrund effektiv folgender Befehl ausgeführt:
# execute ssh admin@[IPv4 Adresse des Forti Access Point]
Da kein Passwort gesetzt wurde auf dem Forti Access Point wird direkt der Standard User "admin" benutzt für das Login. Das ist der Grund wieso kein Login Prompt erscheint. Somit hat man die Wahl entweder den User "admin" im Kommando mitzugeben oder nicht. Ist ein Passwort gesetzt auf dem Forti Access Point und der User "admin" wird mit dem Kommando migegeben erscheint nur die Passwort abfrage. Wir der User mit gesetzen Passwort auf dem Forti Access Point nicht mitgegeben erscheint der Login Prompt für die Eingabe des Users und Passworts. Wie schon erwähnt gibt es neu ab FortiOS 5.2 die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist die Option "set login-enable enable" oder für FortiOS 5.4 "override-allowaccess" und/oder innerhalb eines WTP Profiles "allowaccess". Werden diese Optionen für einen Zugriff über "telnet" nicht aktiviert sei es für FortiOS 5.0/5.2 sowie für 5.4, steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen führe folgendes aus:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick] > [Connect to CLI]
Was ist die Default IPv4 Adresse für einen Forti Access Point und wie kann ich mich auf diese IPv Adresse verbinden?
Wenn ein Forti Access Point gestartet wird, reagiert auf Netzwerkebene der Forti Access Point folgendermassen:
• Der Forti Access Point sendet einen DHCP Anfrage in das Segment! Wird diese DHCP Anfrage beantwortet wird das
"wan" Interface des Forti Access Point anhand der Informationen des DHCP Server konfiguriert!
• Beantwortet "Kein" DHCP Server die Anfrage des Forti Access Point so wird auf dem Interface des Forti Access
Points die "default" IPv4 Adresse konfiguriert:
192.168.1.2/24
Somit kann man sich auf einen Forti Access Point folgendermassen verbinden sofern der Forti Access Point betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):
1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
192.168.1.1 255.255.255.0
2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
http://192.168.1.2
Möchte man sich auf den Forti Access Point verbinden jedoch wurde das Interface auf "Static" konfiguriert und die IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults gesetzt werden. Weitere Informationen wo sich der "reset button" bei den verschiedenen Modellen befindet, kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:
Fortinet:ProduktInfo#FortiAP
Wie kann ich auf einem Forti Access Point für das Netzwerk Interface eine statische IPv4 Adresse konfigurieren?
Wenn man einen Forti Access Point manuell dh. mit einer statischen IPv4 Adressen konfigurieren möchte so kann dies über CLI sowie über das Mgmt. Web Interface durchgeführt werden. Um die Konfiguration durchzuführen muss auf die Standard IPv4 Adresse des Forti Access Point's zugegriffen werden. Wie dies durchzuführen ist siehe nachfolgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
Um die Konfiguration einer statischen IPv4 Adresse über Mgmt. Web Interface des Forti Access Point durchzuführen gebe folgende Adresse in den Browser ein:
http://192.168.1.2
Danach kann über das Mgmt. Web Interface die Konfiguration durchgeführt werden. Um die Konfiguration einer statischen IPv4 Adresse für den Forti Access Point auf CLI durchzuführen muss "telnet" Zugriff für den Forti Access Point aktiviert werden. Die Aktivierung für den "telnet" Zugriff kann über das Mgmt. Web Interface durchgeführt werden. Um nachträglich die Konfiguraiton auf der CLI des Forti Access Point durchzuführen gebe folgendes ein:
# cfg –a AP_IPADDR=[Gebe eine enstprechende IPv Adresse an zB "192.168.1.2"]
# cfg –a ADDR_MODE=STATIC
# cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IPv ADresse zB "255.255.255.0"]
# cfg -a DNS_SERVER=[DNS Server IPv4 Adresse]
# cfg -c
Um die entsprechende Konfiguration nachträglich zu überprüfen gebe folgendes ein:
# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138
Weitere lokale Konfigurations Möglichkeiten auf dem Forti Access Point können anhand des folgenden Befehls aufgelistet werden:
# cfg -h
Wie kann ich die FortiGate Wireless Controller IPv4 Adresse für einen Forti Access Point über DHCP Server zuweisen?
Wenn einem Forti Access Point dessen FortiGate Wireless Controller IPv4 Adresse über DHCP Server zugewiesen werden soll kann dies über die DHCP Option "138" durchgeführt werden. Dies bedeutet: Wenn für die diese IPv4 Adresse des FortiGate Wireless Controllers ein bestehender DHCP Server benutzt wird muss in diesem die IPv4 Adresse als Option "138" gesetzt werden sowie auf dem entsprechenden Forti Access Point verifiziert werden ob diese Option "138" korrekt gesetzt ist. Dies wird lokal auf der CLI des Forti Access Point durchgeführt:
Auslesen der momentaner Netzwerk Konfig:
# cfg -s
Konfiguration der DHCP Option:
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
# cfg -c
Unter normalen Umständen empfehlen wir den DHCP Server auf dem FortiGate Device zu benutzen. Dadurch muss die Option "138" nicht gesetzt werden, denn im DHCP Server auf dem FortiGate Device kann anhand "wifi-ac1" die IPv4 Adresse des FortiGate Wireless Controller direkt konfiguriert werden. Zu "failover" Zwecken stehen 3 "wifi-ac" zur Verfügung. In diesem Zuge empfehlen wir ebenfalls die Konfiguration des DNS Server IPv4 Adresse sowie die IPv4 Adresse des NTP Servers:
# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end
Nachträglich kann die Konfiguration resp. die Zuweisung der IPv4 Adresse über Kommandozeile auf dem Forti Access Point folgendermassen kontrolliert werden:
# cw_diag -c wtp-cfg
Wie kann ich auf einem Forti Access Point auf einer SSID eine "MAC Reservation + Access Control" Konfigurieren?
Eine "MAC Reservation + Access Control" kann unter FortiOS 5.0/5.2 sowie 5.4 innerhalb des DHCP Servers, der für die SSID aktiviert wird, konfiguriert werden. Dies ist jedoch nur dann möglich, wenn die entsprechende SSID im "tunneling" Mode ist und nicht für "local bridge" konfiguriert wurde, da im Bridge Mode kein DHCP Server aktiviert werden kann (local break-out). Die Konfiguration kann über Mgmt. Web Interface sowie auf CLI durchgeführt werden. Dabei ist folgendes Wichtig:
Ein DHCP Server eines FortiOS ist per Standard im "assign" Mode und bedeutet: Jede Anfrage wird vom DHCP Server mit einer
entsprechender IPv4 Adresse beantwortet. Möchte man nur Anfragen beantworten betreffend definierter MAC Adressen, muss der
DHCP Server auf "block" gesetzt werden. Im Standard "assign" Mode stehen folgende Funktionen innerhalb des DHCP Servers für
die IPv4 Adressse sowei MAC Adressen zur Verfügung:
• Reserve IP
• Assign IP
• Block
Möchte man die "MAC Reservation + Access Control" unter Mgmt. Web Interface konfigurieren, findet man die entsprechenden Optionen unter folgender Position:
WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [DHCP Server] > [Addtional DHCP Options]
Möchte man diese Konfiguration unter CLI durchführen, führe folgendes durch:
# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# set description [Definiere einen entsprechenden Kommentar für DHCP Server]
# set status [disable | enable]
# set mac-acl-default-action [assign | block]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# set domain [Setze eine entsprechende Domain zB "local.intra"]
# set wins-server1 [IPv4-Adresse für Win Server 1]
# set wins-server2 [IPv4-Adresse für Win Server 1]
# set default-gateway [IPv4-Adresse für Default Gateway]
# set next-server <IPv4-Adresse für Bootstrap Server]
# set netmask [IPv4-Netmask für DHCP Server IP Range]
# set interface [Name des Interface für den DHCP Server zB "internal"]
# config ip-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [IPv4 Start Adresse für den DHCP Bereich]
# set end-ip [IPv4 End Adresse für den DHCP Bereich]
# end
# set timezone-option [disable | default | specify]
# set timezone [01 | 02 | 03 | 04 | 05 | 81 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 74 | 14 | 77 | 15 | 16 | 17 | 18 | 19 | 20 | 75 | 21 | 22 | 23 | 24 | 80 | 79 | 25 | 26 | 27 | 28 | 78 | 29 | 30 | 31 | 85 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 83 | 84 | 40 | 41 | 42 | 43 | 39 | 44 | 46 | 47 | 51 | 48 | 45 | 49 | 50 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 62 | 63 | 61 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 00 | 82 | 73 | 86 | 76]
# config exclude-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [Definition der IPv4 Start Adresse für den DHCP Exclude Bereich]
# set end-ip [Definition der IPv4 End Adresse für den DHCP Exclude Bereich]
# end
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end
Eine weitere Möglichkeit ab FortiOS 5.0 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand der "Device Detection" Funktion oder eigene definierten Devices innerhalb der "Device Detection" Funktion, kann der der Zugriff eingeschränkt werden. Um die Funktion "Device Detection" zu aktivieren, muss innerhalb der SSID resp. des "virtuellen" Interfaces das für die SSID konfiguriert wird, diese Funktion aktiviert werden:
WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [Aktiviere "Device Detection"]
Durch diese Funktion "Device Detection" wird versucht jeden Device in diesem Segment der das Interface der FortiGate benützt zu identifizieren. Um "Device Detection" auf der CLI für die SSID zu aktivieren führe folgendes aus:
# config system interface
# edit [Name des entsprechenden Interfaces resp. SSID]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end
Es wird empfohlen die "device-identification-active-scan" nicht per Standard zu aktivieren. Um innerhalb der "Device Detection" Funktion einen eigenen Device zu definieren dh. nicht über die auf dem Interface aktivierte Funktion "device-identification", kann dieser Device innerhalb des DHCP Server auf der CLI konfiguriert werden:
# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# config user device
# edit [Vergebe einen entsprechenden Namen für den Device]
# set mac [MAC Adresse für den entsprechenden Device]
# end
Für diese definierten Devices können ebenfalls entsprechenden Gruppen angelegt werden:
# config user device-group
# edit [Name für die Device Gruppe]
# set member [Wähle die entsprechenden Member]
# end
Wieder eine andere Möglichkeit ist über eine entsprechende Firewall Policy Rule für die SSID anhand der "Device Detection" Funktion den Zugriff einzuschränken:
Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > [Device Identiy | Source Device Type]
Unter FortiOS 5.4 existiert innerhalb der Firewall Policy Rule keine entsprechende Position, sondern der entsprechende Device muss über zB die Source eingebunden werden. Wähle dazu:
Policy & Objects > IPv4 Policy > Create New
Wie kann ich über einen Forti Access Point alle Wireless Devices in dessen Wirkungsgrad erkennen und auflistet?
Ein Forti Access Point kann anhand der Funktion "station-locate" so konfiguriert werden, dass dieser Forti Access Point für dessen Umgebung alle Wireless Devices auflistet der dieser Erkennt. Dabei werden sehr viele Informationen für diese Wireless Devices aufgeführt die auch für das "location tracking" benutzt wird. Da die Funktion relativ Performance Intensiv ist, sollte diese Funktion nur zu Analyse benutzt werden und nicht Permanent ausser es wird anhand des "Euclid Analytics Service" Format ein "location tracking" benutzt. Die Funktion kann einzeln für einen entsprechenden "radio's" aktiviert werden dh. für 5 GHz und/oder 2.4 GHz. Aktiviert wird die Funktion in dem entsprechenden WTP Profile das dem Forti Access Point zugewiesen wird:
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profil]
# config radio-1
# set station-locate enable
# end
# config radio-2
# set station-locate enable
# end
# end
Die Informationen die im Hintergrund vom Wireless Controller über den Forti Access Point "radio" gesammelt werden sind umfänglich! Nachträglich kann man anhand des "diagnose" Kommando Kommando auf der CLI die gesammelten Informationen aus dem Wireless Controller auslesen:
# diagnose wireless wlac -c sta-locate
sta_mac vfid rid base_mac freq_lst frm_cnt frm_fst frm_last intv_sum intv2_sum intv3_sum intv_min intv_max signal_sum signal2_sum signal3_sum sig_min sig_max sig_fst sig_last ap
00:24:d7:e2:ea:08 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 3 164 44 120 7200 432000 59 60 -246 20190 -1658532 -85 -79 -79 -85 0
Das Format das durch "sta-locate" produziert wird, ist im "Euclid Analytics Service" Format. Weitere Informationen dazu siehe:
http://euclidanalytics.com/products/technology/
Um die Informationen für "sta-locate" zu löschen kann anhand des "diagnose" Kommando dies durchgeführt werden:
# diagnose wireless wlac -c sta-locate reset
Unter FortiOS 5.4 wurde zusätzlich eine Funktion implementiert, die das löschen der Informationen regelmässig übernimmt. Dies bedeutet: Anhand eines "timers" kann für diese Funktion ein "reset" automatisiert durchgeführt werden. Dabei ist jedoch folgendes zu beachten:
Die Funktion "sta-locate" erstellt für einen Host/Client erstmalig einen Log Eintrag dh. wenn der Host/Client in einem
späteren Zeitpunkt abermals erkannt wird, so wird kein weitere Log Eintrag erstellt für "sta-locate". Um die vorhandenen
Informationen zu löschen kann ein "timer" benützt werden 1 and 86400 seconds (24 hours) wobei nicht empfohlen ist den
"timer" kleiner als 30 Sekunden zu setzen da dies doppelte Einträge für den Host/Client produzieren kann. Der "timer"
steht per Standard auf "1800" Sekunden was 30 Minuten entspricht!
# config wireless-controller timers
# set sta-locate-timer [1 and 86400 seconds (24 hours); Standard 1800]
# end
Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IPv4 Adress Range benutzt wir im LAN?
Eine FortiOS kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung resp. "subnet-overlap" von IPv4 Range's/Subnet auf Interface's konfiguriert werden da dies durch die Funktion "allow-subnet-overlap disable" verhindert wird:
# config system settings
# set allow-subnet-overlap [enable | disable]
# end
Möchte man ein "subnet-overlap" für eine SSID konfigurieren, sollte dies gut überlegt sein. Dies bedeutet: Soll ein Forti Access Point über eine SSID den Zugriff in das interne LAN Segment direkt ermöglichen, kann zB anstelle eines "subnet-overlap" die "local bridge" Funktion für eine SSID benutzt werden. Dadurch wird ermöglicht, dass das Interface auf dem Forti Access Point in den Bridge Modus versetzt wird, und die Host/Client die über eine entsprechende SSID verbinden, eine IPv4 Adresse vom DHCP Server zugewiesen erhalten der im internne LAN Segment den Host/Client zur Verfügung steht. In so einem Scenario muss jedoch der Forti Access Point mit dem internen Segment LAN direkt verbunden werden. Wenn dennoch ein "subnet-overlap" Konfiguration auf einer SSID konfiguriert wird und die entsprechende Option "allow-subnet-overlap" wurde nicht aktiviert kommt es zu einer Fehlermeldung:
Subnets overlap between 'port1' and the primary IP of 'port1'
object set operator error, -54 discard the setting
IP address is in same subnet as the others.
Wenn dennoch ein "allow-subnet-overlap" auf enable gesetzt werden möchte, kann dies über CLI auf System Ebene durchgeführt werden. Da es sich bei dieser Funktion um eine Option auf System Ebene handelt möchten wir nochmals daraufhinweisen dies gut zu überlegen da durch die Aktivierung dieser Option eine "loop" Gefahr besteht!
Kann ich für einen Forti Access Point die LED's deaktivieren damit diese bei Gebrauch nicht mehr blinken?
Ab FortiOS 5.2.3 ist dies möglich und wird benützt um die Forti Access Point möglichst zB für Hotels dezent erscheinen zu lassen. Diese Funktion steht nicht für jeden Forti Access Point zur Verfügung dh. zB für FAP-221C steht diese Funktion zur Verfügung. Wenn die "LED" auf einem Forti Access Point deaktiviert werden sollen, kann dies über den FortiGate Wireless Controller auf CLI im WTP Profile für den Forti Access Point durchgeführt werden oder über den FortiGate Wireless Controller für den Forti Access Point selber:
# config wireless-controller wtp
# edit [Serien Nummer des entsprechenden Forti Access Point]
# set override-led-state [enable | disable]
# set led-state [enable | disable]
# end
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profiles]
# set led-state [enable | disable]
# end
Auf der CLI für einen Forti Access Point ist die Konfiguration ebenfalls möglich. Dabei ist jedoch zu berücksichtigen wenn dies durchgeführt wird, dass der FortiGate Wireless Controller diese lokal durchgeführte Konfgiguration auf dem Forti Access Point anhand der Konfiguration für den Forti Access Point oder anhand des WTP Profiles nicht überschreibt. Dieses Verhalten kann anhand der "LED_STATE" Konfiguration lokal auf dem Forti Access Pont konfiguriert werden. Erstelle eine "telnet" Verbindung auf den Forti Access Point. Wie dies durchzuführen ist siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Danach kann lokal auf dem Forti Access Point folgendes durchgeführt werden:
# cfg -a LED_STATE=[0|1|2]
# cfg -s
Die Werte für "LED_STATE" haben folgende Bedeutung:
0 = Die LED's sind aktiviert.
1 = Die LED's sind deaktiviert.
2 = Ob die LED's aktiviert und/oder deaktiviert sind wird über den Wirless Controller der FortiGate gesteuert.
Per Standard ist der Wert auf "2" gesetzt dh. die Konfiguration über den Wireless Controller anhand der Option "led-state" aktiviert und/oder deaktiviert die LED's auf dem Forti Access Point. Werden die Werte "0" oder "1" gesetzt werden die Einstellung über den FortiGate Wireless Controller ignoriert!
Wie kann ich die automatische Registration eines Forti Access Point auf einem FortiGate Wireless Controller verhindern?
Wenn ein Forti Access Point in einem IPv4 Subnet/Segment der FortiGate in Betrieb genommen wird so benützt dieser Forti Access Point den "autodiscover" Modus um einen Wireless Controller zu finden. Ist auf dem FortiGate Device in diesem Segement und für das Interface CAPWAP aktiviert so antwortet der FortiGate Wireless Controller auf diese CAPWAP (UDP-5246) Anfragen. Dadurch erscheint unter den "Managed FortiAPs" im Mgmt. Web Interface der Forti Access Point. Danach kann der Forti Access Point durch "Authorized" Authorisiert werden. Wenn man jedoch dies aus irgendwelchen Gründen verhindern möchte, fragt sich wie diese "automatisch Registration" dh. das die Forti Access Point unter "Managed FortiAPs" erscheinen verhindert werden kann. Dazu gibt es verschiedenen Möglichkeiten/Konfiguration die durchgeführt werden können zB:
• Wenn über das Segment in dem sich die Forti Access Point keine "CAPWAP" Anfragen beantwortet werden sollen kann "CAPWAP" auf diesem
Segment resp. Interface deaktiviert werden:
# config system interface
# edit [Name des entsprechenden Interface zB "dmz"]
# unselect capwap
# end
• Wenn auf dem FortiGate Device keine Forti Access Point verwaltet/konfiguriert werden sollen, kann der FortiGate Wireless Controller
komplett deaktiviert werden:
# config system global
# set wireless-controller [enable | disable]
# end
• Befinden sich im Segment verschiedenen Forti Access Point dh. solche die über den Wireless Controller der FortiGate verwaltet werden
sollen und solche die nicht über die FortiGate verwaltet werden sollen, müssen alle Forti Access Point die nicht über die FortiGate
die das Segment zur Verfügung stellt, lokal so konfiguriert werden damit diese Anfragen zu einemn spezifischen Wireless Access Point
Controller senden und nicht im "autodiscovery" Modus (Broadcast, Multicast, Unicast). Dies wird erreich, in dem auf den entsprechenden
Forti Access Point Controller folgendes konfiguriert wird:
Verbinde dich per "telnet" auf den Forti Access Point Controller. Wie dies durchzuführen ist siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Ausgehend davon das "telnet" Zugriff auf einem Forti Access Point aktiviert ist, kann anhand eines CLI "Widgets" über das Mgmt. Web
Interface auf den Forti Access Point zugegriffen werden. Dazu wähle:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste "CLI"]
Danach muss folgendes konfiguriert werden um den Forti Access Point so zu konfigurieren, dass dieser "statisch" nur noch Anfragen zu
einem bestimmten FortiGate Wireless Controller anhand dessen IPv Adresse sendet:
# cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
# cfg -c
# cfg -s
Für "failover" Zwecke stehen bis zu 3 "AC_IPADDR" zur Verfügung. Um die Anfragen "statisch" durchzuführen dh. nicht mehr per Broadcast,
Multicast sowie Unicast konfiguriere folgendes:
# cfg -a AC_DISCOVERY_TYPE=1
# cfg -c
# cfg -s
• Unter FortiOS 5.4 gibt es eine weitere Möglichkeit die "automatische" Registrierung zu verhindern dh. durch nachfolgenden Befehl wird
keine "automtische" Registrierung mehr ausgeführt. Die Funktion wird komplett deaktiviert:
# config system interface
# edit [Name des entsprechenden Interfaces zB "dmz"]
# set ap-discover [enable | disable]
# end
Wird diese Funktion "ap-discover" deaktiviert, können Forti Access Point nur noch Registriert werden, und erscheinen unter "Managed FortiAPs",
wenn diese vorgängig anhand der Serien Nummer Registriert werden. Dies wird folgendermassen durchgeführt:
WiFi Controller > Managed FortiAPs > Create New > [Gebe die entsprechende Serien Nummer ein des FortiAP]
In diesem Zuge kann bereits ein entsprechendes WTP Profile zum Forti Access Point hinzugefügt werden. Bringt man den entsprechenden Forti
Access Point in dem Segment "online" in dem "CAPWAP" für das entsprechenden FortiGate Interface aktiviert wurde, wird dieser Forti Access
Point automatisch "Authorized" mit dem zugewiesenen WTP Profile. Möchte man dies auf der Kommandozeile durchführen führe folgendes durch:
# config wireless-controller wtp
# edit [Serien Nummer des Forti Access Point]
# set name [Name des Forti Access Point zB "FAP-221C-1-UG"]
# set wtp-profile [Gebe ein entsprechendes vorhandenes WTP Profile an]
# end
Upgrade
Wo finde ich den Upgrade Pfad um einen FortiAP upzugraden?
Unter folgendem Link findet man den Upgrade Pfad um einen FortiAP richtig upzugraden:
Upgradpfad 7.0x:
Upgradpfad 7.2x:
Upgradpfad 7.4x:
edit 17.10.2023 - 4Tinu
Wie kann ich für einen Forti Access Point ein Firmware Upgrade durchführen?
Bevor ein Firmware Upgrade auf einen Forti Access Point durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Dies bedeutet: Vor einem Firmware Upgrade sollte die entsprechende Release Notes für die neue Firmeware des Forti Access Point konsultiert werden. Es muss zwingend der Upgradepfad beachtet werden:
http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachfolgender Artikel berücksichtigt werden:
FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F
Wenn verifiziert worden ist welche Firmware Version eingesetzt werden kann, stehen verschiedenen Möglichkeiten zur Verfügung ein Firmware Upgrade durchzuführen:
Firmeware Upgrade über den FortiGate Wireless Controller
WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
Firmeware Upgrade über Forti Access Point anhand CLI und TFTP Server
# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Firmeware Upgrade über Forti Access Point Web Mgmt. Interface Lokal und/oder Remote
Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end
Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end
Wenn ein Firmware Upgrade eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem
Host/Client verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender
Artikel:
FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F
Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:
# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin
Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:
# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c
Danach kann ein Upgrade lokal auf dem Forti Access Point durchgeführt werden über folgende Position:
Bulk Firmeware Upgrade über den FortiGate Wireless Controller anhand CLI und TFTP Server
Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F
Wo finde ich die Firmware für die FortiAP E-Serie?
Wenn man für folgende Produkte die Firmware vom Support Portal herunterladen will, findet man diese nicht wie gewohnt im Menu FortiAP sonder im Menu FortiAP-W2!
Betroffe FortiAP:
- FAP-221E
- FAP-222E
- FAP-223E
- FAP-224E
- FAP-421E
- FAP-423E
Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen?
Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll, kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet: anhand einer Firmeware die für spezifische Forti Access Point's auf den FortiGate Wireless Controller geladen wird, werden alle diese spezifischen Forti Access Point durch ein Kommando angewiesen sich vom FortiGate Wireless Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen müssen gegeben sein:
• Verifizierung der eingesetzten Firmeware und der neuen Firmware gemäss Release Notes dh wie und ob ein Upgrade möglich ist
für die eingesetzte Firmware. Den Upgradepath findet man unter http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachträglicher Artikel konsultiert werden:
FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F)
• Installiere einen TFTP Server (FTP ebenfalls möglich) der für den FortiGate Wireless Controller erreichbar ist um das spezifische Image
für die Forti Access Points vom TFTP Server zum FortiGate Wireless Controller raufzuladen. Als TFTP Server kann zB folgendes eingesetzt
werden:
SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx
Wenn die neue Firmware die eingesetzt werden soll für die Forti Access Points anhand der Releaste Notes verifiziert wurde und der Upgradpath auf http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ beachtet wurde, dann führe folgendes durch:
1. Lade das entsprechende Image für den Bulk Upgrade der Forti Access Points in das "root" Verzeichnis des TFTP Servers zB "image.out"!
2. Führe auf der FortiGate Kommandozeile folgendes aus:
# execute wireless-controller upload-wtp-image [tftp | ftp] [Name des Images auf dem TFTP Servers zB "image.out] [IPv4 Adresse des TFTP Servers]
Durch diesen Befehl wird der FortiGate Wireless Controller angewiesen vom TFTP Server das entsprechende "image.out" runterzuladen. Pro
Bulk Update Prozess kann nur ein Image eines spezifischen Forti Access Point Modell's auf den FortiGate Wireless Controller geladen
werden!
3. Nachdem das entsprechende Image vom TFTP Server runtergeladen wurde kann verifiziert werden ob sich das Image auf dem FortiGate
Wireless Controller befindet:
# execute wireless-controller list-wtp-image
4. Nun kann ein Bulk Upgrade über den FortiGate Wireless Controller ausgeführt werden. Dies bedeutet: Durch das nachfolgende Kommando werden
die Forti Access Points angewiesen sich das Image auf dem FortiGate Wireless Controller runter zu laden und das Upgrade durchzuführen.
# execute wireless-controller reset-wtp [Gebe an "all" oder bei unterschiedlichen Modellen die spezifischen Serien Nummern der Forti Access Points für das Upgrade]
Um die verschiedenen Serien Nummern der Forti Access Points auf dem FortiGate Wireless Controller zu verifizieren kann folgender Befehl benutzt werden:
# config wireless-controller wtp
# get
5. Nach dem das Bulk Upgrade durchgeführt wurde kann das spezifische Image vom FortiGate Wireless Controller gelöscht werden:
# execute wireless-controller delete-wtp-image
Kann für einen Forti Access Point basierend auf Firmeware 5.2 anhand einer Firmware 5.0 ein "Downgrade" durchführen?
Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:
Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
"verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.
Ab FortiOS 5.2.3 ist ein Downgrade auf FortiOS 5.0.x nicht mehr möglich. Aus diesem Grund ist es in jedem Fall zu empfehlen die entsprechenden Release Notes betreffend eine Upgrade sowie Downgrade zu konsultieren. Bevor ein Downgrade ausgeführt wird muss berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's mit FortiGate's basiernd auf FortiOS 5.0.9 und/oder 5.2 betrieben werden können. Nachfolgender Link gibt detaillierte Auskunft welche Versionen basiernd auf FortiGate 5.0 und/oder 5.2 eingesetzt werden können.
FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F
Kann für einen Forti Access Point basierend auf Firmeware 5.4 anhand einer Firmware 5.2 ein "Downgrade" durchführen?
Für jedes Downgrade wie Upgrade ist vorgehend die entsprechenden Release Notes zu konsultieren ob dies ermöglich wird oder nicht. Für Forti Access Points basierend auf FortiOS 5.4 ist folgendes zu berücksichtigen:
Ein Upgrade auf FortiOS 5.4 für Forti Access Points kann ab FortiOS 5.2.4 durchgeführt werden jedoch ein Downgrade für Forti Access
Points basierend auf FortiOS 5.4 ist gemäss Release Notes nicht möglich. Forti Access Points basierend auf FortiOS 5.4 können nur mit
FortiGates betrieben werden basierend auf FortiOS 5.4.
Backup
Wie kann ich für einen Forti Access Point Konfiguration ein Backup erstellen?
Wenn ein Backup einer Forti Access Point Konfiguration durchgeführt wird muss berücksichtigt werden, dass dieses Backup nur die lokale Konfiguration des Forti Access Point enthält dh. dieses Backup enthält nicht die Konfiguration zB der SSID, WTP Profiles usw. Ein Backup eines Forti Access Point's kann über Mgmt. Web Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Mgmt. Web Interface wird im Hintergrund folgender Befehl ausgeführt:
Backup der Forti Access Point Konfiguration über CLI
# cfg -e
BAUD_RATE=9600
ADMIN_TIMEOUT=5
AP_IPADDR=192.168.1.2
AP_NETMASK=255.255.255.0
IPGW=192.168.1.1
AP_MODE=0
DNS_SERVER=208.91.112.53
AP_MGMT_VLAN_ID=0
ADDR_MODE=DHCP
STP_MODE=0
TELNET_ALLOW=1
HTTP_ALLOW=1
AC_DISCOVERY_TYPE=0
AC_IPADDR_1=192.168.1.1
AC_HOSTNAME_1=_capwap-control._udp.example.com
AC_CTL_PORT=5246
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138
AC_DATA_CHAN_SEC=2
MESH_AP_TYPE=0
MESH_AP_SSID=fortinet.mesh.root
MESH_AP_BSSID=
MESH_AP_PASSWD=fortinet.mesh.root
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100
Backup der Forti Access Point Konfiguration über Web Mgmt. Interface
Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end
Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end
# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end
Wenn ein Backup eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem Host/Client
verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F
Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:
# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin
Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:
# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c
Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden und
ein manuelles Backup unter folgender Position ausgeführt werden:
Status > System Configuration > Last Backup
Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese
verschiedenen Positionen erläutert:
WTP_NAME=FP221B3X12001413 [Hostname Forti Access Point]
ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
AC_CTL_PORT=5246 [CAPWAP Comunication Port]
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
MESH_AP_TYPE=0 [1 = Mesh Type "leave"; 2 = Mesh Type root]
MESH_AP_SSID=fortinet.mesh.root [Mesh SSID Name]
MESH_AP_BSSID= [Mesh SSID Broadcast Name]
MESH_AP_PASSWD=fortinet.mesh.root [Mesh SSID Passwort]
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100
Somit kann dieses Backup File herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und dieses als Restore wieder einzuspielen!
Local Bridging
Heute machen wir eine kleine Reise durch die Welt der Netzwerkmodi! Ich stelle euch den Bridge- und den Tunnel-Modus vor und wir schauen uns an, was sie draufhaben - die coolen Eigenschaften und die kleinen Eigenheiten, die sie mitbringen
Bridge Modus
So funktioniert es:
Im Bridge-Modus agiert die SSID wie eine technologische Brücke zwischen den drahtlosen und verkabelten Netzwerken. Diese intelligente Verbindung ermöglicht es drahtlosen Geräten, nahtlos an demselben Netzwerk teilzunehmen, zu dem auch kabelgebundene Geräte gehören.
Was funktioniert:
- Alle Geräte, ob verkabelt oder drahtlos, befinden sich im gleichen heimeligen Netzwerk.
- Die Geräte können miteinander plaudern, als würden sie sich auf einer Cocktailparty treffen.
- Diese Methode ist ideal für einfache Netzwerkstrukturaufgaben, bei denen die Dinge flach und unkompliziert sein sollen.
Was nicht funktioniert:
- Der drahtlose Datenverkehr muss immer noch seinen Weg durch den Router des lokalen Netzwerks finden.
- Du hast nur eingeschränkte Kontrolle über den drahtlosen Datenverkehr, was wie wildes Tanzen auf einer Party sein kann - manchmal macht es Spaß, aber es kann auch chaotisch werden.
- Wenn dein Netzwerk so groß und komplex ist wie eine Gala, ist der Bridge-Modus nicht die beste Wahl.
- Beim Debuggen von Clients auf dem FortiGate (Verwenden von 'diagnose wireless-controller wlac sta_filter <mac> 255') zeigt die Ausgabe nur den Authentifizierungsprozess an, während die DHCP-Nachrichten ein bisschen schüchtern bleiben.
Leistung:
- In kleinen Netzwerken fühlt sich der Bridge-Modus wie ein gemütliches Zuhause an, aber wenn die Gästeliste wächst, könnte es zu einer unangenehmen Überlastung kommen.
Jetzt, wo wir den Bridge-Modus ausgelotet haben, werfen wir einen Blick auf den faszinierenden "Tunnel-Modus":
Tunnel Modus
Wie er funktioniert:
Im Tunnel-Modus erstellt die SSID sozusagen einen geheimen Tunnel, durch den alle drahtlosen Daten flitzen. Dieser Datenstrom wird dann zur zentralen Instanz, der FortiGate, gesendet, wo ein neues Interface mit dem Namen der SSID erstellt wird. Dieses Interface verhält sich dann wie ein Superheld, der die Regeln des FortiGate-VLANs befolgt.
Was funktioniert:
- Höhere Sicherheit: Die FortiGate überwacht und kontrolliert den gesamten Datenverkehr - so sicher wie ein Banktresor.
- Bessere Isolierung: Drahtlose Geräte werden von den Kabelgebundenen getrennt, als wären sie auf einer einsamen Insel.
- Einfachere Verwaltung: Du kannst den Datenverkehr und die Richtlinien so genau steuern wie ein Dirigent ein Orchester leitet.
- Ideal für riesige, komplexe Netzwerke, bei denen die Dinge so groß sind wie ein Musikfestival.
Was nicht funktioniert:
- Geräte im drahtlosen Netzwerk können nicht einfach mit ihren Kabelverwandten plaudern, ohne über die Firewall zu gehen - wie VIPs, die durch die VIP-Tür müssen.
Leistung:
- Im Allgemeinen bietet der Tunnel-Modus für große und sicherheitsbewusste Netzwerke eine Top-Leistung und Top-Sicherheit.
Empfehlung:
- Wenn dein Netzwerk so groß ist wie ein Rockkonzert und strenge Sicherheits- und Verkehrsregeln benötigt, dann ist der Tunnel-Modus die richtige Wahl.
- Wenn du jedoch die Einfachheit bevorzugst und alle Geräte friedlich in derselben Netzwerk-Nachbarschaft leben, kann der Bridge-Modus für kleinere Netzwerke eine Party sein. Aber denke daran, dass er bei zu vielen Gästen vielleicht die Musik leiser drehen muss.
Wie konfiguriere ich für eine Forti Access Point ein Wireless "local-bridging"?
Wenn für einen Forti Access Point eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:
• Tunnel to Wireless Controller
• Local bridge with FortiAP's Interface
Zusätzlich steht die Funktion "Mesh Downlink" zur Verfügung die jedoch nur im Zusammenhang mit "mesh" benutz wird. Wenn die Standard Konfiguration einer SSID benutzt wird dh. "Tunnel to Wireless Controller" so wird der Traffic des Host/Client über den CAPWAP (UDP-5246) Tunnel zum FortiGate Wireless Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen LAN/Segment's, in dem sich der Forti Access Point befindet, direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate Wireless Controller gesendet. Eine Ausnahme bildet die ab FortiOS 5.2 Funktion "Splitt Tunneling" die es erlaubt einen spezifischen IPv4 Adress Range/Subnet von diesem Umstand auszunehmen. Weitere Informationen zu dieser "Split Tunneling" Funktion siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F
Soll jedoch der Traffic direkt vom Forti Access Point Interface in das LAN/Segment erlaubt werden in dem sich die Forti Access Points befinden, muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum FortiGate Wireless Controller exisitert wird in dieser Situation nur zu Management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:
Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
die Verbindung zum FortiGate Wireless Controller so werden die Wireless Hosts/Clients nicht beinträchtigt da der Access Point
im Bridge Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!
Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:
# config wireless-controller vap
# edit [Name SSID Profile]
# set ssid [Name der SSID]
# set local-bridging [enable | disable]
# set vlanid [VLAN ID]
# set local-authentication enable
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# end
Sofern gewünscht kann eine VLAN ID für die SSID vergeben werden! Wenn der Traffic zwischen den Wireless Host/Client über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf "disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable", kann das Interface des Forti Access Point im Bridge Mode nicht mehr verhindern, dass Wireless Hosts/Clients über die gleiche SSID untereinander komunizieren. Wenn ein "local-bridging" auf einem FortiWiFi Device für deren interne "radio's" konfiguriert wird, erscheint folgende Fehlermeldung:
"Maximum number of entries has been reached"
Somit kann keine SSID auf einem FortiWifi Device für deren "radio's" auf "local-bridging" konfiguriert werden. Als Workaround für einen FortiWifi Device, kann jedoch eine SSID im "Tunnel Mode" konfiguriert werden ohne aktivierten DHCP Server auf der SSID. Danach kann diese SSID anhand eines Software Switches, der für Forti Access Points per Grundsatz nicht unterstützt wird, zum "internal" Interface hinzugefügt werden. Damit die Wireless Hosts/Client die auf die SSID verbinden eine IP zugewiesen bekommen, wird auf dem "Software Switch" ein DHCP Server aktiviert! Somit kann diese SSID auf dem FortiWifi Device zusammen mit dem "internal" Interface als lokales und gemeinsames LAN/Segment genutzt werden! Diese Konfiguration gilt nur im Zusammenhang mit FortiWiFi's und ist nicht im Zusammenhang mit Forti Access Points zu benutzen da "Software Switches" in Zusammenhang mit Forti Access Points nicht unterstützt werden. Werden auf dem FortiWifi Devices zusätzliche Forti Access Points betrieben, können diese wie üblich anhand "Local Bridging" konfiguriert werden!
Kann ich auf einem Forti Access Point für ein "local bridging" Broadcast/Multicast verhindern (susspression)?
Dies ist ab FortiOS 5.2.2 innerhalb einer SSID möglich. Dies wird über CLI folgendermassen konfiguriert:
# config wireless-controller vap
# edit [Name der SSID]
# set broadcastsuppression [dhcp-up | dhcp-down | dhcp-starvation | arp-known | arp-unknown | arp-reply | arp-poison | arp-proxy | netbios-ns | netbios-ds | ipv6 | all-other-mc | all-other-bc]
# end
Per Standard wird für die Funktion "broadcastsuppession" folgende Werte benutzt:
dhcp-up arp-known
Die Werte die unter "broadcastsuppresion" konfiguriert werden können haben folgende Bedeutung:
dhcp-up Suppress broadcast uplink DHCP messages.
dhcp-down Suppress broadcast downlink DHCP messages.
dhcp-starvation Suppress broadcast DHCP starvation req messages.
arp-known Suppress broadcast ARP for known wireless clients.
arp-unknown Suppress broadcast ARP for unknown wireless clients.
arp-reply Suppress broadcast ARP reply from wireless clients.
arp-poison Suppress ARP poison messages from wireless clients.
arp-proxy Reply ARP requests for wireless clients as a proxy.
netbios-ns Suppress NetBIOS name services packets with UDP port 137.
netbios-ds Suppress NetBIOS datagram services packets with UDP port 138.
ipv6 Suppress IPv6 packets.
all-other-mc Suppress all other multicast messages.
all-other-bc Suppress all other broadcast messages.
Grundsätzlich stet der Befehle "broadcastsuppression" auch für eine SSID zur Verfügung die "NICHT" als "Local Bridging" konfiguriert wurde (Tunnel to Wireless Controller). Die Erweiterung wurde jedoch "explizit" hinzugefügt für "Local Bridging" SSID's. Der Grund ist Folgende:
Wenn ein Forti Access Point als "local bridging" eingesetzt wird in eine Subnet zB /20 so ist der Broadcast Traffic der zusätzlich
auf dem Forti Access Point entsteht beträchtlich und beeinträchtigt somit die Performance des Forti Access Point durch die über
Broadcast gesendeten "frames" vom Subnet über den Forti Access Point zum Client. Durch die gesetzten Optionen werden "frames" nur
dann vom Forti Access Point zum Client (over the air) gesendet, wenn die "Destination IPv4" Adresse existiert ansonsten werden diese
verworfen. Im "Tunnel to Wireless Controller" Mode agiert der Forti Access Point in gleicher Weise, jedoch fungiert der Forti Access
Point als eine Art "ARP Proxy" und sendet ARP Anfrage nur zum Client (over the air) wenn der ARP Anfragen über "get sys arp" vorhanden
sind. Dies gilt nur innerhalb der gleichen SSID. Diese Funktion resp. Optionen sind nur in "high density" (Hohes Aufkommen von Clients
in grossen Netzwerken zB /20) Umgebungen zu benützen um die zusätzlicne "frames" zu verhindern (broadcast arp). Somit, unter normalen
Umständen ist diese Option auf den Standard Werten zu belassen dh. "dhcp-up sowie arp-known".
VLAN
Kann ich für Forti Access Point SSID's "Dynamische VLAN's" vergeben und wie konfiguriere ich diese?
Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" zu einer SSID zu vergeben im Zusammenhang mit einem Radius Server zB FortiAuthenticator. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:
IETF 64 (Tunnel Type) = Muss auf VLAN gesetzt werden
IETF 65 (Tunnel Medium Type) = Muss auf 802 gesetzt werden
IETF 81 (Tunnel Private Group ID) = Muss auf die entsprechende VLAN ID gesetzt werden
Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig die nötigen Informationen nach erfolgreicher Radius Authentifizierung anhand Radius Attribute zu übermitteln. Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server, wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) über die SSID zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen, ist die Funktion unter der entsprechenden SSID generell zu aktivieren:
# config wireless-controller vap
# edit [Wähle den Namen der entsprechenden SSID]
# set dynamic-vlan [enable | disable]
# end
Um die VLAN Konfiguration lokal auf einem Forti Access Point auszulesen kann folgendes Kommando ausgeführt werden:
# cw_diag show wllbr
Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:
Datei:Dynamic VLANs.pdf
Kann ich auf einem Forti Access Point für eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"?
Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige LAN/Segment gesendet anstelle diesen über den Data Channel Enkapsuliert (CAPWAP) zum FortiGate Wireless Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern, muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Mgmt. Web Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann lokal auf dem Access Points über CLI folgender Befehl abgesetzt werden um die Konfiguration einzusehen:
# brctl show
# cat /proc/net/vlan/conf
Die Konfiguration einer VLAN ID für eine SSID kann ab FortiOS 5.2 über Mgmt. Web Interface durchgeführt werden:
WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSDI] > Optional VLAN ID
Möchte man die VLAN ID für eine SSID die auf "Local bridge with FortiAP's Interface" konfiguriert wurde über CLI konfigurieren führe folgendes durch:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set vdom root
# set ssid [Name der SSID]
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# set local-bridging [enable | disable]
# set vlanid [Gebe die entsprechende VLAN ID an]
# end
Mesh/Bridging
Wie konfiguriere ich für einen Forti Access Point ein Wireless "Mesh/Bridging Netzwerk" (manuell/automatisch)?
Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:
NOTE Fortinet hat speziell betreffend "Mesh" ein spezielle Handbook's Released, dass auf die Konfiguration von "Mesh" eingeht. Aus diesem Grund lohnt sich ebenfalls diese Handbook's einzusehen: FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wireless Mesh (No VLAN Support)
Ein Access Point - auch genannt "root" Mesh Access Point - ist direkt verbunden mit dem FortiGate Wireless Controller.
Alle anderen Forti Access Points - auch genannt "leaf" Mesh Access Points - benützen den FortiGate Wireless Controller
in dem diese über den "root" Mesh Access Point sich zum FortiGate Wirelesss Controller verbinden. Für Wireless Hosts/
Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. bemerken nicht, dass
sie sich zu einem Mesh Netzwerk verbinden.
Wireless bridging (No VLAN Support)
Für ein Bridging werden zwei physische LAN Segmente über Fortinet Access Points verbunden (the backhaul SSID). Die Ethernet
Anschlüsse resp. Interfaces auf den Forti Access Points ("leaf" Mesh Access Point), die diese LAN Segmente verbinden können
benutzt werden um ein zusätzliches Wireless Segment für die Wireless Hosts/Clients bereitzustellen. Grundsätzliche sind die
Clients direkt in dem jeweiligen Segment per LAN oder über ein erweitertes Wireless Netzwerk verbunden.
Daraus ergeben sich folgende Möglichkeiten:
Forti Access Points werden benützt als "root" Mesh und "leaf" Mesh Access Points
Datei:Fortinet-345.jpg
FortiWiFi Device wird benützt als "root" Mesh Access Point und die Forti Access Points als "leaf" Mesh Access Points
Datei:Fortinet-346.jpg
Forti Access Points werden benützt um zwei LAN Segmente zu verbinden (Bridging)
Datei:Fortinet-347.jpg
Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:
• Alle Forti Access Points die im Mesh Wireless Network eingesetzt werden, müssen über Firmware 5.0 Build 003 oder höher verfügen!
• Forti Access Point FAP-222B muss über die Bios Version 400012 oder höher verfügen:
ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out
• Auf dem FortiGate/FortiWiFi Wireless Controller muss FortiOS 5.0 GA oder höher installiert sein!
NOTE Folgende Funktionen sollten möglichst nicht benützt werden auf dem Forti Access Point "radio" auf dem der
Mesh Link konfiguriert wurde:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F
FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F
FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F
Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) oder Automatischer Konfiguration:
AUTOMATISCHE KONFIGURATION WIRELESS MESH
Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].
Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen werden:
Datei:Fortinet-348.jpg
Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:
• Konfiguriere einen "root" Mesh Access Point auf einer Forti Access Point oder auf einer FortiWiFi Device.
• Konfiguriere die Forti Access Points für "leaf" Mesh.
• Authorisiere die "leaf" Mesh Forti Access Point damit diese auf den FortiGate/FortiWiFi Controller verbinden können.
Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points
Wähle über das Mgmt. Web Interface folgendes:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
Selektiere den gewünschten Forti Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".
Wähle folgendes:
Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
NOTE Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
mehr gesetzt werden!
Datei:Fortinet-349.jpg
Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points
Verbinde dich auf das Mgmt. Web Interface des Forti Access Point auf dem "leaf" Mesh konfiguriert werden soll.
Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.
Weitere Informationen siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
Auf dem Mgmt. Web Interface unter "Connectivity" konfiguriere folgendes:
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F
Uplink Mesh
Mesh AP SSID fortinet.mesh.[VDom Name dh. Standard "root"]
Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
Datei:Fortinet-350.jpg
Bestätige die Konfiguration anhand "Apply".
Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Forti Access Points
Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Forti Access Points über den "root" Mesh
Access Points am FortiGate/FortiWiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss
jeder "leaf" Mesh Forti Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
Gehe auf "refresh" bis der/die "leaf" Mesh Forti Access Points ersichtlich sind. Danach selektiere den Forti
Access Point und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Forti Access
Points ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit "OK"
die Konfiguration.
Sobald die Konfiguration bestätigt wurde wir der Forti Access Point seinen Status von Offline zu Online wechseln
(ca. 2 Minuten). Die automatische Konfiguration ist abgeschlossen und kann getestet werden.
AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING
Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen
Port (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging
Mode aktiviert da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point
(backhaul link) verbindet. Ein Forti Access Point Device für Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist
empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Wireless Hosts/Client im Wireless Netzwerk.
Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!
Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point
Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti
Access Point direkt mit dem zu verbindenen Segment verbunden!
Datei:Fortinet-358.jpg
MANUELLE KONFIGURATION WIRELESS MESH
Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Mesh Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Forti Access Points verbinden
sich über diesen "root" Mesh AP (backhaul link) zum FortiGate/FortiWiFi Controller. Ein Forti Access Point Device für
Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4
GHz für die Wireless Hosts/Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende
Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's.
Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Forti Access Point
• Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die Forti Access Points benutzt werden kann.
• Erstelle eine SSID für den "backhaul link".
• Erstelle eine Forti Access Point WPT Profil das die SSID für den "backhaul link" enthält.
• Füge das neue WPT Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
• Konfigureire den "root" Mesh Forti Access Point.
Um die SSID für den "backhaul link" zu erstellen wähle im Mgmt. Web Interface der FortiGate folgendes:
WiFi Controller > WiFi Network > SSID, select Create New
Konfiguriere folgendes:
Interface Name [Name des Interfaces zB "mesh-backhaul"]
IP/Netmask [Belasse die IPv4 Adresse auf 0.0.0.0/0.0.0.0]
SSID [Name der SSID zB "mesh-backhaul"]
Preshared Key [Wähle ein Preshared Key]
Datei:Fortinet-351.jpg
Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set mesh-backhaul enable
# end
Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
Datei:Fortinet-352.jpg
Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
Position "Traffic Mode"
# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set ssid "[Name der SSID zB "mesh-backhaul"]"
# set security wpa2-only-personal
# set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
# set encrypt AES
# set vdom root
# set mesh-backhaul enable
# end
Nun muss ein "backhaul" Forti Access Point Profile erstellt werden. Wähle dazu im Mgt. Web Interface der FortiGate folgendes:
WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
- Wähle für das WTP Profile einen Namen zB "mesh-backhaul-root".
- Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Forti Access Point.
- Aktiviere die Position "Mesh Downlink".
- Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
Datei:Fortinet-353.jpg
NOTE Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.
Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
# config wireless-controller wtp-profile
# edit [Profil Name zB "mesh-backhaul-root"]
# config platform
# set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
# end
# config radio-1
# set mode ap
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# end
Nun muss das erstellt WTP Profil dem Forti Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
Wähle dazu im WebGui folgendes:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
Der "root" Mesh Forti Access Point muss über physisches LAN/Segment angeschlossen sein sowie Verbindung
zum FortiGate/FortiWiFi Controller haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und
kann selektiert werden. Gehe auf "Authorize" und wähle das entsprechende WTP Profil das erstellt wurde
für den "backhaul link". In unserem Beispiel wäre dies zB "mesh-backhaul-root"! Nach einiger Zeit geht
danach der Forti Access Point auf den Status "Online".
Um das Profil per CLI zum entsprechenden Profile hinzu zufügen, gehe folgendermassen vor:
# config wireless-controller wtp
# get
FAP22B3U11005354
# edit FAP22B3U11005354
# set admin enable
# set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
# end
Nun muss der "root" Mesh Forti Access Point als solches definiert werden dh. im Mgmt. Web Interface unter folgender
Position ist die entsprechende IPv4 Adresse des Forti Access Points zu eruieren:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
Wir nehmen an, dass der Forti Access Point dem wir das "backhaul" Profil hinzugefügt haben die IPv4 Adresse 192.168.3.2
zugewiesen worden ist. Verbinde dich nun anhand dieser IPv4 Adresse auf das Mgmt. Web Interface des Forti Access Point.
Führe ein Login durch anhand User "admin" und kein "Passwort" sofern keines gesetzt wurde:
http://192.168.3.2
Im Mgmt. Web Interface auf dem Forti Access Point unter "Mesh Configuration" selektiere:
Ethernet with mesh backup support
Datei:Fortinet-354.jpg
NOTE Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden da
der Access Point als "root" Mesh konfiguriert ist ignoriert!
Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe Lokal auf der CLI des Forti Access Points folgendes ein:
# cfg -a MESH_AP_TYPE=2
# cfg –c
Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
# cfg -s
Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point
Wie schon beschrieben sind "leaf" Mesh Forti Access Points Devices die das Wireless Netz (nicht physisch verbunden)
benutzen um sich in das Wireless Netz zu integrieren. Die Verbindung zum FortiGate/FortiWiFi Controller wird über
den "root" Mesh Access Point bewerkstelligt.
Um ein "leafe" Forti Access Point zu konfigurieren benutzen wir das Mgmt. Web Interface des Forti Access Points. Per
Standard nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2.
Verbinde dich nun auf den WebBased Manager anhand dieser IP:
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F
http://192.168.1.2
Im WebBased Manager konfiguriere folgendes:
Uplink [Mesh]
Mesh AP SSID [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
Mesh AP Password [Preshared Key gemäss SSI "mesh-backhaul"]"
Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
Konfiguration mit "Apply":
Datei:Fortinet-355.jpg
Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
Wenn ein Forti Access Point nicht über einen FortiGate Wireless Controller konfiguriert und eingebunden ist sondern Lokal
über einen Host/Client, ist der Consolen Port per "telnet" über die Standard IP 192.168.1.2 erreichbar. Wird ein Forti
Access Point über einen FortiGate/FortiWiFi Wireless Controller konfiguriert so ist der Forti Access Point über den
FortiGate/FortiWiFi Controller per "telnet" erreichbar sofern dieser Zugriff aktiviert ist. Folgender Artikel gibt
Auskunft wie "telnet" aktiviert werden kann:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
# cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
# cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
# cfg -a MESH_AP_TYPE=1
# cfg -c
Um die Konfiguration zu verifizieren (Es wird ein Neustart des Forti Access Point ausgeführt) geben folgendes ein:
# cfg -s
Als nächsten Schritt muss für die "leaf" Forti Access Points ein Profil angelegt werden. Dazu wähle im Mgmt. Web
Interface folgendes:
WiFi Controller > Managed Access Points > Custom AP Profile
Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
Name Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
Platform Selektiere die Platform für den entsprechenden Forti Access Point der für "leaf" Mesh eingesetzt werden soll.
Radio 1 Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Radio 2 Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
Datei:Fortinet-356.jpg
NOTE Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.
Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
# config wireless-controller wtp-profile
# edit [Namen für das Profil zB "mesh-backhaul-leaf"]
# config platform
# set type [Selektiere entsprechend dem Forti Access Point Modell die für "leaf" Mesh eingesetzt werden die Platform]
# end
# config radio-1
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# config radio-2
# set mode ap
# set band 802.11n
# set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
# end
# end
Nun muss das entsprechende WTP Profil das erstellt worden ist dem entsprechenden Forti Access Point der für "leaf" Mesh
Forti Access Point benützt wird, zugewiesen werden. Wähle daszu im Mgmt. Web Interface:
WiFi Controller > Managed A ccess Points > Managed FortiAP
Wenn der "leaf" Mesh Forti Access Point in Betrieb ist, müsste dieser nun in der Liste der Forti Access Points erscheinen.
Selektiere diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird, sollte
der Forti Access Point die Mesh IPv4 Adresse zeigen. Nach dem "Authorize" kann das entsprechende WTP Profile für die "leaf"
Mesh Forti Access Point, das vorhergend erstellt worden ist, gewählt werden. Bestätige die Konfiguration anhand "Apply".
Wenn die Konfiguration auf der CLI durchgeführt werden soll führe folgendes aus:
# config wireless-controller wtp
# get
FAP22B3U11d05924
# edit FAP22B3U11d05924
# set admin enable
# set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
# end
Die Konfiguration der Manuelle Konfiguration betreffend Mesh ist nun abgeschlossen. Um das "Mesh" Wireless
Netzwerk zu kontrollieren wähle im Mgmt. Web Interface folgendes:
WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
In dieser View werden alle verbundenen und nicht verbundenen Forti Access Points aufgelistet. Wenn man unter "Column
Settings" das Feld "Connected Via" einblended, sieht man in diesem Feld "Mesh" für die Forti Access Points die über
Mesh verbunden sind sowie deren IPv4 Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen
Forti Access Point durchgeführt werden:
# cw_diag -c mesh
Eine weitere Möglichkeit um an Informationen heranzukommen, ist auf dem Forti Access Point folgender Befehl abzusetzen:
# dmesg
MANUELLE KONFIGURATION WIRELESS BRIDGING
Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über den
Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Forti Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging Mode
aktiviert da dieser an einem LAN/Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point (backhaul
link) verbindet. Ein Forti Access Point Device verfügt für Mesh über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen
5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!
Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point
Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem "leaf"
Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti Access Point
direkt mit dem zu verbindenen Segment verbunden!
Datei:Fortinet-357.jpg
Guest Access
Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion?
Fortinet bietet im Zusammenhang mit der FortiGate Wireless Infrastrukturen zwei verschiedene Arten eines Ticketing System's für Guest Access:
Guest Access Provisioning:
Das "Guest Access Provisioning" basiert auf einem Ticket System dh. durch einen definierten Administrator kann dieser
die entsprechenden Tickets erstellen resp. generieren. Für dieses "Gues Access Provisioning" können die Tickets selber
dh. Inhalt und Aussehen nicht modifiziert werden sondern sind vorgegeben. In so einer Situation sollte die "Captive
Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit
FortiOS 5.0/5.2 oder höher. Es müssen keine zusätzliche Installationen durchgeführt werden da ein FortiGate Wireless
Controller alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur Implmenenterung
siehe:
FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F
User Self Registration:
In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein "Captive Portal"
vorgeschaltet sein, jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self Registration Portal. Die Felder,
der Inhalt etc. des Self Registration Portal und/oder der Ticket's können vollumfänglich selber betreffend Inhalt und Aussehn
definiert werden. Für das "Wireless Self Registration" benötigt man einen FortiAuthenticator! Weitere Inoformationen zur
Implementierung siehe:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F
Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Self Registration" Funktion?
Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:
FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F
Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einem FortiGate Wireless Controller konfiguriert wird:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F
Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Guest Access Provisioning" Funktion?
Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0/5.2 oder höher) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:
NOTE Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe nachfolgender Artikel: FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_.22Wireless_Guest_Access_Provisioning.22_ein_Custome_Language_File.3F
User & Device > User > User Groups
Datei:Fortinet-363.jpg
Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch durch das System
erstellt (Batch):
Datei:Fortinet-373.jpg
Zur dazugehörigen Gruppe erstellen wir einen Administrator, der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:
System > Admin > Administrators
Datei:Fortinet-364.jpg
Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:
Datei:Fortinet-365.jpg
Datei:Fortinet-366.jpg
Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:
Datei:Fortinet-367.jpg
Datei:Fortinet-368.jpg Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch" erstellt (Batch). Dies sieht dann folgendermassen aus: Datei:Fortinet-374.jpg Nach der "automatischen" Erstellung wird folgendes Ausgegeben: Datei:Fortinet-375.jpg Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes: Datei:Fortinet-376.jpg Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts: Datei:Fortinet-377.jpg
Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing. Vorraussetzung dafür ist jedoch das ein "Email Service" konfiguriert wurde. Dazu siehe nachfolgende Artikel:
FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_den_.22Email_Service.22_konfigurieren.3F
Datei:Fortinet-369.jpg
Wählt man zB Printing so erscheint folgendes:
Datei:Fortinet-372.jpg NOTE Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden!
Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:
Datei:Fortinet-370.jpg
Wenn man sich als "regulärer" Administrator wiederum einloggt, kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:
User & Device > User > Guest Management
Datei:Fortinet-371.jpg
Ein "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts wie der "Restricted to Provision Guest Accounts" Administrator" erstellen/verwalten! Für die SSID muss nun ein "Captive Portal" ausgewählt jsowie konfiguriert werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:
Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal". Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste der Guest Account die URL abermals eingeben! Als Letzteres muss eine entsprechende Firewall Policy Rule implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Konfiguration getestet werden. Sobald ein Wireless Host/Client die entsprechende SSID aufruft, wird er mit dieser SSID anhand einer IPv4 Adresse die vom DHCP Server stammt der für die SSID konfiguriert wurde, verbunden. Wenn nun ein Wireless Host/Client danach eine Anfrage absetzt dh. eine Web Seite aufruft wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der Wireless Host/Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:
Guest Access User Group
# config user group
# edit [Name der Gruppe zB "FortiGroup-Guest"]
# set group-type guest
# set user-id [email | auto-generate | specify]
# set password [auto-generate | specify | disable]
# set user-name [enable | disable]
# set email [enable | disable]
# set mobile-phone [enable | disable]
# set default-expire [seconds]
# end
Guest admin profile options
# config system admin
# edit [Name des Administrators]
# set guest-auth [enable | disable]
# set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
# end
SSID Security Mode option captive-portal
# config wireless-controller vap
# edit [Name des SSID Profiles zB "only4guest"]
# set vdom "root"
# set ssid [Name der SSID zB "only4guest"]
# set security captive-portal
# set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
# set intra-vap-privacy enable
# end
# config system interface
# edit [Name des Interface für SSID zB "only4guest"]
# set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
# set allowaccess ping
# set devindex 0
# set device-identification enable
# set snmp-index 0
# end
# config system dhcp server
# edit [Gebe einen Integer an zB 1]
# set forticlient-on-net-status disable
# set dns-service default
# set default-gateway [IPv4 Adresse zB 192.168.10.1]
# set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
# set interface [Interface für DHCP Server zB "only4guest"]
# config ip-range
# set start-ip 192.168.10.2
# set end-ip 192.168.10.254
# end
# end
Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:
# diagnose test guest ?
add add a guest user
del delete guest users
list list guest users
# diagnose test guest list
user_id=new-user-1@beispiel.com
group=Beispiel-Gruppe
user_name=gast-1
password=pwj8m9
mobile_phone=
sponsor=
company=
email=new-user-1@beispiel.com
expire=1 Hours
# diagnose test guest add
<group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>
# diagnose test guest del
12 deleted for group , user-id
# diagnose test guest list
0 found for group , user-id
Wie konfiguriere ich für ein "Wireless Guest Access Provisioning" ein Custome Language File?
Auf einer FortiGate ist das Mgmt. Web Interface und Replacement Messages per Standard Englisch. Unter der folgende Position können andere Sprachen gewählt werden:
System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]
Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):
• Guest Management Admin Accounts (Guest Access Provisioning)
• SSL VPN Portal
• SSL VPN Personal Bookmarks
Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:
# config system global
# set gui-custom-language enable
# end
Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Mgmt. Web Interface auf der FortiGate
aktiviert:
System > Config > Advanced > Language
Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:
System > Custom Languages
Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann
als Vorlage um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":
Datei:Sample-language-template.txt
Datei:Sample-language-template-54.txt
Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:
System > Config > Advanced > Language > Create New
Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:
System > Custom Languages
Danach kann das File raufgeladen werden:
Damit das entsprechende File benutzt wird für die Funktion des "Wireless Guest Access Provisioning", muss
dies unter CLI und/oder über Mgmt. Web Interface für den Guest Administrator konfiguriert werden:
System > Admin > Administrators > [Wähle den entsprechenden Guest Administrator] > Language > [Wähle das entsprechende "Sprachfile"]
# config system admin
# edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
# set guest-auth enable
# set guest-lang [Wähle das entsprechende "Sprachfile"]
# end
# end
Wie kann ich für die "Wireless Guest Access Provisioning" Funktion die Erstellung der Tickets (Anzahl) limitieren?
Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" Ticket erstellen. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket Erstellung in der Anzahl limitiert. Ab FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:
# config user group
# edit guest-group
# set group-type guest
# set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
# end
# end
Wird die Konfiguration durchgeführt für Guest Administratoren die bereits Tickets erstellt haben, muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert für Anzahl Tickets tiefer als die existierenden "valid" Tickets konfiguriert werden so müssen um den Wert anzupassen zuerst Tickets gelöscht werden um den entsprechenden Wert zu setzen.
Gibt es für das Passwort des Guest-Administrators für "Wireless Guest Access Provisioning" eine Passwort Policy?
Wenn auf einer FortiGate ein "Wireless Guest Access Provisioning" konfiguriert wird ist die Basis ein Administrator der für Guest definiert wird (Restricted to Provision Guest Accounts). Wie ein "Wireless Guest Access Provisioning" konfiguriert wird siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F
Neu unter FortiOS 5.4.1 kann diesem Administrator der für Guest definiert wurde eine Passwort Policy aktiviert werden. Dies kann jedoch nur in der CLI konfiguriert werden und ist per Standard deaktiviert:
# config system password-policy-guest-admin
# status [enable | disable]
# apply-to [guest-admin-password]
# minimum-length [Minimum Länge des Passwortes]
# min-lower-case-letter [Minimum Anzahl Kleinbuchstaben im Passwort]
# min-upper-case-letter [Minimum Anzahl Grossbuchstaben im Passwort]
# min-non-alphanumeric [Minimum Anzahl Non-Alphanumerischen Zeichen im Passwort]
# min-number [Minimum Anzahl von Nummerischen Zeichen im Passwort]
# change-4-characters enable/disable Enable/disable changing at least 4 characters for new password.
# expire-status [enable | disable]
# reuse-password [enable | disable] # end
Remote
Wie konfiguriere ich einen Forti Access Point zB. FAP-11C für einen Remote Zugriff?
Ein Forti Access Point FAP-11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point FAP-11C, FAP-14C sowie fAP-28C da diese Forti Access Point über einen Internal Switch/Hub verfügen der es dem User/Client erlaubt entweder über den Internen Switch/Hub zu arbeiten oder über Wireless resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:
_________
| | 193.193.135.70
| FAP-11C |--|
|_________| |
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP-11C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN
In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "dmz" durchgeführt! Dies bedeutet: dieses "dmz" ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen benützt dh. der FAP-11C wird mit der gesamten Konfiguration lokal eingebunden inkl Firewall Policy Rules usw. Diese Konfiguration kann nachträglich für einen Remote Konfiguration komplett übernommen werden. Alle Forti Access Point benützen für deren Komunikation zum FortiGate Wireless Controller CAPWAP (UDP-5246). Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_einen_FortiGate_Wireless_Controller_verwaltet.2Fkonfiguriert_.28CAPWAP.29.3F
Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt, jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden, sind per Standard "clear-text". Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel von und zu dem Forti Access Point zum FortiGate Wireless Controller zu verschlüsseln. Weitere Informationen zu DTLS Funktion siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
Die Konfiguration eines Forti Access Point für Remote Zugriff unterscheidet sich Grundsätzlich nicht gegenüber einer lokalen Konfiguration von Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point unter FortiOS 5.0/5.2/5.4 in Betrieb genommen wird und was dabei zu beachten ist:
FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F
Wenn die Grundkonfiguration für den FAP-11C inkl. den Firewall Policy Rule's gemäss vorhergenden Link durchgeführt wurde sowie alle Tests erfolgreich waren, sollte der FAP-11C aus dem "dmz" Segment entfernt. Ist dies geschehen sollte der entsprechende Forti Access Point Eintrag unter "Managed FortiAP's" gelöscht werden:
WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]
Als Nächstes muss nun Lokal auf dem Forti Access Point FAP-11C mitgeteilt werden, mit welchen FortiGate Wireless Controller eine Remote Verbindung erstellt werden soll. Dies kann über das lokale Mgmt. Web Interface oder CLI des Forti Access Point FAP-11C durchgeführt werden. Die Informationen die lokal auf dem Forti Access Point konfiguriert werden müssen sind die Folgenden:
IPv4 Adresse
FQDN (Fully Qualified Domain Name]
Um auf einen Forti Access Point lokal zu verbinden kann die Default IPv4 Adresse des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
Es können für Failover Zwecke bis zu 3 Wireless Controller konfiguriert werden:
Datei:Fortinet-700.jpg
Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Wenn in einem späteren Zeitpunkt der Forti Access Point in ein IPv4 Segment zB zu Hause verbunden wird, sucht sich dieses "wan" Interface einen DHCP Server. Werden die DHCP Anfragen des "wan" Interfaces beantwortet, wird auf dem "wan" Interface gemäss der DHCP Server Konfiguration eine IPv4 Adresse, Subnet sowie Default Gateway konfiguriert. Sobald dies der Fall ist, wird über das "wan" Interface versucht den konfigurierten FortiGate Wireless Controller anhand dessen IPv4 Adresse oder den FAQDN über CAPWAP (UDP-5246) zu erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf "Auto" konfiguriert was wiederum bedeutet:
Broadcast -> Multicast > Static > DNS > DHCP
In dieser Reihenfolge versucht der Forti Access Point über CAPWAP den konfigurierten FortiGate Wireless Controller zu erreichen. Damit kein "Auto" für die Suche des FortiGate Wireless Controller durchgeführt wird, sollte "Static" benutzt werden. Wenn ein FQDN benutzt wird, ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:
# cfg -a DNS_SERVER=[DNS Server IP Adresse]
# cfg -c
# cfg -s
Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:
# cfg -a WTP_NAME=FP11C3X12001413 [Hostname Forti Access Point]
# cfg -a ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -a STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
# cfg -a TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
# cfg -a HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
# cfg -a AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
# cfg -a AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_2= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_3= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_2= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_3= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_CTL_PORT=5246 [CAPWAP Comunication Port]
# cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
# cfg -a AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]
Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. Auf dem Forti Access Point ist "DTLS" bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate Wireless Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy [dtls-enabled | clear-text]
# end
Wenn ein Client/Host über den Remote Forti Access Point ein Packet versendet und da der Standard Wert für MTU Size auf den meisten Betriebsystemen auf 1500 konfiguriert ist kann es mit der zusätzlich aktivieren "DTLS" Funktion zu einer Fragmentierung kommen. Der Grund ist der Folgende: Wenn ein Packet über den CAPWAP Tunnel gesendet wird so kommt zum Packet ein kleiner "overhead" des CAPWAP dazu. Dies ist unter normalen Umständen und in den meisten Fällen kein Problem. Kommt jedoch nochmals der "overhead" des "DTLS" dazu, vergrössert sich das Packet dh. mehr als MTU 1500 und somit wird das Packet aufgeteilt dh. es wird eine Fragmentierung durchgeführt. Dies beeinträchtigt die Performance und sollte verhindert werden. Aus diesem Grund empfehlen wir gemäss nachfolgenden Link im WTP Profile dies zu berücksichtigen resp. eine Fragmentierung zu verhindern:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F
Grundsätzlich kann die "Network Configuration" eines Forti Access Point auch auf "Static" gesetzt werden dh. Ein Forti Access Point ist per Standard mit "DHCP" konfiguriert und sollte unter normalen Umständen so konfiguriert sein. Möchte man jedoch für das "wan" Interface des Forti Access Point eine statische IPv4 Adresse vergeben kann dies über Mgmt. Web Interface oder CLI durchgeführt werden. Für eine Konfiguration über CLI lokal auf dem Forti Access Point stehen folgende Konfigurationspunkte zur Verfügung:
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]
DHCP Konfiguration (Default):
Datei:Fortinet-702.jpg
Static Konfiguration:
Datei:Fortinet-703.jpg
Damit die Anfragen des Forti Access Point auf den FortiGate Wireless Controller beantwortet wird, muss CAPWAP auf der FortiGate für das "wan" Interface aktiviert werden:
System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]
Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP-5246 auf dem "wan" Interface erlaubt. Die "Local-In" Policy erlaubt den UDP-5246 Traffic von jeder Source dh. soll diese eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F
Wenn nun der Forti Access Point in einer Remote Lokation zB zu Hause benutzt wird so wird folgendes durchgeführt:
1. Verbinde das "wan" Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.
2. Dem Forti Access Point wird über DHCP auf das "wan" Interface eine IPv4 Adresse zugewiesen oder das "wan" Interface wurde
mit einer LAN IPv4 Adresse aus dem Segment/Subnet statisch konfguriert.
3. Uber das "wan" Interface werden CAPWAP (UDP-5246) Anfragen an die definierte IPv4 Adresse und/oder FQDN an das "wan"
Interface des FortiGate Devices gesendet.
4. Da CAPWAP auf dem FortiGate "wan" Interface aktiviert wurde und somit die CAPWAP Anfragen vom FortiGate Wireless Controller
beantwortet werden, erscheint auf dem FortiGate Device unter "Managed Access Point" der entsprechende Forti Access Point:
WiFi Controller > Managed Access Points
5. Dem Forti Access Point kann nun das entsprechendes WTP Profile zugewiesen werden.
Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende WTP Profile sowie auf dem Forti Access Point selber durchgeführt werden:
FortiGate WTP Profile
Datei:Fortinet-705.jpg
Forti Access Point
Datei:Fortinet-706.jpg
Wenn man einer der Remote Forti Access Point's einsetzt dh. FAP-11C, FAP-14C sowie FAP-28C hat man nun die Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Bei der Konfiguration des internent Switches/Hubs ist jedoch folgendes zu berücksichtigen: Ein Port eines Switches kann mit "bridge to SSID" auf die SSID konfiguriert werden. Dies bedeutet: Wenn ein Client/Host sich per RJ-45 auf diesen Port verbindet, wird diesem über den konfigurierten DHCP Server der SSID eine IPv4 Adresse zugewiesen. Wenn dies geschieht, wird keine Authentifizierung für die SSID ausgeführt! Um zB eine Security auf diesen Switch Port für "bridge to SSID" zu konfigurieren, kann der DHCP Server auf "block" gesetzt werden und somit werden vom DHCP Server nur IPv4 Adressen den Clients/Host zugewiesen, wenn diese mit deren MAC Adressen im DHCP Server konfiguriert wurden. Dies wird folgendermassen für den DHCP Server der SSID konfiguriert:
# config system dhcp server
# edit [Wähle den entsprechenden Integer für den DHCP Server der SSID zB "1"]
# set mac-acl-default-action [assign | block]
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end
Eine andere Variante ist auf dem Interface der SSID (nicht für die SSID Konfiguration) ein "Captive Portal" zu aktivieren dh. wenn dies geschieht, muss sich der Client/Host in jedem Fall auf dem "Captive Portal" des Interface zuerst authentifizieren bevor er Zugriff erhält. Wie die einzelnen Switch/Hub Ports zu konfigurieren sind siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Remote_Forti_Access_Points_FAP-11C.2C_FAP-14C_und_FAP-28C_die_Switch_Ports_konfigurieren.3F
Desweiteren ist zu berücksichtigen, dass der Traffic des Client/Host der sich über einen Switch/Hub Port der anhand "bridge to SSID" konfiguriert wurde, unweigerlich über CAPWAP zum FortiGate Wireless Controller gesendet wird da die SSID anhand "Tunnel to Wireless Controller" konfiguriert wurde. Möchte der Client/Host jedoch lokale Resourcen ebenfalls erreichen kann ab FortiOS 5.2 ein "Splitt Tunneling" konfiguriert werden. Dies erlaubt einen bestimmten IPv4 Range/Subnet am CAPWAP Tunnel vorbei zu routen. Wie dies konfiguriet wird siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F
Wenn die konfigurierte SSID auf einem Forti Access Point die ebenfalls für die Switch/Hub Ports benutzt wird um "bridge to SSID" zu konfigurieren nicht benötigt wird dh. Client/Hosts die SSID für einen Wireless Zugriff nicht benötigen, sollte diese deaktiviert werden. Dies kann nach Abschluss der Konfiguration im entsprechenden WTP Profile konfiguriert werden in dem der entsprechende "radio" komplett deaktiviert wird!
Wieviel Bandbreite benötigt ein Forti Access Point für CAPWAP in einer Remote Verbindung?
Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP (UDP-5246) für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:
• Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
• Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!
LAN Port's / Switch
Wie kann ich für einen Remote Forti Access Points FAP-11C, FAP-14C und FAP-28C die Switch Ports konfigurieren?
Die Remote Forti Access Points wie FAP-11C, FAP-14C und FAP-28C werden mit einem kleinen Switch/Hub ausgeliefert! Bis FortiOS 5.0.4 sowie für Forti Access Points FortiOS 5.0.5 waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:
Fuer die LAN Port Konfiguration gelten folgende Restriktionen:
• Beim FortiAP-14C/25D können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration da es sich
bei den Ports um ein Hub handelt!
• Jeder Client/Host der sich über die LAN Ports verbindet gilt als Authentifiziert!
• Dynamische VLAN Konfiguration für Client/Host die über die LAN Ports verbunden sind wird nicht unterstützt. Weitere Informationen
zur Dynamischee VLAN Konfiguration siehe nachfolgender Artikel:
FortiAP:FAQ#Kann_ich_f.C3.BCr_Forti_Access_Point_SSID.27s_.22Dynamische_VLAN.27s.22_vergeben_und_wie_konfiguriere_ich_diese.3F
• RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
• Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden. Dies gilt ab FortiOS 5.0.6
und Forti Access Point FortiOS 5.0.7!
Die LAN Ports können sofern gewünscht komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden WTP Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
# end
Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende Bedeutung:
• offline Der Port wird komplett deaktiviert!
• bridge-to-wan Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
• bridge-to-ssid Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
• nat-to-wan Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!
Bridge to SSID
Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
Client/Host über die LAN Ports, wird dem Client über den DHCP Server der für die SSID konfiguriert wurde, eine IPv4 Adresse zugewiesen.
Der Traffic des Clients/Hosts, der sich am LAN Port verbindet, wird zum FortiGate Wireless Controller gesendet. Ein "local bridging"
ist nicht möglich! Wireless Clients/Hosts die diese SSID benutzen sowie die Clients/Hosts die über den Switch Port verbunden sind,
können untereinander uneingeschränkt komunizieren. Es findet keine Authentifizierung auf den LAN Ports statt! Die Clients/Hosts, die
über die LAN Ports in diesem Modus verbinden, sind über den folgenden Menüpunkt ersichtlich:
WiFi Controller > Monitor > Client Monitor
Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen: Auf dem Forti Access
Point steht die DTLS Verschlüsselung per Standard auf "Clear Text oder "DTLS Enabled" dh. der Forti Access Point bietet beides an. Somit
steuert der FortiGate Wireless Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
Bridge to WAN
Es wird ein "bridge-to-wan" auf das "wan" Interface des Forti Access Point durchgeführt was folgendes bedeutet: Verbindet sich ein
Client/Host über die Switch Ports, wird dem Client/Host über den DHCP Server sofern dieser im "wan" Segment existiert, eine IPv4
Adresse zugewiesen. Wireless Clients/Hosts die über eine SSID auf dem Forti Access Point verbunden sind und Clients/Hosts die über
die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Firewall Policy Rule auf
der FortiGate konfiguriert wird die diesen Traffic erlaubt! Somit, wenn dies der Fall ist, wird der Traffic über die FortiGate
Device dh. über CAPWAP abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!
NAT to WAN
Es wird ein "nat-to-wan" auf dem "wan" Port des Forti Access Point durchgeführt dh. die Source des Traffic vom LAN Port wird
übersetzt (translated) anhand der IPv4 Adresse die auf dem "wan" Port existiert/konfiguriert wurde.
Die Konfiguration der Switch/Hub Ports kann ebenfalls über Mgmt. Web Interface durchgeführt werden und zwar unter folgender Position sofern es sich um ein WTP Profile eines Forti Access Points handelt der über einen Switch/Hub verfügt:
WiFi Controller > WiFi Network > Forti/Custom AP Profiles
Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port-ssid [Name der gewünschten SSID]
# set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# end
# set dtls-policy [ dtls-enabled | clear-text]
# end
Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F
Kann ich für einen Forti Access Points für dessen LAN Interfaces eine "Link Aggregation" konfigurieren?
Bis anhin war das nicht möglich. Neu ab FortiOS 5.4.1 ist eine Link Aggregation ausschliesslich für folgende Modelle möglich:
• FAP-320B und 320C
NOTE Durch Fortinet Informationen wird ebenfalls explizit erwähnt, dass folgende Forti Access Points keine
Link Aggregation unterstützen:
• FAP-112B und FAP-112D
Diese Forti Access Point's verfügen über 2 Interfaces und diese können über die Shell des Forti Access Point als Link Aggregation konfiguriert werden. Wie man sich auf einen Forti Access Point über Telnet verbindet wenn dieser zB keine Mgmt. Console verfügt (RS-232) siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Danach muss ein Login durchgeführt werden auf dem Forti Access Point:
# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point]
FAP22B3U11011877 login: admin
BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
Für die Link Aggregation muss folgendes Kommando ausgeführt werden:
# cfg -a WANLAN_MODE=AGGREGATE
Danach muss die Konfiguration geschrieben werden:
# cfg -c
Um die geschriebenen Konfiguration auszulesen benutze:
# cfg -s
Sniffer
Kann ich einen Forti Access Point als Sniffer benutzen um den Traffic aufzuzeichnen (capture)?
Ja diese Möglichkeit existiert jedoch mit folgenden Einschränkungen:
• Nur ein "radio" pro Aufzeichnung kann benutzt werden um den Sniffer auszuführen (capture)!
• Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden!
• Sniffer Mode wird für "radio" für 802.11ac nicht unterstützt (FortiOS 5.2.5 Bug ID 301726)!
Wenn ein "radio" für den Sniffer Mode konfiguriert wurde so wird lokal auf dem Forti Access Point ein File in folgendes Verzeichnis abgelegt:
/tmp/wl_sniff.pcap
Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des Forti Access Point wird durchgeführt, so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none" Persistent Verzeichnis handelt. Aus diesem Grund muss das File vor einem Neustart per TFTP auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren benutze folgende Kommandos:
# cd /tmp
# ls
wl_sniff.cap
# tftp
BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server
Options:
-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file
Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:
# tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IPv4 Adresse des TFTP Servers] 69
Um einen Forti Access Point in den Sniffer Mode zu versetzen, muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:
# config radio-1
# set mode disabled
# end
# config radio-2
# set mode sniffer
# set ap-sniffer-bufsize 32
# set ap-sniffer-chan 1
# set ap-sniffer-addr 00:00:00:00:00:00
# set ap-sniffer-mgmt-beacon enable
# set ap-sniffer-mgmt-probe enable
# set ap-sniffer-mgmt-other enable
# set ap-sniffer-ctl enable
# set ap-sniffer-data enable
# end
# end
Durch die nachfolgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:
ap-sniffer-add Definiert einen spezifischen Client/Host anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
ap-sniffer-chan Definiert einen spezifischen "channel"
Sobald die Konfiguration durchgeführt wurde, ist diese über Mgmt. Web Interface der FortiGate ersichtlich:
Datei:Fortinet-699.jpg
Wenn nun das entsprechende WTP Profile in dem der Sniffer Mode aktiviert wurde einem Forti Access Point zugewiesen wird, so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI lokal auf dem Forti Access Point verifiziert werden:
# iwconfig
Durch diesen Befehl werden die entsprechenden lokalen Interfaces des Forti Access Point aufgelistet und das entsprechende Interface ist im "monitor" Mode:
Mode: Monitor
Authentication
Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine "WPA2-Enterprise" Authentifizierung?
Wenn man für Wireless Clients/Hosts eine Authentifizierung implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme! Speziell wenn die Authentifizierung über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Wireless Client/Host zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung der Passwörter vers. "password hashing schemas" die jedoch nicht kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muesste der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn kein OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte, so ist die bevorzugte Variante eine Radius Server zu implementieren. Diese "Radius Authentication" verifiziert die Credentials des Wireless Clients/Hosts über den Radius Server im Active Directory. Durch diese Art der Authentifizierung wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Wireless Client/Host aus eine Verifizierung des Radius Servers erfolgt, sollte/kann dieser Radious Server anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Trusted CA) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich für die Verifizierung des Radius Servers. Als Radius Server können vers. Produkte eingesetzt werden! Die bevorzugte Variante ist anstelle eines Windows 2008 Server den Fortinet Radius Server zu benutzen resp. den FortiAuthenticator. Weitere Informationen zum FortiAuthenticator findet man unter folgenden Link:
FortiAuthenticator:FAQ
Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers basierend auf Windows 2008 Server:
Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf
Um die Radius Server Verbindung auf einem FortiGate Device zu troubelshooten resp. einzusehen siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F
Wie konfiguriere ich für Forti Access Points eine Authentifizierung für Public HotSpot der Swisscom ?
Nun ein Public HotSpot der Swisscom kennt grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:
Alte Variante SSID Hot Spot Swisscom
• SSID MOBILE (Authentication "Open")
• SSID MOBILE-EAPSIM (Authentication "WPA2-Enerprise" / Radius Port 1645)
Neue Variante SSID Hot Spot Swisscom
• Swisscom (Vorher MOBILE)
• Swisscom_Auto_Login (Vorher MOBILE-EAPSIM)
Die Schreibweise der alten/neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten Zeit lanciert werden benützen bereits die neuen SSID's und nicht mehr die alten!
SSID: MOBILE/Swisscom
Mit der SSID MOBILE oder Swisscom wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu
gelangen. Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese
SSID aufruft wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom
Login etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten
Arten wie zB Kreditkarte, Swisscom Login usw.
SSID: MOBILE-EAPSIM/Swisscom_Auto_Login
Die SSID MOBILE-EAPSIM oder Swisscom_Auto_Login steht ausschliesslich Swisscom Kunden zur Verfügung. Wenn der Kunde
diese SSID aufruft, wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius
Authentifizierung durchgeführt. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting
durchzuführen.
Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE oder Swisscom" sowie "MOBILE-EAPSIM oder Swisscom_Auto_Login" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. Im Beispiel werden nur die alten SSID aufgeführt jedoch sollten die neuen hinzugefügt werden. In unserem Beispiel existiert ein dedizierter Port (port2) der exklusiv für die Swisscom Verbindung benutzt wird und deren Segment darstellt. Nachfolgend einen Ueberblick über das Environment der Swisscom für unser Beispiel:
Datei:STUE WSTA.pdf Datei:STUE WLS.pdf
Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM oder Swisscom_Auto_Login Authentifizierung einen Radius Server. Erstelle diesen unter:
User > Remote > RADIUS
Datei:Fortinet-315.jpg
Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server konfiguriert. Dies bedeutet: in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem Verantwortlichen der Swisscom mitgeteilt werden, in welcher Art und Weise die MAC Adresse übermittelt wird um die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen. Diese bdeutet wiederum:
• Standard Format Beispiel: 0000.4096.3e4a
• Unformatiert Beispiel: 000040963e4a
Der Swisscom Radius Server in unserem Beispiel arbeitet noch mit dem "old radius port" dh. nicht mit TCP Port 1812 sondern mit TCP Port 1645. Eine FortiGate benützt per Standard TCP Port 1812 und somit muss dieser umkonfiguriert werden auf TCP Port 1645:
# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end
Um die Radius Server Konfiguration/Anbindung zu überprüfen siehe nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F
Für die Konfiguration der SSID "MOBILE oder Swisscom" und "MOBILE-EAPSIM oder Swisscom_Auto_Login" gehe folgendermassen vor: Als Erstes erstelle die SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM / Swisscom_Auto_Login" unter folgendem Punkt:
WiFi Controller > WiFi Network > SSID
Datei:Fortinet-310.jpg
Die IPv4 Adresse plus Subnet 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IPv4 Adresse wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:
System > Network > Interface
Datei:Fortinet-311.jpg
Die IPv4 Adresse plus Subnet 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:
System > Network > Interface
Nun erstelle ein WTP Profile in dem die zwei/vier SSID's hinzugefügt werden:
WiFi Controller > Manage Access Points > Custom AP Profile
Datei:Fortinet-312.jpg
Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei/vier SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM und Swisscom_Auto_Login" unter SSID den entsprechenden "radio's" hinzu! Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein seperates Interface auf einer Fortigate sowie einen DHCP Server auf diesem Interface, dass den Forti Access Point für das Management über den DHCP Server die entsprechende IPv4 Adresse vergibt. In unserem Beispiel haben wir ein dezidiertes Forti Access Point Interface dh. "port1":
System > Network > Interface
Datei:Fortinet-313.jpg
Erstelle den dazugehörigen DHCP Server der entsprechenden IPv4 Adressen vergibt für das Management der Forti Access Points:
System > Network > [Interface] > DHCP Server
Datei:Fortinet-314.jpg
Nun kann der Forti Access Point an "port1" resp. in diesem IPv4 Segment angeschlossen werden! Damit ein Forti Access Point mit dem FortiGate Wireless Controller komunizieren kann muss CAPWAP (UDP-5246) anhand Broadcast, Multicast sowie Unicast auf diesem Segmment über die Switches erlaubt werden. Nun muss das vorhergehende WTP Profil "Swisscom-HotSpot" auf den entsprechenden Forti Access Points hinzugefügt werden:
WiFi Controller > Manage Access Points > Manage FortiAP
Sobald der Forti Access Point ersichtlich ist, Doppelklicke den Eintrag dieses Forti Access Point und wähle:
Authorize
Nun kann unten das entsprechende WTP Profile geladen werden dh. "Swisscom-HotSpot". Wenn das entsprechende WTP Profile dem Forti Access Point zugewiesen wird dauert es ca. 3 - 4 Minuten bis dieser Forti Access Point wiederum mit dem geladenen WTP Profile erscheint! Im Grundsatz sind die Forti Access Point nun konfiguriert und einsatzbereit. Jedoch die angemeldeteten Wireless Clients/Hosts müssen vom DHCP Server der Swisscom eine IPcv4 Adresse zugewiesen bekommen. Bei "MOBILE und Swisscom" geschieht dies "ohne" eine Authentifizierung (Open). Bei "MOBILE-EAPSIM und Swisscom_Auto_Login" wird erst eine IPv Adresse vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's einen DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und Swisscom sowie MOBILE-EAPSIM / Swisscom_Auto_Login. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:
• SSID MOBILE / Swisscom (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
• SSID MOBILE-EAPSIM / Swisscom_Auto_Login (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
System > Network > [Interface] > DHCP Server
Datei:Fortinet-316.jpg
Datei:Fortinet-317.jpg
Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment/Subnet konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE / Swisscom und MOBILE-EAPSIM / Swisscom_Auto_Login Authentifizieren sich in diesem Segment, beziehen die IPv4 Adresse sowie browsen über dieses Segment. Dies bedeutet: sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir eine Policy Route im Layer 4 die vor dem normalen Routing Layer 3 greift:
Router > Static > Policy Route
Datei:Fortinet-318.jpg
Datei:Fortinet-319.jpg
Damit die IPv4 Adresse des Radius Server "129.132.254.70" ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:
Router > Static > Static Route
Datei:Fortinet-320.jpg
Nun fehlt nur noch die Firewall Policy Rule:
Datei:Fortinet-321.jpg
Datei:Fortinet-322.jpg
Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Interface (port2) einen Sniffer über die Console laufen zu lassen:
# diagnose sniffer packet port2
Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":
4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
Für das bessere Verständnis Folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM / Swisscom_Auto_Login auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies: Auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):
Datei:Fortinet-323.jpg
Wie erstelle ich für einen Forti Access Point ein sicheres WLAN Passwort und was ist dabei zu beachten?
Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Forti Access Point mindestens WPA2 konfiguriert sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Ebenso Wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares Paswwort zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist, wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste Variante. Allerdings können dann in dieser Variante auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken abermals um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Forti Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.
Wie kann ich für eine Forti Access Point SSID ein lokales "Captive Portal" konfigurieren?
Ein "Captive Portal" kann dann konfiguriert/benutzt werden, wenn der Traffic der Wireless Clients/Hosts über CAPWAP (UDP-5246) zum FortiGate Wirless Controller übermittelt wird. Dies bedeutet: Ein "Captive Portal" kann nicht benutzt/konfiguriert werden, wenn für eine SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum FortiGate Wireless Controller übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement (Local Break-Out). Ein "Captive Portal" wird über folgende Position im Mgmt. Web Interface der FortiGate konfiguriert:
WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal
Neu ab FortiOS 5.2 stehen im Zusamenhang mit dem "Captive Portal" neue Funktionen zur Verfügung! Speziell sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der Position "Authentication Portal" kann nun neu ab FortiOS 5.2 auch ein externes Portal dh. das sich nicht auf der FortiGate befindet, benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt List" von der "regulären Gruppe" (User Groups) Ausnahmen definiert werden! Diese "Exempt List" kann jedoch nur verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID benutzt wird. Weitere Informationen betreffend der Benutzung sowie Konfiguration eines externen "Captive Portals" siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_externes_.22Captive_Portal.22_konfigurieren.3F
Um ein "Captive Portal" innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security captive-portal
# set portal type [auth | auth+disclaimer | disclaimer | email-collect]
# set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
# end
# end
Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" definiert werden. Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich nicht anmelden müssen über das "Captive Portal" dh. diese können sich ohne Authentifizierung und ohne "Captive Portal" sowie "Disclaimer" verbinden! Die "Excempt List" wird folgendermassen konfiguriert:
# config user security-exempt-list
# edit [Name der Liste
# config rule
# edit [Vergebe einen entsprechenden Integer zB 1]
# set description [Bezeichnung der Liste Optional]
# set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
# set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
# end
# end
# end
Wie kann ich für eine Forti Access Point SSID ein externes "Captive Portal" konfigurieren?
Unter folgenden Artikel sind sind die Möglichkeiten eines "Captive Portals" beschrieben:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F
Wie in diesem Artikel beschrieben, ist es möglich ab FortiOS 5.2.3 ein externes "Captive Portal" zu benutzen anstelle des FortiGate "Captive Portals". Dies sollte dann benutzt werden, wenn das FortiGate "Captive Portal" nicht die HTML/Web Konfiguration zulässt die für das "Captvie Portal" notwendig ist wie zB Dynmaischer Inhalt der Seite usw. da solche Inhalte in den "Replacement Message" Page auf einer FortiGate nicht konfiguriert werden können. Nachfolgend wird gezeigt wie so ein Workflow eines externen "Captive Portal" aussieht:
L3 External Web Authentication Workflow
In diesem "Workflow" wird ein Beispiel gezeigt im Zusammenhang mit Radius Server dh. zB einem FortiAuthenticator. Dies bedeutet: Ab dem Zeitpunkt "Submit login form (username, password) via a POST method to FGT" werden die entsprechenden Login Informationen zur FortiGate übermittelt und verarbeitet. Ob nun ein Active Directory auf der FortiGate konfiguriert wurde oder Lokale User ist irrelevant dh. Wichtig ist das die entsprechenden Informationen anhand "POST methode" der FortiGate übermittelt werden!
Konfiguration der SSID mit der Definition des external Captive Portal"
Als Erstes muss eine entsprechende SSID konfiguriert werden. Inerhalb dieser SSID wird das external Captive Portal
gewählt mit dessen IPv4 Adresse sowie URL Path. Ebenso muss eine entsprechende Gruppe definiert werden in der sich
die User befinden oder auf einen zB Radius Server (FortiAuthenticator) verwiesen wird:
Für die definierte Gruppe kann ebenfalls eine "Exempt List" definiert werden. Weitere Informationen wie diese zu
konfigurieren ist siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F
Wenn die Konfiguration der SSID auf der Kommandozeile durchgeführt werden soll benutze folgende Befehle:
# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set ssid [Name der SSID]
# set security captive-portal
# set selected-usergroups [Name der Gruppe für die Authentifizierung]
# set security-exempt-list [Name der "Exempt List"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# set intra-vap-privacy enable
# set local-switching disable
# set external-web [IPv4 Adresse sowie URL Path zum external Captive Portal zB nach unserem Beispiel "192.168.234.51/portal.php"]
# next
# end
Wenn die Option "security-redirect-url" nicht gesetzt ist resp. keine entsprechende URL konfiguriert wurde, wird
die "Orginal Anfrage" des Users ausfgeführt anstelle des "redirect's". Die "Exempt List" Definition erlaubt "ohne
Authentifizerung" auf das externe "Captive Portal" zu zugreifen. Für die Option "security-exempt-list" ist folgendes
auszuführen:
# config user security-exempt-list
# edit [Name der "Exempt List"]
# config rule
# edit 1
# set devices [Name der Devices zB "ip-phone"]
# next
# edit 2
# set srcaddr [Name des Objektes der Source Adressen zB der SSID des "externen" Captive Portals]
# next
# end
# next
# end
Wenn die Option "external-web" nicht gesetzt wird so wird das "Captive Portal" der FortiGate aufgerufen. In der
Option "external-web" muss nicht explizit http oder https aufgeführt werden da http und/oder https über das
folgendende Kommando gesteuert wird:
# config user setting
# set auth-secure-http [disable | enable]
# end
Die Option "auth-secure-http" ist per Standard mit "disable" konfiguriert dh. der User wird der ein "http" Anfrage
ausführt für eine Authentifizierung wird "nicht" auf "https" weitergeleitet (redirect)!
Konfiguration der Firewall Policy Rule für den Zugriff auf das externe "Captive Portal"
Nun muss eine sogenannte "Walled Garden Policy" erstellt werden. Dies bedeutet folgendes: In der nachfolgend
Firewall Policy Rule wird erlaubt, dass User die verbunden sind mit der SSID des externen "Captive Portals"
sich ohne Authentifizierung zu diesem externen "Captive Portal" verbinden dürfen um eine Authentifizierung
durchzuführen. Die Option "captive-protal-exempt enable" ermöglicht dies obwohl eine SSID konfiguriert ist
mit einer Authentifizierung:
# config firewall address
# edit [Name des Objekts für die IPv4 Adresse des "external" Captive Portal zB "web-portal-192.168.234.51"]
# set subnet 192.168.234.51 255.255.255.255
# next
# end
# config firewall policy
# edit [Vergebe einen entsprechender Integer für die Policy]
# set srcintf [Name der SSID für das "externe" Captive Portal]
# set dstinf [Name des Interface hinter der sich der "externe" Captive Portal befindet]
# set srcaddr "all"
# set dstaddr [Name des Objektes für das "externe" Captive Portal zB "web-portal-192.168.234.51"]
# set action accept
# set schedule "always"
# set service "ALL"
# set caprive-portal-exempt enable
# next
# end
Die Grundkonfiguration für den Zugriff für das externe "Captive Portal" ist nun gegeben. In der SSID wurde das externe "Captive Portal" mit dessen IPv4 Adresse und URL konfiguriert. In unserem Beispiel ist das:
192.168.234.51/portal.php
Das File "portal.php das unser externes "Captive Portal" darstellt, muss nun die entsprechende HTML/PHP Konfiguration beinhalten um den "Method POST" durchzuführen. Nachfolgend ein Beispiel des Inhaltes ein entsprechendes "portal.php":
--------------- portal.php ---------------
<?php
define('login', 'login');
define('success', 'auth=success');
define('fail', 'auth=failed');
define('logout', 'logout=ok');
function getLeft($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, 0, $key_pos);
}
function getRight($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, $key_pos);
}
$myqury = $_SERVER['QUERY_STRING'];
$auth_string = 'fgtauth';
$magic = 'magic=';
$needle = '&';
$fgt_post = "post=";
if (stristr($myqury, login)) {
$pos = strpos($myqury, $fgt_post);
if ( $pos > 0 ) {
$start = $pos + strlen($fgt_post);
$fgt_url = substr($myqury, $start);
$post_url = getLeft($fgt_url, $auth_string);
$other_var = getRight($fgt_url, $magic);
$magic_pair = getLeft($other_var, $needle);
$magic_id = substr($magic_pair, strlen($magic));
$pre_act ='<table width="300" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="form1" method="post" action=';
$post_act = '>
<td>
<table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td colspan="3"><strong>Test Login</strong></td>
</tr>
<input type="hidden" name="magic" value=';
$post_magic = '>
<tr>
<td width="78">Username</td>
<td width="6">:</td>
<td width="294"><input name="username" type="text" id="username">
</td>
</tr>
<tr>
<td>Password</td>
<td>:</td>
<td><input name="password" type="text" id="password"></td>
</tr>
<tr>
<td> </td>
<td> </td>
<td><input type="submit" name="Submit" value="Login"></td>
</tr>
</table>
</td>
</form>
</tr>
</table>';
$login_form = $pre_act . $post_url . $post_act . $magic_id . $post_magic;
echo $login_form;
} else {
echo "login command without post url";
}
}
$mycmd = strtolower($myqury);
switch($mycmd) {
case success:
echo "here is success page";
break;
case fail:
echo "here is fail page";
break;
case logout:
echo "here is logout page";
break;
}
?>
--------------- portal.php ---------------
Der letzte Schritt der Konfiguration der nun vollzogen werden muss, ist was durchgeführt werden soll wenn die Authentifizierung auf dem externen "Captive Portal" erfolgreich durchgeführt wurde. Dabei gibt es zwei Möglichkeiten:
1. In der SSID ist die folgende Option gesetzt:
# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# end
Wenn diese Option benutzt wird so wird der User automatisch nach einer erfolgreichen Authentifizierung zu dieser konfigurierten
"security-redirect-url" weitergeleitet und es benötigt keine zusätzliche Konfiguration!
2. In der SSID ist die Option "security-redirect-url" nicht gesetz:
In so einer Situation wird die Orginal URL benützt die der User zu Beginn benutzt hat. Damit der User nach einer erfolgreichen
Authentifizierung zu dieser orginal URL weitergeleitet wird, muss die entsprechende "Replacement Message" Group konfiguriert
werden. Diese "Replacment Message" Groups arbeiten mit "tags" die dies ermöglichen. Nachfolgend ein Beispiel das für unsere
Konfiguration benützt werden kann:
# config system replacemsg auth "auth-success-page"
set buffer "<html>
<head>
<title>
Firewall Authentication
</title>
</head>
<body>
If JavaScript is not enabled, please
<a href=\"%%AUTH_REDIR_URL%%\">
click here
</a>
to continue.
<script language=\\\"JavaScript\\\">
window.location=\\\"%%AUTH_REDIR_URL%%?usermac=%%USER_MAC%%&apmac=%%AP_MAC%%&apip=%%AP_IP%%&userip=%%USER_IP%%&device_type=%%DEVICE_TYPE%%&continueURL=%%PROTURI%%&portalAddr=%%PORTAL_ADDR%%&redirectURL=%%AUTH_REDIR_URL%%\\\";
</script>
</body>
</html>"
end
Weitere Informationen zu den "Replacement Message" Groups siehe auch nachfolgender Artikel:
FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F
Wie kann ich für einen Forti Access Point Traffic für ein "Captive Portal" ohne Authentifizierung erlauben?
Ein User der eine Anfrage für eine bestimmte Domaine/Zieladresse durchführt, wird automatisch beim ersten Aufruf dieser Domain/Zieladresse zum entsprechenden "Captive Portal" - das für die entsprechende SSID konfiguriert wurde - weitergeleitet. Nachdem der User sich korrekt auf dem "Captive Portal" authentifiziert hat, wird die Anfrage des Users für die Domaine ausgeführt. Wenn man nun für eine bestimmte Domaine/Zieladresse keine Authentifizierung über das "Captive Portal" benützen möchte dh. wenn der User diese Domaine/Zieladresse aufruft, wird dieser direkt "ohne Authentifizierung auf dem Captive Portal" direkt zur entsprechender Domaine/Zieladresse weitergeleitet. Um dies zu konfigurieren muss eine bestimmte Policy erstellt werden und in dieser die Option "captive-portal-exempt" aktiviert werden. Diese Option steht ab FortiOS 5.2 zur Verfügung. Um die Konfiguration durchzuführen führe folgendes aus:
Erstellen eines Objektes für Domaine die erlaubt werden soll
# config firewall address
# edit "also.com"
# set type fqdn
# set fqdn "also.com"
# next
# end
Erstellen der Firewall Policy und Aktivierung der Option
# config firewall policy
# edit
# set srcintf "[Name der SSID auf dem ein Captive Portal konfiguiert wurde]"
# set dstintf "wan1"
# set srcaddr "all"
# set dstaddr "[Name des Adresss Objektes das wir erstellt haben zB "also.com"]"
# set action accept
# set schedule "always"
# set service "[Gebe den entsprechenden Service an zB HTTP]"
# set captive-portal-exempt enable
# set nat enable
# next
# end
Wird für eine Forti Access Point SSID Radius Server Authentifizierung die Funktion "Accounting" unterstützt?
Wenn ein zB WPA2-Enterprise Authentifizierung über Radius Server für eine SSID konfiguriert wird so wir Radius "Accounting" ab FortiOS 5.2 unterstützt. Bei der Radius "Accounting" Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IPv4 Adresse sowie Usernamen zum Radius Server übermittelt. Wenn Radius "Accounting" auf dem Radius Server benutzt wird, beginnt nach einer erfolgreichen Authentifizierung eine interne "Zurechnung". Diese interne "Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server, sendet dieser dem zuständigen Device zB der FortiGate eine "Accounting" Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei Wireless HotSpot's wie Swiccom benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt keine Radius Server "Accounting" Funktion. Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:
http://de.wikipedia.org/wiki/RADIUS_(Protokoll)
Um eine Radius Server "Accounting" Funktion seitens FortiGate zu konfigurieren muss folgendes durchgeführt werden:
# config user radius
# edit [Gebe den entsprechenden Namen ein]
# config accounting-server
# edit 1
# set status enable
# set server [IPv4 Adresse des Radius Servers]
# set secret [Definition des Preshared Secrets]
# end
# set acct-interim-interval [Zeitintervall in Sekunden 600 - 86400 Sekunden]
# end
Durch diese Konfigurtion sendet die FortiGate dem Radius Server Update Benachrichtigungen betreffend dem "Accounting" durch die konfigurierte "acct-interim-interval" Funktion! Durch die Konfiguration "acct-interim-interval" wird im Hintergrund auf dem API des Radius Servers folgende Information dem Radius Server gesendet, der dieses API unterstüzen/verstehen muss:
Acct-Interim-Interval=600
Wie wird für eine Forti Access Point SSID Authentifizierung einen MAC Filter (802.11x) Konfiguriert?
Praktisch jeder Wireless Access Point bietet die Möglichkeit den Zugang zur SSID einzuschränken anhand einer vordefinierten und eingetragener MAC-Adresse (Filter). Eine MAC Adresse (Media Access Control) ist ein 48-Bit lange Adresse im Hexadezimalcode. Jeder Netzwerk basierende Device ist mit einer solchen MAC Adresse ausgestattet und diese wird, um den Datenaustausch zu gewährleisten, über "arp request" zwischen den Devices ausgetauscht. Somit wäre diese MAC Adresse eigentlich eine gute Möglichkeit einen Zugriff einzuschränken jedoch ist folgendes zu berücksichtigen:
Diese MAC Adresse wird nicht durch den Device selber einem Teilnehmer (Device) im Netzwerk weitergegeben sondern über das
Betriebssystem. Somit ist es möglich die Information auf dem Betriebssystem zu verändern dh. manuell die Mac Adresse des
Devices zu verändern. Dies ist auch bekannt als "MAC-Spoofing" (Vorgabe einer fingierten MAC Adresse). Um ein "MAC-Spoofing"
durchzuführen muss man nur den Wireless Traffic sniffen (abhören), denn die Informationen des MAC Adressen Austausch (arp
request) werden "clear-text" übertragen. Somit ist eine reine Authentifizierung basierend auf MAC Adressen absolut nicht zu
empfehlen kann jedoch als zusätzliche Security Implementation konfiguriert werden!
Nichts desto trotz stellt jedoch eine MAC Adressen basierende Authentifizierung eine gute Möglichkeit dar, den Zugriff zusätzlich einzuschränken. Dabei kann zB der DHCP Server der SSID von "assign" auf "block" gesetzt werden. Dadurch vergiebt der DHCP Server nur IPv4 Adressen an Devices die im DHCP Server mit deren MAC Adressen eingetragen sind (MAC Adress Filer + IP Reservation). Im Zusammenhang mit einer WPA/WPA2 Authentifizierung kann somit durch dies Konfiguration eine zusätzliche Sicherheit gewährleisten werden. Zusätzlich kann ebenfalls eine "Device Authentification" durchgeführt werden dh. es werden nur Devices zugelassen wie zB IPhone's. Nachfolgendes Beispiel zeigt eine solche Erweiterung basierend auf MAC Adressen und Device Authentication. Basis dafür ist eine SSID basierend auf einer "wpa-personal" Authentifizierung. Diese Konfiguration kann jedoch mit jeglicher Authentifizierung durchgeführt werden:
Erstelle eine neue SSID basierend auf "wpa2-only-personal":
# config wireless-controller vap
# edit [Name der entsprechenden SSID zB "only4intern"]
# set vdom "root"
# set ssid [Name der entsprechenden SSID zB "only4intern"]
# set intra-vap-privacy enable
# set security [Setze die entsprechende Security für die SSID zB "wpa2-only-personal"]
# set passphrase [Passwort für die "wpa-personal" Authentifizierung]
# end
Konfiguriere das Interface für die SSID:
# config system interface
# edit [Name der entsprechenden SSID zB "only4intern"]
# set ip [IPv4 Adresse für das Interface der SSID zB "192.168.3.1 255.255.255.0"]
# set allowaccess ping
# set device-identification enable
# end
Definiere für das Interface der SSID eine DHCP Server basierend auf "block":
# config system dhcp server
# edit [Definiere einen entsprechenden Integer zB "5"]
# set mac-acl-default-action [Setze den DHCP Server von "assign" auf "block"]
# set dns-service default
# set ntp-service default
# set default-gateway [IPv4 Adresse für Default Gateway zB "192.168.3.1"]
# set interface [Defniere das Interface für diesen DHCP Server zB "only4intern"]
# set timezone-option default
# set netmask [Konfiguriere die Subnet Mask für den IP Range des DHCP Servers zB "255.255.255.0"]
# config ip-range
# edit [Definiere einen entsprechenden Integer zB "0"]
# set start-ip [Definiere die Start IPv4 Adresse des DHCP Servers zB "192.168.3.2"]
# set end-ip [Definiere die End IPv4 Adresse des DHCP Servers zB "192.168.3.254"]
# end
# end
Trage eine entsprechende MAC Adresse eines Device für den DHCP Server der SSID ein:
# config system dhcp server
# edit [Gebe einen entsprechenden Integer an zB "5"]
# config reserved-address
# edit [Gebe einen entsprechenden Integer an zB "0"]
# set mac [Definiere die entspechende MAC Adresse zB "94:65:9c:74:47:c6"]
# set ip [Definiere die IPv4 Adresse die der MAC Adresse zugewiesen werden soll zB "192.168.3.2"]
# end
# end
Da der DHCP Server von "assign" auf "block" gesetzt wurde, werden keine IPv4 Adressen durch den DHCP Server vergeben mit Ausnahme für Devices die anhand des "MAC Reservation + Access Control" definiert wurden. Diese Konfiguration kann ebenfalls über Mgmt. Web Interface durchgeführt werden für das entsprechenden Interface des FortiGate Devices dh.:
System > Network > [Markiere den Eintrag des Interface der SSID] > Edit > DHCP Server > Advanced > MAC Reservation + Access Control > Create New
Unter dieser Positon existiert ein "Standard Eintrag" dh. "Unknown MAC Adresses Block" der zuständig ist das nur definierten MAC Adressen eine IP zugewiesen wird!
Konfiguriere für den DHCP Server der SSID eine Device Authentication:
# config user device-access-list
# edit [Gebe einen Namen ein für die "device-access-list" zB "whitelist"]
# set default-action deny
# config device-list
# edit [Gebe einen Integer ein zB "1"]
# set device [Definiere den entsprechenden Device zB "iphone" (Für mehr Infos benütze "?"]
# set action accept
# next
# end
# end
# config system interface
# edit only4intern
# set device-identification enable
# set device-access-list [Konfiguriere die entsprechende "device-access-list" zB "whitelist"]
# next
# end
Ein Device und/oder eine Gruppe von Devices kann ebenfalls manuell definiert werden. Dies ist über Mgmt. Web Interface über folgenden Menüpunkt verfügbar:
User & Device > Device > Device definition > Create New
Weitere Informationen beteffend "config user devcie-access-list" findet man auch unter folgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_die_Device_Identification_Funktion_anhand_einer_Mac_Adresse_einen_Device_blocken_.28802.11x.29.3F
Somit kann nur der Device mit der MAC "94:65:9c:74:47:c6" der über ein "IPhone" verfügt und vom DHCP Server die IP Adresse "192.168.3.2" zugewiesen wurde über "wpa2-personal" anhand des entsprechenden "Passwortes" auf die SSID "only4intern" zugreifen. Obwohl eine relativ einfache Security anhand "wpa2-personal" gewählt wurde konnte durch zusätzliche Filter die Security erhöht werden.
Wireless Health
Gibt es eine Möglichkeit die Forti Access Points über den FortiGate Wireless Controller zu überwachen (Health Monitor)?
Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate anhand SNMP überwachen. Die Möglichkeiten über SNMP die Forti Access Points zu überwachen sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die über den FortiGate Wireless Controller angeschlossenen Forti Access Points über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende "Widgets" für die Uberwachung zur Verfügung:
WiFi Controller > Monitor
Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F
WIDS
Was bedeutet die Funktion "WIDS" (Wireless IDS) innerhalb eines WTP Profiles eines Forti Access Points?
"Wireless IDS" (WIDS) ist ein Intrusion Detection System und steht ab FortiOS 5.0 zur Verfügung sowie überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten (Log). Wenn ein Angriff stattfindet, wird dieser auf der FortiGate ins Wireless Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen:
• Unauthorized Device Detection
• Rogue/Interfering AP Detection
• Ad-hoc Network Detection and Containment
• Wireless Bridge Detection
• Misconfigured AP Detection
• Weak WEP Detection
• Multi Tenancy Protection
• MAC OUI Checking
Per Standard existiert ein Standard Profil "default". Dieses Profile wird innerhalb eine Access Point WTP Profiles als "default" automatisch unter FortiOS 5.0 ausgewählt! Dies ist jedoch ab FortiOS 5.2 nicht mehr der Fall dh. für die WIDS Funktion wird per Standard kein Profile automatisch ausgewählt. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS 5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet man im nachfolgenden Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F
Das "default" Profile für WIDS enthält folgendes:
FortiOS 5.0
WiFi Controller > WiFi Network > WIDS Profiles
# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
used-by :
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
FortiOS 5.2
WiFi Controller > WiFi Network > WIDS Profiles
# config wireless-controller wids-profile
# edit default
# get
name : default
comment : Default WIDS profile.
used-by :
ap-scan : enable
ap-bgscan-period : 600
ap-bgscan-intv : 1
ap-bgscan-duration : 20
ap-bgscan-idle : 0
ap-bgscan-report-intv: 30
ap-bgscan-disable-day:
ap-fgscan-report-intv: 15
ap-scan-passive : disable
rogue-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
FortiOS 5.4
WiFi Controller > WIDS Profiles
# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
ap-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
deauth-unknown-src-thresh: 10
Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Profile Positionen:
Split Tunneling
Wie konfiguriere ich für eine Forti Access Point SSID die Funktion "Split Tunneling"?
Wenn ein Forti Access Point zB für Remote benutzt wird, sei es als Remote Zugang und/oder in der Remote Lokation, konnten bis anhin im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate Wireless Controller gesendet wird. Ab FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet: anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt über die SSID zu erlauben ohne die SSID als "Local bridge with FortiAP's Interface" zu konfigurieren. Diese neue Funktion wird ausdrücklich nur im "Tunnel to Wireless Controller" Mode empfohlen! VLAN's im Zusammenhang mit der "Split Tunneling" Funktion wird nicht unterstützt. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt resp. muss aktiviert werden. Danach muss im entsprechendne WTP Profile des Forti Access Point das "Split Tunneling" konfiguriert werden:
# config wireless-controller vap
# edit [Name des entsprechenden SSID Profiles]
# set split-tunneling enable
# end
# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set dest-ip [IPv4 Adresse plus Subnet Mask zB "192.168.10.0/24"]
# end
# end
Die Option "split-tunneling-acl-local-ap-subent" bezieht sich auf "ganze" Subnet des Forti Access Point und muss nur dann aktiviert werden, wenn das Subnet in dem sich der Forti Access Point befindet als "ganzes" Subnet freigegeben werden soll! Somit wenn nur eine bestimmte IPv4 Adresse freigegeben werden soll, muss diese Option nicht aktiviert werden und die einzelne IPv4 Adressen können unter "dest-ip" definiert werden. Wenn die Funktion des "split-tunneling" benutzt wird ist folgendes zu berücksichtigen: Im Fall eines aktivierten "split-tunnling" wird ein "NAT" (Network Address Translation) durchgeführt dh. der Client der über eine SSID verbunden ist und eine Anfrage an eine IPv4 Adresse die für ein "split-tunneling" konfiguriert ist, wird hinter der Management IPv4 Adresse des Forti Access Point ein Source NAT durchgeführt (Hide behind outgoing Interface). Somit komuniziert der Wireless Client/Host zur Destination IPv4 Adresse als Source IPv4 Adresse diese Management IPv4 Adresse des Forti Access Point und nicht die IPv4 Adresse die dem Wireless Client/Host über die SSID zugewiesen wurde. Die Management IPv4 Adresse des Forti Access Point, ist die IPv4 Adrresse die dem Forti Access Point zugewiesen wird, wenn sich der Forti Access Point zum Forti Wirless Controller verbindet (CAPWAP).
CAPWAP / DTLS
Wieviel Bandbreite steht mir über CAPWAP auf einem FortiGate Wireless Controller für Forti Access Points zur Verfügung?
Wenn Forti Access Point über den FortiGate Wireless Controller verwaltet werden und dabei SSID benutzt werden im "Tunnel to Wireless Controller" Mode, stellt sich die Frage wieviel Bandbreite für diese Forti Access Point über CAPWAP zur Verfügung steht. Dies bedeutet: Die CAPWAP Bandbreite gibt die maximale Grösse an die eine FortiGate Wireless Controller verarbeiten kann betreffend Forti Access Points Traffic. Somit wird die CAPWAP Grösse nicht pro Forti Access Point berrechnet sondern als Totale Bandbreite die zur Verfügung steht. Neu wird diese CAPWAP Bandbreite in den FortiGate Datasheet's aufgeführt als HTTP was wiederum bedeutet: Um eine Referenz zu erhalten wird die Bandbreite anhand des HTTP Protokolls referenziert. Weitere Informationen siehe nachfolgendes Dokument:
Fortinet:ProduktInfo#FortiGate
Somit steht diese CAPWAP Bandbreite ebenfalls in Zusamenhang mit den maximal Anzahl Forti Access Points die über einen FortiGate Wireless Controller verwaltet werden können. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F
Nachfolgend eine Kurzübersicht über diesen "CAPWAP HTTP Throughput" für die Fortinet Produktelinie:
Wenn eine FortiGate Device über einen NP6 verfügt, kann dieser grundsätzlich den Traffic beschleunigen (Acceleration). Jedoch ist diese Funktion unter FortiOS 5.2 deaktiviert und nicht in Benutzung. Ab FortiOS 5.4 wird diese Funktion per Standard aktiviert um somit betreffend CAPWAP eine Beschleunigung zu ermöglichen.
Wird der CAPWAP Traffic zwischen einem FortiGate Wireless Controller und Forti Access Pointse verschlüsselt?
Der Traffic zwischen dem Ethernet "wan" Interface eines Forti Access Point und dem FortiGate Wireless Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei wird dieser Traffic "encapsulated" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen dem FortiGate Wireless Controller und den Forti Access Point kann die DTLS Verschlüsselung ab FortiOS 5.0 Optional aktiviert werden. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
Wie werden Forti Access Point über einen FortiGate Wireless Controller verwaltet/konfiguriert (CAPWAP)?
Der Standard der benutzt wird um die Forti Access Point über einen Fortigate Wireless Controller zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:
http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol
Die Ports die benutzt werden für CAPWAP sind per Standard:
UDP 5246 und 5247
Ab FortiOS 5.0.3 kann die CAPWAP Funktion auf den jeweiliegen FortiGate Interfaces über die "Administrative Access" Funktion aktiviert und deaktiviert werden.
System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP
Durch die Aktivierung von CAPWAP auf einem FortiGate Interface wird im Hintergrund eine automatische "Local-In" Policy konfiguriert, die den Traffic von CAPWAP vom Segment gemäss der Konfiguration des Interfaces und auf die IPv4 Adresse des FortiGate Interfaces zulässt. Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend dh. Anhand Zertifikate auf dem FortiGate Wireless Controller sowie auf dem Forti Access Point! Per Standard ist der "Data Channel" der durch die Wireless Clients/Hosts benutzen wird um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion auf dem FortiGate Wireless Controller aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
Wenn es betreffend Wireless Clients/Hosts im Zusammenhang mit DTLS Verschlüsselung zu Performance Problemen kommt, die zurück zu führen sind auf Defragmentierung, gibt folgender Artikel Auskunft was getan werden kann:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F
Wenn DTLS Verschlüsselung aktiviert wird so wird empfohlen den oberen Artikel zu berücksichtigen und die Konfiguration zur Verhinderung einer Fragmentierung durchzuführen!
Wie konfiguriere ich für ein Forti Access Point WTP Profile eine "Data Channel Encryption" (DTLS)?
DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic der Wireless Clients/Hosts, der vom Forti Access Point "wan" Interface zum FortiGate Wireless Controller übermittelt wird, innerhalb CAPWAP als "Data Channel" zu verschlüsseln. Somti wird der "Data Channel" "encapsulated" im CAPWAP. Per Standard wird dieser Traffic nicht verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen, dasd beide Seiten dh. der FortiGate Wireless Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert. Ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate Wireless Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance, die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate Wireless Controller die Funktion gesteuert werden. Wenn auf dem FortiGate Wireless Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funktion "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn die "automatic" Funktion (kein WTP Profile) die ab FortiOS 5.0 zur Verfügung steht benutzt wird, kann nur "clear-text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren führe folgendes durch:
Auf dem FortiGate Wireless Controller:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end
Auf dem FortiAP:
# cfg -a AC_DATA_CHAN_SEC=1
# cfg -c
Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:
• 0 is Clear Text
• 1 is DTLS Enabled
• 2 is Clear T ext or DTLS Enabled (default)
Unter FortiOS 5.4 gibt es für DTLS eine zusätzliche Option um DTLS direkt im Kernel zu aktivieren dh. da DTLS im Kernel direkt aktiviert ist, wird die Funktion Perfomanter resp. schneller da die Funktion für DTLS direkt im Memory über den Kernel durchgeführt wird. Um diese Funktion zu aktivieren benutze folgendes CLI Kommando:
Auf dem FortiGate Wireless Controller:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-in-kernel [enable | disable]
# end
Die Konfiguration auf dem Forti Access Point solle untern normalen Umständen nicht verändert werden da die Standard Konfgiguration "AC_DATA_CHAN_SEC=2" ist was wiederum bedeutet: Der Forti Access Point akzeptiert "clear-text" und/oder "dtls". Dies bedeutet wiederum die Funktion der DTLS Verschlüsselung kann über den FortiGate Wireless Controller gesteuert werden und muss auf dem Forti Access Pont nicht konfiguriert werden da dieser beide Methoden anbietet. Ebenfalls ist es für ein Troubleshooting möglich die Funktion ohne die Konfiguration zu ändern vorübergehend zu deaktivieren. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_die_DTLS_Funktion_f.C3.BCr_ein_Troubleshooting_vor.C3.BCbergehend_deaktivieren.3F
Wie kann ich für einen Forti Access Point innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern?
Die MTU Size auf den meisten Betriebsystemen ist auf max MTU Size 1500 gesetzt. Dieser Wert stellt eher ein suboptimalen Wert dar dh. wenn ein Wireless Client/Host ein grosses Packet über ein Forti Access Point sendet verfügt dieses Packet über eine max. MTU Size von 1500. Da dieses Packet auf dem Forti Access Point verschlüsselt werden muss, um über den CAPWAP Tunnel versendet zu werden, muessen Informationen zum 1500 MTU Size grossen Packet hinzugefügt werden. Geschieht dies, kann dieses Packet nicht mehr in einem Packet versendet werden da die Grösse max MTU Size 1500 übersteigt. Somit müssen in dieser Situation zwei Packete versendet werden. Dies stellt eine Defragmentierung dar und beieinträchtigt die Performance da anstelle eines Packets zwei Packete versendet werden müssen. Unter normalen Umständen geschieht dies nicht auf den Forti Access Point zurück zuführen auf den "overhead" des CAPWAP Tunnels da diese Information sehr klein sind. Wird jedoch DTLS Verschlüsselung aktiviert, muss diese Information auf dem Forti Access Point ebenfalls zu den existierendnen Headers hinzugefügt werden und dabei kommt es mit ziemlich grosser Sicherheit zu einer Fragmentierung. Die DTLS Strucktur sieht folgendermassen aus:
DTLS Packet Structure and Fields
I’ve been digging into the DTLS packet structure, looking for free bytes for some security related ideas I have been playing with.
This following is the DTLS packet structure:
| Type | Version | Epoch | Sequence Number | Length | IV | Data | MAC | Padding |
Type = (1 byte), Version (2 byte)
Epoch is incremented each rekey (2 byte)
Seq Num incremented per packet (6 byte)
Epoch + sequence number = IV for MAC
Length (2 byte) = IV + MAC + Padding
IV = Initial Vector = randomizer / seed used by encryption
Encrypted section: Data, MAC, Padding
MAC uses epoch and seq number for its sequence number (similar to an IV)
Padding added to get block size for crypto (16 or AES, 8 for DES)
Aus diesem Grund wird empfohlen im Zusammehang mit DTLS Verschlüsselung die nachfolgend Konfiguration durchzuführen. Durch diese nachfolgende Konfiguration wird der Wireless Client/Host angewiesen kleinere Packete zu versenden (max. transmission unit) anstelle der max. MTU Size 1500 um einen Fragementierung durch zusätzlich hinzugefügte TCP Header Informationen zu verhindern. Dabei ist folgendes zu berücksichtigen: Die Grösse der MTU Size hängt von der Punkt zu Punkt Verbindung ab dh. eine MTU Size wird immer über Punkt zu Punkt Verbindung verifiziert dh. Wenn die MTU Size auf zB 1442 gesetzt ist und der CAPWAP Tunnel wird zu einem FortiGate wan1 Interface aufgebaut und dieses ist auf 1462 gesetzt kommt es unweigerlich zur Fragementierung. Dies bedeutet ebenfalls die MTU Size Grösse unterliegt in erster Linie dem kleinsten Wert in einer Punkt zu Punkt Verbindung. Auf dem Forti Access Point dürfen somit nicht grössere Packete als der kleinste Wert in der Punkt zu Punkt Verbindung übermittelt werden. Somit ergiebt sich für den MTU Wert für einen Forti Access Point:
[Kleinster Wert der Punkt zu Punkt Verbindung] Minus [DTLS Crypto Packet Size] = [Wert für "ip-fragment-preventing"]
Für die Option "ip-fragment-preventing" stehen zwei Optionen zur Verfügung dh. "tcp-mss-adjust" oder "icmp-unreachable". Dabei ist folgendes zur berücksichtigen. Die Option "tcp-mss-adjust" ist eine Funktion (1 bit) innerhalb eines TCP Headers. Somit wird durch "tcp-mss-adjust" ausschliesslich TCP unterstützt und nicht UDP. Aus diesem Grund empfehlen wir "icmp-unreachable" da diese Funktion TCP und UDP unterschtützt. Die Funktion "ip-fragment-preventing" kann folgendermassen konfiguriert werden:
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profile]
# set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
# set tun-mtu-uplink [0 | 576 | 1500]
# set tun-mtu-downlink [0 | 576 | 1500]
# end
# end
tcp-mss-adjust
Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS)
zu senden. Der Forti Access Point fügt dem "SYN" TCP Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
und somit kann der Forti Access Point den Overhead des CAPWAP/DTLS hinzufügen und eine Fragmentierung verhindern.
icmp-unreachable
Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der Forti
Access Point Packete verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
Wenn dies eintrifft, sendet der Forti Access Point ein Packet zum Wireless Controller:
Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
tun-mtu-uplink
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!
tun-mtu-downlink
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!
Wie kann ich für einen Forti Access Point die DTLS Funktion für ein Troubleshooting vorübergehend deaktivieren?
Die DTLS Funktion dh. "Data Channel Encryption" wird im entsprechenden WTP Profile eines Forti Access Point aktiviert resp. deaktiviert. Da auf dem Forti Access Point die DTLS Funktion auf "clear-text und "DTLS" zur Verfügung steht, kann die Funktion über den FortiGate Wireless Controller gesteuert resp. konfiguriert werden dh. im entsprechenden WTP Profile aktiviert und/oder deaktiviert werden. Wenn aus irgendwelchen Gründen dies nicht möglich ist und die Funktion nur vorübergehend deaktiviert werden soll, kann dies über "diagnose wireless" Funktion für einen entsprechenden Forti Access Point durchgeführt werden. Dazu muss folgendes ausgeführt werden:
Liste alle Forti Access Points auf dem FortiGate Wirless Controller auf:
# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end
Aktiviere vorübergehend die "plain-ctl" Funktion (DTLS deaktiviert) auf einem entsprechenden Forti Access Point:
# diagnose wireless wlac plain-ctl FAP21D3U14000144 1
WTP 0-FAP21D3U14000144 Plain Control: enabled
Wenn die Option "1" benutzt wird so wird auf dem FortiGate Wireless Controller die Funktion "Plain Control" aktiviert. Wenn nachträglich die Option "0" benutzt wird so wird die "Plain Control" wiederum deaktiviert! Ebenso kann die Funktion "plain-ctl" Lokal auf dem Forti Access Point über "telnet" aktiviert resp. deaktiviert werden. Nachfolgender Artikel gibt Auskunft wie man Zugriff über "telnet" auf einen Forti Access Point erlangt:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Aktiviere dei "plain-ctl" Funktion auf dem Forti Access Point:
Nachdem einloggen kann folgendes Kommando Lokal auf dem Forti Access Point eingegeben werden um die "plain-ctl" Funktion zu aktivieren:
# cw_diag plain-ctl 1
Nachdem Troubleshooting deaktiviere die "plain-ctl" Funktion (DTL aktiviert) auf einem entsprechenden Forti Access Point:
# diagnose wireless wlac plain-ctl FAP21D3U14000144 0
WTP 0-FAP21D3U14000144 Plain Control: disabled
Ebenfalls muss auf dem entsprechenden Forti Access Point die "plain-ctl" Funktion deaktiviert werden:
# cw_diag plain-ctl 0
Weitere Informationen zur Funktion DTLS siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
Channel
Welche Radio "channel" muss ich auf dem Forti Access Point für verschiedenen Ländern benutzen?
Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:
Datei:Fortinet-304.jpg
Für den 5 GHz "channel" ist dabei der DFS (Dynamic Frequency Selection) Support der einzelnen Forti Access Points zur Verfügung steht zu berücksichtigen! Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
Datei:Fortinet-305.jpg
Datei:Fortinet-306.jpg
Was bedeutet es wenn ein Forti Access Point über den DFS (Dynamic Frequency Selection) Support verfügt?
Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden und zwar so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Dadurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar nur auf spezifischen Fortinet Modellen wie:
• FAP-221B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-222C Ab FortiOS 5.2.3 und nur für "European Union"
• FAP-320B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-321C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-323C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S422E Ab FortiOS 5.4.2 und nur für "European Union"
Datei:DFS Europe.pdf
Grundsätzlich gilt folgendes:
Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:
UNI1 : 4 Kanäle
UNI2 : 4 Kanäle
UNI2e : 7 Kanäle
UNI3 : 4 Kanäle
Für die Schweiz gilt:
Indoor: Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
Channels: 36 40 44 48 52* 56* 60* 64* 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
* Nur mit DFS Support!
Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
Channels: 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
* Nur mit DFS Support!
Somit gilt als komplett Uebersicht im 2.4 GHz und 5 GHz Bereich Folgendes:
• WLAN 2.4 GHz nach dem Standart IEEE 802.11b/g darf auf den Kanälen 1-13 mit einer Leistung von
100 mW EIRP innerhalb und ausserhalb von Gebäuden betrieben werden.
• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen 34-48 mit einer Sendeleistung
von 200mW EIRP nur innerhalb von Gebäuden betrieben werden.
• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen 52-64 mit einer Sendeleistung
von 200mW EIRP (100mW ohne TPC) nur innerhalb von Gebäuden betrieben werden. DFS muss
aktiviert sein.
• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen 100-140 mit einer Sendeleistung
von 1W EIRP (500mW ohne TPC) innerhalb und ausserhalb von Gebäuden betrieben werden. DFS
muss aktiviert sein.
Weitere technische Informationen zum DFS findet man auch unter folgenden Link:
http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection http://en.wikipedia.org/wiki/List_of_WLAN_channels http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de
Was bedeutet "overlapping wifi channels" für einen Radio eines Forti Access Point Konfiguration?
Wireless Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channel) genannt. Einer der Gründe, dass eine Verbindung Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird durch andere Forti Access Points oder fremde Access Poinst. Dadurch wird die Verbindung und schlussendlich die Performance beeinträchtigt. Aus diesem Grund sollte man dieses "overlapping" möglichst verhindern. Nachhfolgend eine Abbildung für den 2.4 GHz sowie 5 GHz Bereich der die verschiedenen Kanäle aufzeigt und dadurch entstehendes "overlapping":
Datei:Fortinet-330.jpg
Um herauszufinden welchen Kanal in der Umgebung verwendet wird durch eigenen Forti Access Point oder fremde Access Points, kann der Monitor auf dem FortiGate Wireless Controller benutzt werden. Siehe auch:
FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F
Dies bedeutet: man setzt einen "radio" auf einem Forti Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Somit muss in erster Stelle die Umgebung kurz analysiert werden um festzustellen welche Kanäle bereits benutzt werden. Danach kann im entsprechednen WTP Profile die entsprechenden Kanäle speziell im 2.4 GHz Bereich ausgewählt werden. Alle Kanäle zB im 2.4 GHz Bereich zu aktivieren und "Radio Resource Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar das "Radio Resource Provisioning" (DARRP) in jedem Fall zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zum "Radio Resource Provisioning" siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F
Desweiteren ist folgendes zu berücksichtigen: Wird eine Umgebung mit mehreren Forti Access Points aufgebaut ist es nicht zu empfehlen für alle Forti Access Points obwohl es sich um die gleichen Modelle handelt das gleiche WTP Profile zu benutzen. Wenn dies dennoch konfiguriert wird und der FortiGate Wireless Controller bemerkt ein "overlapping" wird da alle Forti Access Point das gleiche WTP Profile benutzen für alle den Kanal gewechselt. Damit sollten logisch gesehen für eine Umgebung mit mehreren Forti Access Point diese anhand mehrerer WTP Profiles betrieben werden. Konkret bedeutet dies folgendes: Muss eine Umgebung aufgebaut werden in einem Gebäude zB 3 Stockwerke sollten für jedes Stockwern mind ein WTP Profile konfiguriert werden mit unterschiedlichen Kanälen. Zustätzlich sollte analysiert werden ob die einzelnen Forti Access Points in den einzelnen Stockwerken oder über die einzelnen Stockwerke hinweg sich sehen. Ist dies der Fall sollte auch hier einzelne WTP Profiles konfiguriert werden. Dies kann mit einem einfachen Trick bewerkstelligt werden. Ueber Mgmt. Web Interface oder über CLI konfiguriere ein entsprechendes WTP Profile. Nach der Konfiguration führe auf der CLI folgendes aus:
# show wirless-controller wtp-profile [Name des konfigurierten WTP Profiles]
Danach wird als Beispiel folgendes ausgegeben auf der CLI:
config wireless-controller wtp-profile
edit "FAP-1-Stock-Rechts"
set comment "FortiAccess Point FAP221C Stock 1 Rechts"
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "3" "8" "13"
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end
Nun kopiere den "output" in ein Text File und ändere folgende Position ab:
config wireless-controller wtp-profile
edit "FAP-1-Stock-Links"
set comment "FortiAccess Point FAP221C Stock 1 Links"
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "1" "6" "11"
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end
Führe dies durch führ jedes WTP Profile resp. Forti Access Point. Danach kann der "output" wiederum 1:1 per copy/paste in die CLI des FortiGate Devices reinkopiert werden. Nun als letzten Schritt muss nur noch das entsprechende WTP Profile dem entsprechenden Forti Access Point zugewiesen werden. Somit verfügt jeder Forti Access Point über sein eigenes kontrollierbares und konfigurierbares WTP Profile und kann bei Problemen angepasst werden. Diese granulare Konfiguratin gewährleistet eine optimale Konfiguration und dauert einige Minuten die zu vernachlässigen sind.
Wie kann ich auf einem Forti Access Point herausfinden welche "channel" ich benutzen soll um "overlapping" zu verhindern?
Wenn ein Forti Access Point eigerichtet wird, müssen die "channel" (Kanäle) speziell im 2.4 GHz Bereich definiert/konfiguriert werden. Dazu stehen in der Schweiz 13 Kanäle für den 2.4 GHz Bereich zur Verfügung. Alle Kanäle zu selektieren sowie "Radio Resource Provisioning" (DARRP) wäre die falsche Vorgehensweise da es so gezwungenermassen zu Problemen kommt sowie zu einem "ovelapping wifi channels"t. Weitere Informationen zu den Länderspezifischen Channels sowie "Radio Resource Provisioning" siehe folgende Artikel:
FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F
Daher benötigt es speziell im 2.4 GHz Bereich eine Analyse der bereits benutzten "channel" in der Umgebung. Dies kann über die "dedicated monitoring" Analysiert werden. Eine weitere Variante wäre auf einem Client/Host die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:
FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F
Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhelfen dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" aufgelistet. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese "channel" aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden die im WTP Profile konfiguriert werden:
# get wireless-controller rf-analysis
WTP: FAP14C3X13000543 0-193.193.135.70:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 90 7 6 11
2 45 10 0 11
3 127 4 2 11
4 33 10 0 11
5 38 10 3 16
6 19 10 0 10
7 23 10 0 10
8 45 10 0 8
9 192 1 5 16
10 57 9 0 13
11 46 10 0 13
12 63 9 0 13
13 231 1 8 13
14 53 10 0 8
WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2
Controller: FGT60D4613048017-0
channel rssi_total
1 243
2 136
3 397
4 109
5 114
6 52
7 56
8 95
9 406
10 125
11 108
12 152
13 560
14 132
40 216
44 30
48 70
Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen "channel" mindestens 4 freizulassen. Dies wäre Optimal kann jedoch nicht immer speziell im 2.4 GHz Bereich konfiguriert werden. Es kann auch anhand der "wtp-id" (Serien Nummer) nur ein spezifischer Forti Access Point aufgelistet werden:
# get wireless-controller rf-analysis FAP22B3U11011877
WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2
Desweiteren kann mit folgenden Befehl alle Fortti Access Point's augelistet werden, die durch den Scan erkannt werden:
# get wireless-controller scan
CMWF VF SSID BSSID CHAN RATE SIGNAL NOISE INT CAPS ACT LIVE AGE WIRED
(dBm) (dBm)
UNNN 0 00:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336613 52253 ? WME VEN VEN ATH
UNNN 0 12:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 22:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 32:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336763 52252 ? WME VEN VEN ATH
UNNN 0 42:09:0f:95:30:f0 8 11M -90 -95 100 ESs N 336618 52253 ? WME VEN VEN ATH
UNNN 0 4ourguests 58:97:1e:b3:4c:70 9 216M -45 -95 102 ESs Y 343847 203 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:71 9 216M -57 -95 102 ESs N 343847 1146 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:72 9 54M -57 -95 102 EPSs N 343847 1144 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:74 9 54M -42 -95 102 EPSs Y 343847 548 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:75 9 54M -59 -95 102 EPSs Y 343847 544 ? RSN VEN VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:76 9 216M -44 -95 102 EPSs Y 343847 203 ? RSN WPA WME VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:79 48 450M -60 -95 102 EP Y 343830 811 ? RSN WPA WME VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7a 48 54M -60 -95 102 EP N 342030 9211 ? RSN VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7b 48 54M -60 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7d 48 54M -59 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7e 48 450M -59 -95 102 E Y 340230 811 ? WME VEN VEN VEN VEN
Gibt es eine Möglichkeit alle Access Points aufzulisten für die ein "overlapping channel" stattfindet (Interfering AP's)?
Wenn Forti Access Points speziell im 2.4 GHz Bereich installiert werden, muss darauf geachtet werden, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfinden. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:
FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F
Um die Konfiguration der Forti Access Points nachträglich zu kontrollieren, gibt es über folgende Position die Möglichkeit event. "overlapping channel" resp. Interferenzen zu kontrollieren:
WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)
Diese Widget zeigt auf ob durch den FortiGate Wireless Controller event. "overlapping channel" (Interferenze) bestehen. Siehe auch:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F
Dies wird in den "Widget" unter der folgender Position aufgeführt:
Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:
Wird ein entsprechende Position unter "Interfering AP's" angewählt, sieht man die Details wie "MAC Adresse des AP's, SSID, benutzter Channel und Signalstärke". Dabei ist die Signalstärke korrekt einzuschätzen dh. Auch wenn ein "overlapping channel" stattfindet jedoch die Signalstärke des Access Points schlecht ist, sind die Interferenzen zu vernachlässigen:
Es ist je nach Anzahl der Access Points nicht immer möglich "overlapping channel" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Wireless Clients/Host den 5 GHz Bereich unterstützen, sollte der 2.4 GHz Bereich gemieden werden! Dies wird auf modernen Devices automatisch vollzogen dh. zB ein IPhone unterstützt 2.4 GHz sowie 5 GHz jedoch benützt sofern irgendwie möglich nur 5 GHz!
Site Survey
Gibt es eine Möglichkeit anhand eines Forti Access Point ohne FortiGate Wireless Controller die Wireless Abdeckung zu testen?
Diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort für einen "Site Survey" einzusetzen und dies ohne FortiGate Wireless Controller. Wenn eine grössere Umgebung mit Forti Access Point ausgerüstet werden soll, muss festgestellt werden wieviele Forti Access Points benötigt werden sowie wo diese installiert werden sollen um eine möglichst gute Abedeckung zu erzielen. Die "Site Survey" Funktion eines Forti Access Point ermöglicht eine definierte SSID auf einem Forti Access Point lokal zu diesem Zweck zu konfigurieren und zu betreiben. Anhand eines Tools auf einem Client/Host zB SSIDer kann nachträglich Vorort die Abedeckung anhand dieser SSID kontrolliert und somit den idealen Standort für den Forti Access Point herausgefunden werden. Diese Funktion des "Site Survey" kann mit jedem Forti Access Point durchgeführt werden, jedoch ist der FAP-221B/FAP-223B sowie FAP-221C/FAP-223C zu empfehlen. Wenn ein Forti Access Point benützt wird für ein "Site Survey" muss berücksichtigt werden, das zB ein FAP-221B/C sowie FAP-223B/C über keinen mitgelieferten Power Adapter verfügt sondern über PoE betrieben werden. Die Power Adapter für diese Modelle können jedoch seperat bestellt werden. Weitere Informationen dazu siehe nachfolgeden Artikel:
FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_Forti_Access_Point_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F
Um auf einem Forti Access Point lokal über CLI eine SSID für "Site Survey" zu konfigurieren führe folgendes aus:
1. Verbinde den Forti Access Point mit einem Client/Host über die Ethernet Interface's; Konfiguriere auf der Ethernet
Schnittstelle des Client/Host folgende IPv4 Adresse:
192.168.1.1/24 (Kein Gateway, Kein DNS)
2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface
folgende IPv4 Adresse konfiguriert:
192.168.1.2/24
Weitere Informationen zu "default" IPv4 Adresse eines Forti Access Point siehe nachfolgender Artikel:
FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
3. Verbinde dich per "telnet" auf die IPv4 Adresse des Forti Access Point:
> telnet 192.168.1.2
4. Aktiviere den entsprechenden "Site Survey" Mode auf dem Forti Access Point anhand folgenden Befehls:
# cfg –a AP_MODE=2
# cfg -c
AP_MODE=2 bedeutet "Site Survey". Per Standard ist konfiguriert 0"Thin AP"! Weitere Informationen findet
man ebenfalls unter folgenden Artikel:
FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F
5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!
6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann
nun die Abedeckung Vorort mit einem Tool wie zB SSIDer überprüft werden!
7. Soll die SSID oder andere Werte für die SSID im "Survey Mode" angepasst werden stehen folgende Einstellungen
zur Verfügung:
• SURVEY_SSID='FAP_SURVEY' --> Diese Option vergibt den Namen für die SSID im "Site Survey" Mode.
• SURVEY_TX_POWER=30 --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige Forti Access Points gilt ein Maximum von 17dBm.
• SURVEY_CH_24=6 --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
• SURVEY_CH_50=36 --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
• SURVEY_BEACON_INTV --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
Wenn die Werte für "Site Survey" konfiguriert werden müssen diese folgendermassen konfiguriert werden:
# cfg -a [Entsprechende Option mit deren Wert]
# cfg -c
8. Nach einem "Site Survey" ist es empfohlen den Forti Access Point wieder auf Factory Default zu setzen. Dies
wird folgendermassen durchgeführt:
# cfg -x
oder
# factoryreset
# reboot
Konfiguration
Was bedeutet der Konfigurationspunkt "security" (Security Mode) innerhalb einer SSID Konfiguration?
Für einen SSID auf einem Forti Access Point können verschiedenen Security Mode benutzt werden dh. zB WPA2 Enterprise. Die üblichen Security Mode's können über das Mgmt. Web Interface konfiguriert werden:
• Open
• Captive Portal
• WPA2 Personal
• WPA2 Personal with Captive Portal
• WPA2 Enterprise
Ueber CLI stehen jedoch weitere Security Mode zur Verfügung:
FortiOS 5.0
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
# end
FortiOS 5.2/5.4
# config wireless-controller vap
# edit [Name des SSID Profile]
# set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
# end
Zusätzlich kann über CLI die Encryption für den Security Mode gesetzt werden sofern WPA benutzt wird. Per Standard wird für WPA die AES Encryption benutzt. Ebenso kann der Key Interface anhand "gtk-rekey-intv" gesetzt werden. Dieser ist per Standard auf 3600 gesetzt:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set encrypt [AES | TKIP | TKIP-AES]
# set gtk-rekey-intv [Intervall in Sekunden von 60 bis 864000; Standard 3600]
# end
Wenn zB für WEP ein Key definiert werden muss dh. das Passwort ist in den meisten Fällen 1 Passwort zu setzen. Einige Wireless Clients/Hosts dh. Treiber und Software unterstützen die Defintion von mehreren Key's. Wenn dies der Fall ist können mehrer Passwörter definiert werden und somit muss der "keyindex" erweitert werden mit der Anzahl zu definierenden Passwörter:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# keyindex [1 | 2 | 3 | 4]
# end
Was bedeutet der Konfigurationspunkt "schedule" innerhalb einer SSID Konfiguration?
Bis anhin unter FortiOS 5.0 sowie 5.2 war es nicht möglich eine SSID Zeitgesteuert zu aktivieren/deaktivieren. Neu unter FortiOS 5.4 ist dies nun möglich. Per Standard stehen alle konfigurierten SSID auf dem "schedule" Objekt "always". Möchte man Zeitgesteuert eine SSID aktivieren/deaktivieren, muss vorgängig ein "Schedule" Objekt erstellt werden, dass nachträglich unter der SSID konfiguriert werden kann. Ein "Schedule" Objekt wird unter folgender Position konfiguriert:
Policy & Objects > Schedules > Create New > Schedule
Danach kann anhand "Recurring" (Wiederholend), "Days" (Tagen) sowie einer "Start Time" und "Stop Time" ein "Schedule" Objekt erstellt werden. Ein zeitgesteuertes Objekt basierend auf "Schedule Group" kann nicht innerhalb einer SSID konfiguriert werden. Nachträglich kann das "Schedule" Objekt innerhalb der SSID konfiguriert werden. Dazu wähle im Mgmt. Web Interface folgendes:
WiFi Controller > SSID > Schedule > [Wähle das entsprechende "Schedule" Objekt]
Wenn ein "Schedule" Objekt auf CLI konfiguriert werden soll und dieses nachträglich ebenfalls auf CLI für die entsprechende SSID konfiguriert werden soll führe folgendes aus:
# config firewall schedule [recurring | onetime]
# edit [Name des entsprechenden "Schedule" Objekt zB "daily-0800-1700-business-hour"]
# set start [Gebe die Start Zeit ein zB "08:00"]
# set end [Gebe die End Zeit ein zB "17:30"]
# set day [Gebe die entsprechenden Tage ein für den "Schedule"; monday | tuesday | wednesday | thursday | friday | saturday | sunday]
# end
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set schedule [Wähle das entsprechende "schedule" Objekt; Standard "always"]
# end
Was bedeutet der Konfigurationspunkt "Override Settings/Automatic" innerhalb einer Forti Acces Point Konfiguration?
Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes WTP Profile zu zuweisen. Dies bedeutet: In diesem WTP Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses WTP Profile, das auf den entsprechenden Forti Access Point abgestimmt is, wird nach dessen Erstellung dem Forti Access Point über "Managed FortiAPs" zugewiesen. Ab FortiOS 5.0 ist es möglich anstelle dieses WTP Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende WTP Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:
Datei:Fortinet-333.jpg
Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt:
# config wireless-controller wtp
# edit [Name/Serien Nr. des entsprechenden Profiles]
# set override-profile enable
# end
# end
Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:
Was bedeutet der Konfigurationspunkt "Scan Outgoing Connections to Botnet Sites" innerhalb einer SSID Konfiguration?
Dieser Konfigurationspunkt unter FortiOS 5.4 ist nicht Wireless Spezifisch sondern steht jedem FortiGate Interface zur Verfügung. Weitere Informationen zu dieser Funktion siehe nachfolgender Artikel:
FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_Verbindungen_zu_.22botnet.22_Servern_blocken_oder_.C3.BCberwachen.3F
Was bedeutet der Konfigurationspunkt "Active Scanning" innerhalb einer SSID Konfiguration?
Dieser Konfigurationspunkt steht im Zusammenhang mit "Network Devices" resp. "Device Detection" und steht nur unter FortiOS 5.4 zur verfügung. Wenn "Device Detection" aktiviert wird und diese Funktion der "Device Detection" kann einen entsprechenden Device nicht identifizieren, wird dieser anhand "Active Scanning" Passive gescannt. Dabei wird die gleiche Technik angewandt wie in einem "vulnaribility scan". Diese Funktion wird auf allen Devices die "vulnerability scan" unterstützen per Standard aktiviert. Wir empfehlen im Wireless Bereich zwar die "Device Detection" zu aktivieren jedoch das "Active Scanning" per Standard zu deaktvieren sowie diese Funktion nur punktuell zu benutzen. Um die Funktion "Active Scanning" zu benutze muss "Device Detection" zuerst aktiviert werden. Dies kann im Mgmt. Web Interface durchgeführt werden für die entsprechende SSID oder über CLI:
WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Active Scanning
# config system interface
# edit [Gebe das entsprechende Interface an zB "dmz"]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end
Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic" innerhalb einer SSID Konfiguration?
Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind, können die User sofern "Block Intra-SSID Traffic" deaktiviert ist, nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke, von einem Device im selben Segment/IP Range (SSID). Dies gilt bis 5.4.0 ausschliesslich für "Tunnel To Wireless Controller" basierende SSID und nicht für "Local bridge with FortiAP's Interface". Ab FortiGate/FortiAP FortiOS 5.4.1 gilt dies für beide Modes dh. auch für "Local bridge with FortiAP's Interface". Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Forti Access Point resp. SSID komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:
Block Intra-SSID Traffic Aktiviert
# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy enable
# set local-switching disable
# end
Block Intra-SSID Traffic Deaktiviert
# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy disable
# set local-switching enable
# end
Was bedeutet der Konfigurationspunkt "Broadcast SSID" innerhalb einer SSID Konfiguration?
Wenn auf einem Forti Access Point eine SSID konfiguriert wird so wird diese per Standard über Broadcast mitgeteilt. Dies erlaubt dem Wireless Host/Client diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn der Broadcast der SSID unterbunden werden soll, kann dies für FortiOS 5.4 über Mgmt. Web Interface konfiguriert werden oder für FortiOS 5.0 sowie 5.2 in der CLI:
WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Broadcast SSID
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set broadcast-ssid [enable | disable]
# end
Die ebenfalls existierende Option "broadcast-suppress" unter der SSID resp. "wireless-controller vap" steht nicht im Zusammenhang mit der Option "broadcast-ssid". Die Option "broadcast-suppress" verhindert das ARP und/oder DHCP Broadcassts nicht zu den Forti Access Point's versendet werden die über die gleiche SSID verfügen resp. konfiguriert haben! Weitere Informationen zu "broadcast-suppress" siehe nachfolgender Artikel:
FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F
Was bedeutet der Konfigurationspunkt "fast-roaming" innerhalb einer SSID Konfiguration?
Wenn Wireless Clients/Hosts sich in einem Wireless Netzwerk befinden/verbunden sind speziell zB mit Mobile Devices, kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen sich in Reichweite befindenden Forti Access Point wieder verbunden. Dadurch wird eine erneute Authentifizierung ausgelöst. Möchte man diese erneute Authentifikation verhindern so muss "fast-roaming" aktiviert werden was auf jeder SSID eines Forti Access Point der Fall ist. "fast-roaming" benützt 2 Unterschiedliche Techniken:
• Pairwise Master Key (PMK) Caching
Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im Cache abgelegt wird der mit dem ersten Access Point mit dem sich der
User zu Beginn verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch bekannt als "fast roam back"!
• Pre-authentication oder "fast-associate in advance"
Aktiviert einen 802.11 Access Point der mit einem Client/Host verbunden ist um den verbundenen Client/Host auf eventuell weiteren Access Points
zu authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen weiteren Access Points auf dem sich der Client/Host verbinden könnte
dh. es veranlasst den Access Point auf dem der Client verbunden ist, diesen PMK abzulegen um zukünftige Authentifizierung für den Client/Host
durchzuführen ohne das dieser eine Authentifizierung selber/manuell erneut durchführen muss.
# config wireless-controller vap
# edit [Name der SSID]
# set fast-roaming enable
# end
Was bedeutet der Konfigurationspunkt "multicast-enhance" (Frame Acknoledgement) innerhalb einer SSID Konfiguration?
Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" durchgeführt. Dieser Umstand kann Multicast" Uebermittlungen über die Forti Access Point's verlangsamen und somit die Performance im Multicast Bereich beeinträchtigen. Um diesen Umstand entgegenzutreten, kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine optimale Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:
# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set multicast-enhance [enable | disable]
# end
Dieses Kommando "multicast-enhance" aktiviert die Konvertierung von Multicast zu Unicast jedoch muss ein "threshold" konfiguriert werden dh. der Zeitpunkt ab dem Multicats zu Unicast umkonvertiert wird. Dies wird anhand "me-disable-thresh" konfiguriert. Dieser "thresold" konfiguriert eine obere Grenze für die Multicast Erweiterung dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (Anzahl Forti Access Point's).
# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
# end
Was bedeutet der Konfigurationspunkt "probe-resp-suppression" (Probe Respond Suppression) innerhalb einer SSID Konfiguration?
Um dem Wireless Client/Host eine Verbindung auf einen Forti Access Point zu ermöglichen, sendet der Forti Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22beacon-interval.22_innerhalb_einer_WTP_Profile_Konfiguration.3F
Auf der Wireless Client/Host Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln den "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel: Werden diese "probe request" Frame vom Wireless Client/Host an den Forti Access Point gesendet um über den "probe response" Informationen über einen Wireless Client/Host im gleichen Wireless Netzwerk zu erhalten. Ebenfalls wird zB diese Funktion von Sniffer Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Forti Access Point über die folgende Option gesteuert:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set probe-resp-suppression [enable | disable]
# set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
# next
# end
Per Standard ist "probe-resp-suppression" deaktiviert dh. Die Funktion selber kann nicht komplett deaktiviert werden durch "enable". Jedoch kann durch den Werte "dBm" der Wert gesetzt werden in welchem Range ein "prope response" gesendet werden soll. "probe request" ausserhalb des Ranges werden nicht mehr beantwortet mit einem "probe response". Ebenfalls ist zu berücksichtigen, dass viele Mobile Wireless Clients/Hosts diese Funktion sobald eine Verbindung zu einem Forti Access Point etabliert wurde deaktivieren um deren Akkus zu schonen!
Was bedeutet der Konfigurationspunkt "broadcastsuppression" (Broadcast Suppression) innerhalb einer SSID Konfiguration?
Innerhalb einer SSID kann die Option "broadcastsuppression" mit verschiedenen Werten gesetzt werden. Dabei können verschiedenen Werte gleichzeitig gesetzt werden und der Fokus der Option liegt darin Broadcast Informationen im Zusammenhang mit ARP zu unterdrücken. Weitere detaillierte Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F
Was bedeutet der Konfigurationspunkt "pmf" (Protected Management Frames) innerhalb einer SSID Konfiguration?
Protected Management Frames schützen einige Management Frames wie zB "deauthorization", "disassociation" sowie "action" Frames for Angriffen. Dieses Feature wurde zwingend Notwendig für den Standard 802.11ac um zu verhindern, dass Angreifer "deauthorization/disassociation" Frames sendet um Verbindungen zu unterbrechen oder gänzlich zu verhindern. Diese Funktion PMF wurde spezifiziert in IEE 802.11w. Per Standard ist jedoch diese Funktion nicht aktiviert sollte jedoch aktiviert werden für Fortinet Access Points die über den 802.11ac Standard verfügung wie zB FAP-221C. Die Funktion wird folgendermasse aktiviert:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set pmf [disable | enable | optional]
# set pmf-assoc-comeback-timeout [1 - 20 Sekunden; Standard 1]
# set pmf-sa-query-retry-timeout [1 - 5 = 100ms - 500ms]
# next
# end
Die Option "pmf optional" Bedeutet folgendes: Optional wird PMF aktiviert und Clients/Workstations ohne PMF werden erlaubt.
Was bedeutet der Konfigurationspunkt "okc" (Opportunistic Key Caching) innerhalb einer SSID Konfiguration?
Die Option "okc" innerhalb einer SSID bedeutet: Opportunistic Key Caching und hat folgende Funktion: Wenn ein Client im Zusammenhang mit WPA/WPA2-Enterprise Authentifizierung eine Authentifizerung durchführt und diese Erfolgreich abgeschlossen wird so wird der PMK Identifier auf diesem Fortinet Access Point gespeichert und zu allen anderen Fortinet Access Point Distribuiert resp. in den Cache aller Fortinet Access Points geschrieben. Wenn ein Authentifizierter Client somit den Fortinet Access Point im Fast-Roaming/Roaming Verfahren wechselt, muss kein vollständiger EAP Exchange Voragang mehr ausgeführt werden da die Information für den Client bereits auf den Fortinet Access Points im Cache zur Verfügung steht. Diese Funktion kann innerhalb eine SSID folgendermassen aktiviert werden:
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set okc [disable | enable]
# next
# end
Was bedeutet der Konfigurationspunkt "Rogue AP’s" innerhalb einer WIDS Konfiguration?
"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: Illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der FortiGate Wireless Controller in dem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken, werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Ab FortiOS 5.2 ist diese Funktion WTP Profile basierend und wird über ein WIDS Profile konfiguriert und dem entsprechenden WTP Profile zugewiesen! Desweiteren muss berücksichtigt werden, dass auf einem "radio" für 802.11ac kein "Roque AP" Scan benützt werden kann (Stand FortiOS 5.2.5 Bug ID 225550). Um den FortiGate Wireless Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:
FortiOS 5.0
WiFi Controller > WiFi Network > Rogue AP Settings
# config wireless-controller setting
# set ap-scan enable
# set on-wire-scan enable
# end
FortiOS 5.2/5.4
# config wireless-controller wids-profile
# set ap-scan enable
# set rogue-scan enable
# end
Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden WTP Profile's folgendes konfiguriert werden:
FortiOS 5.0
WiFi Controller > WiFi Network > Custom AP Profiles
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-1
# set ap-bgscan enable
# set rogue-scan enable
# set ap-bgscan-period 300
# set ap-bgscan-intv 1
# set ap-bgscan-duration 20
# set ap-bgscan-idle 100
# end
# end
FortiOS 5.2/5.4
WiFi Controller > WiFi Network > WIDS Profiles
# config wireless-controller wids-profile
# edit [Name des entsprechenden WIDS Profil]
# set ap-scan [enable | disable]
# set ap-scan-passive [enable | disable]
# set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
# set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
# set ap-bgscan-period [Interval in Sekunden; Standard 600]
# set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
# set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
# set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
# end
Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration ab FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:
WiFi Controller > WiFi Network > WIDS Profiles
Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:Wenn ein Forti Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Forti Access Points im gleichen IPv4 Adress Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und Wireless Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung" muss mindestens ein Wireless Client/Host vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die Wireless MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:
# config wireless-controller global
# set rogue-scan-mac-adjacency [0 - 7; Standard 7]
# end
Was bedeutet der Konfigurationspunkt "Band" (IEEE_802.11 Standard) innerhalb einer WTP Profile Konfiguration?
Wenn ein WTP Profile innerhalb des Mgmt. Web Interface einer FortiGate konfiguriert wird, stehen unter der Position "Band" folgende Möglichkeiten zur Verfügung:
2.4 GHz Band
5 GHz Band
In der CLI sieht diese mögliche Konfiguration folgendermassen aus:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set band [802.11a | 802.11b | 802.11g | 802.11n | 802.11n-5G | 802.11ac | 802.11n,g-only | 802.11g-only | 802.11n-only | 802.11n-5G-only | 802.11ac,n-only | 802.11ac-only]
# end
# end
Weitere Informationen zu den einzelnen IEEE_802.11 Möglichkeiten siehe nachfolgender Link:
https://en.wikipedia.org/wiki/IEEE_802.11
Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP) innerhalb einer WTP Profile Konfiguration?
ARRP "Automatic Radio Resource Provisioning" oder DARRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "channels" (Kanäle) für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung (overlapping) der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet: Wenn diese Position aktiviert ist, sucht sich der FortiGate Wireless Controller den oder die besten "channels" raus, die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 1800 Sekunden (Standard) evaluiert und falls notwendig dem FortiGate Wireless Client/Host mitgeteilt damit dieser auf den neuen "channel" wechseln kann. Dieser Standard Wert 1800 Sekunden kann unter folgendem Kommando Konfiguriert werden:
# config wireless-controller timers
# set darrp-optimize [0 - 86400 Sekunden; Standard 1800 Sekunden]
# end
Ab FortiOS 5.4 kann die DARRP resp. Radiu Resource Provisioning ebenfalls Zeitbasierend aktiviert werden dh. Wenn die Option "darrp-optimize auf "0" gesetzt wird so wird die Zeitgesteuerte DARRP Funktion aktiviert und es kann folgendes Konfiguriert werden:
# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set darrp-time [Zeitangabe im Format hour:minute]
# end
Für die Optionen "darrp-day" sowie "darrp-time" können mehrer Angeben Konfiguriert werden dh. zB :
# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day monday | tuesday | wednesday | thursday | friday
# set darrp-time 06:00 12:00 18:00
# end
Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung zu wissen welche "channels" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F
Wenn nun feststeht welche "channels" in der Umgebung bereits benutzt werden, kann ein entsprechendes Forti Access Point WTP Profil erstellt werden unter berücksichtigung der zu wählenden "channels" speziell für den 2.4 GHz Bereich. Dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrere Access Points in Reichweite sind um diese Kollisionen unter den "channels" zu verhindern. DARRP wird in den entsprechenden WTP Profil "radios" des Forti Access Point für 2.4 GHz sowie 5 GHz konfiguriert. Im Mgmt. Web Interface findet man diese Position im WTP Profile unter:
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Radio Resource Provision"]
Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set darrp enable
# end
# end
Um nach der Konfiguration festzustellen ob eine Kollidierung (overlapping) unter den "channels" exisitiert, kann über "Wireless Health Monitor" die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:
FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F
aB FortiOS 5.2 wurde innerhalb des Forti Access Point wtp Profile's unter Radio-1 und/oder 2 die Position "Background Scan" (ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F
Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse" innerhalb einer WTP Profile Konfiguration?
Unter FortiOS 5.0 existiert in den Forti Access Point WTP Profile unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health Monitor" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health Monitor" siehe nachfolgenden Artikel:
FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F
Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's" (overlapping channel). "Background Scan" sowie "Spectrum Analyse" sollte unter normalen Umständen deaktiviert werden da diese Funktion enorm Performance Intensiv sind. Diese Funktion sollte nur vorübergehend aktiviert werden um "troubleshooting" oder "Analysen" durchzuführen! Desweiteren ist zu beachten, dass für die Forti Access Point FAP-221B, FAP-223B und FAP-221C im Zusammenhang mit FortiOS 5.2.4/5 diese Funktion nicht benutzt werden sollte (Bug 245323) da durch die Funktion "Spectrum Analyse" auf den Forti Access Point ein "high cpu" produziert wird! Ueber Mgmt. Web Interface findet man diesen Konfigurationspunkt unter:
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Background Scan/Spectrum Analyse"]
Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:
# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set ap-bgscan eanble
# end
# end
# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set spectrum-analysis eanble
# end
# end
Wenn die Funktion "Background Scan/Spectrum Analyse" aktiviert wird, können die entsprechenden Informationen auch über Kommandozeile abgeruft werden anhand folgenden Befehls:
# diagnose wireless wlac -c rf-sa [Name des FAP zB "FP221B3X13843475"] 1
Weitere Informationen betreffend dem Troubleshooting Kommando "diagnose wireless" siehe nachfolgenden Artikel:
FortiAP:FAQ#Welche_Troubleshooting_Kommandos_.28diagnose.29_stehen_auf_dem_Wireless_Controller_einer_FortiGate_zur_Verf.C3.BCgung.3F
Was bedeutet der Konfigurationspunkt "short guard intervall" innerhalb einer WTP Profile Konfiguration?
"Guard Intervalle" auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen gegen die digitale Daten die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei wie störanfällig eine Übertragung ist. Je länger ein solcher Intervall ist, desto besser schützt es gegen Störungen sowie geringer wird allerdings auch die Kanaleffektivität (Performance).
802.11 Guard Interval
Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
"short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
könnte entwickelt werden, um herauszufinden ob ein "short guard intervall" von Vorteil wäre. Um die Komplexität
zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
zu erhöhen.
Wie beschrieben dient diese Konfiguration der Performance resp. um diese zu erhöhen. Jedoch kann die Aktivierung des "short guard intervall" auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser diese Funktion "short guard intervall" in der ersten Phase nicht zu benutzen resp. zu deaktivieren! "short guard intervall" kann für den 5 GHz Bereich für 40/80 MHz aktiviert/deaktiviert werden:
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set short-guard-interval enable
# end
# end
Was bedeutet der Konfigurationspunkt "channel-bonding" (Channel Width) innerhalb einer WTP Profile Konfiguration?
Die Funktion "channel-bonding" (40/20 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat, ist der Einsatz dieser Funktion kontraproduktiv sowie störanfällig und sollte deshalb nicht benutzt werden. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" für 2.4 GHz nicht im 40 MHz Bereich zu empfehlen! Da die einzelnen Kanäle breiter werden aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr das sich WLANs gegenseitig stören wenn sie auf angrenzenden Kanälen (channel) funken. Die Standard Werte für das "channel-bonding" im 2.4 GHz und 5 GHz Bereich ist 20 MHz. Das "channel-bonding" im 5 GHz Bereich kann unter FortiOS 5.0/5.2 innerhalb der Forti Access Point WTP Profile konfiguriert werden. Unter FortiOS 5.4 steht diese Funktion nur über CLI zur Verfügung.:
FortiOS 5.0
WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [enable | disable]
# end
FortiOS 5.2
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [20MHz | 40MHz]
# end
Damit "channel-bonding" aktiviert werden kann für 40 MHz im 2.4 GHz Bereich obwohl dies nicht zu empfehlen ist, müssen zuerst im entsprechende WTP Profile für die "channel" ein "unset" durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-1
# unset channel
# set channel-bonding 40MHz
# end
Diese Funktion steht ebenfalls im Zusammenhang mit der Funktion "coexistence". Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22coexistence.22_innerhalb_einer_WTP_Profile_Konfiguration.3F
Was bedeutet der Konfigurationspunkt "Client Load Balancing Access Point Hand-off" innerhalb einer WTP Profile Konfiguration?
Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende: Ein "Hand-off" wird durch den Forti Access Point ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem Forti Access Point den gesetzten "threshold" übersteigt, wird der Wireless Client/Host angewiesen auf den nächsten Forti Access Point und/oder "radio" zu wechseln. Für diesen Wechsel des "Hand-off" ist die Signalstärke des Client/Host entscheidend (RSSI threshold). Dieser Wert erhält der Client/Host vom zuständigen Forti Access Point. Um zu verhindern das der Zugriff auf den Client/Host durch einen Forit Access Point verhindert wird, werden wiederholende Anfragen zum Forti Access Point durch den Wirless Client/Host der auf dem Forti Access Point verbunden ist akzeptiert. Dieser Vorgang nennt man "soft-limit":
Datei:Fortinet-340.jpg
Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden WTP Profil ein- oder auszuschalten sowie den "threshold" zu setzen:
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
# config [radio-1 oder 2]
# set ap-handoff {disable | enable}
# end
# end
"handoff-sta-thresh" bedeutet: Der Durchschnitt verbundener Wireless Clients/Host der erreicht werden soll auf einem Forti Access Point, bevor diese Wireless Clients/Hosts durch den Forti Access Point angewiesen werden sich auf dem nächsten Forti Access Point zu verbinden! Die Funktion des "ap-handhoff" kann wie hier gezeigt über Mgmt. Web Interface durchgeführt werden. Jedoch ist die Konfiguration "handoff-sta-thresh" nur über CLI möglich! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "AP Handoff"]
Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Hand-off" innerhalb einer WTP Profile Konfiguration?
Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Access Point Frequenzy Hand-off" ist die folgende: Der FortiGate Wireless Controller überprüft in gewissen Abständen die Wireless Clients/Hosts betreffend Ihrer Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den FortiGate Wireless Controller betreffend dem Wireless Client/Host die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer Wireless Client/Host sich verbinden will, überprüft der FortiGate Wireless Controller die MAC Adresse des Wireless Client/Host und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen abgelegt sind, wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiGate Wireless Controller entscheiden ob der Device über "dual band" (2.4 GHz / 5 GHz verfügt oder nicht:
Datei:Fortinet-341.jpg
• Wenn der Wireless Client/Host über "kein" Dual-Band verfügt: Wird dem Wireless Client/Host erlaubt sich mit dem Access Point
(2.4 GHz) zu verbinden!
• Wenn der Wireless Client/Host über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiGate Wireless Controller
nicht auf die Anfrage betreffend 2.4 GHz sondern der Wireless Client/Host wird angewiesen sich mit 5 GHz auf den Forti Access
Point zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Forti
Access Point durch den Wireless Client/Host auf dem Forti Access Point auf dem sich der Wireless Client/Host verbinden will
akzeptiert (soft-limit).
Einige Wireless Clients/Hosts unterstützen diesen Vorgang dh. diese Wireless Client/Host unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 5 GHz benutzt. Auf den Wireless Clients/Hosts wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices. Das "frequency-off" respektive der "threshold" wird unter der CLI folgendermassen konfiguriert:
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-rssi [Grenzwert des handoff; Standard 25]
# config [radio-1 oder 2]
# set frequenciy-handoff {disable | enable}
# end
# end
"handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Wireless Client/Host bevor der Wireless Client/Host auf den 5 GHz Bereich verschoben wird! Die Konfiguration des "frequenciy-handoff kann ebenfalls im Mgmt. Web Interface durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Frequency Handoff"]
Was bedeutet der Konfigurationspunkt "Auto TX Power Control" innerhalb einer WTP Profile Konfiguration?
Bei "Auto TX Power Control" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Auto TX Power Control" aktiviert und somit herabgesetzt werden. AB FortiOS 5.0 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:
• Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
• Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
Die Informationen über die Signalstärke wird durch den FortiGate Wireless Controller im Hintergrund gesammelt und ausgewertet. Aus diesem Grund erkennt der FortiGate Wireless Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der über dessen FortiGate Wireless Controller verwaltet wird. Desweiteren ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das wenn 50% TX Power benützt wird folgendes gilt:
50% of 100mW = 50mW was wiederum 17dBm entspricht
0 dBm = 1 mW
3 dBm = 2 mW
6 dBm = 4 mW
9 dBm = 7.9 mW
12 dBm = 15.8 mW
15 dBm = 31.6 mW
18 dBm = 61.1 mW
21 dBm = 125.9 mW
24 dBm = 251.2 mW
Dieser Konfigurationspunkt kann im entsprechenden Forti Access Point WTP Profil konfiguriert werden:
WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control"]
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set auto-power-level [enable | disable]
# set power-level [Setze den entsprechenden Wert in % dh. 1 - 100; Standard 100]
# end
Was bedeutet der Konfigurationspunkt "protection-mode" (802.11g Protection Mode) innerhalb einer WTP Profile Konfiguration?
Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:
http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination
Ab FortiGate 5.06 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert für "protection-mode" auf "disable":
# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio für 5 GHz]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end
Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder 802.11b Wireless Clients/Hosts verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt. Aus diesen Informtionen stellt sich die Frage wann dieser Protection Mode aktiviert werden soll und wenn nicht. Die Antwort ist nicht Generell zu beantworten! Jedoch kann man Grundsätzlich von Folgendem ausgehen:
• Wenn der Forti Access Point sowie die Wireles Clients/Hosts ausschliesslich 802.11g und/oder 802.11n benutzen, kann der
Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:
protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
• Wenn der Forti Access Point sowie die Wireless Clients/Hosts zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten und diese
"vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:
protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b
Was bedeutet der Konfigurationspunkt "beacon-interval" innerhalb einer WTP Profile Konfiguration?
Ein Forti Access Point sendet in einstellbaren Intervallen (beacon-intervall) kleine Datenpakete, sogenannte "beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die "beacons" enthalten unter anderem folgende Informationen:
• Netzwerkname ("Service Set Identifier", SSID)
• Liste unterstützter Übertragungsraten
• Art der Verschlüsselung
Dieses "Leuchtfeuer" (beacons) erleichtert den Verbindungsaufbau ganz erheblich, da die Wireless Clients/Hosts lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität und zwar auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. "beacons" werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet um somit ein erfolgreiche Empfang des "Leuchtfeuers" garantiert wird. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate im WTP Profile steht dieser Wet auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch, bedeutet dies eine hohe Kapazität auf dem Forti Access Point sprich viele Wireless Clients/Hosts können sich auf dem Forti Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Wireless Clients/Hosts benötigen eine sehr lange Zeit bis die Verbindung zustande kommt, da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert, werden die passiven Scan's der Wireless Clients/Hosts schneller beantwortet. Also ist die Verbindung schneller jedoch sinkt die Kapazität des Forti Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen (overlapping channel) sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Wireless Clients/Hosts sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:
# config system wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-[1 | 2]
# set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
# end
Der Standard Wert 100 für "beacon's" sollte unter normalen Umständen nicht manipuliert werden! Kommt es zu Problemen, sollte bevor der Interval der "beacon's" manipuliert wird eventuell die Option "probe-resp-suppresion" konsultiert werden, Dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22probe-resp-suppression.22_.28Probe_Respond_Suppression.29_innerhalb_einer_SSID_Konfiguration.3F
Was bedeutet der Konfigurationspunkt "ekahau-blink-mode" innerhalb einer WTP Profile Konfiguration?
Die Option "ekahau-blink-mode" stellt einen Service dar für das "Real-Time Location System" von Ekahau Vision. Diese Funktion erlaubt es Informationen basierend auf dem Ekahau Vision zum diesem Dienst von Ekahau Vision zu senden um das "Real-Time Location System" zu benützen. Dies bedeutet: Diese Option steht nur im Zusammenhang mit diesem Dienst und muss auch nur dann aktiviert werden wenn dieser Dienst genutzt wird:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config lbs
# set ekahau-blink-mode [enalbe | disable]
# set ekahau-tag [ Mac Adresse xx:xx:xx:xx:xx:xx]
# set erc-server-ip [IPv4 Adresse]
# set erc-server-port [Port Nummer]
# end
# end
Was bedeutet der Konfigurationspunkt "coexistence" innerhalb einer WTP Profile Konfiguration?
Wenn man ein WTP Profile konfiguriert existiert in den "radio-1 oder 2" settings eine Option mit dem Namen "coexistence". Diese Option steht im Zusammenhang mit den Modi "802.11n und 802.11ac" und somit für 2.4GHz und 5GHz. Die Konfiguration für "coexistence" kann nur über CLI durchgeführt werden und zwar folgendermassen:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 | 2]
# set channel-bonding [20MHz | 40MHz | 80MHz]
# set coexistence [enable | disable]
# end
# end
Die Option steht im direkten Zusammenhang mit dem "channel-bonding". Dies bedeutet: ist das "channel-bonding" auf 20MHz gesetzt steht die Option "coexistence" nicht zur Verfügung da der 40MHz Bereich nicht aktiviert ist. Wenn das "channel-bounding" auf 40MHz gesetzt ist kann die "coexsistence" aktiviert werden was wiederum bedeutet: 20MHz und 40MHz koesistierten resp. beide sind erlaubt. Die Option "coexistence" definiert den HT20 resp. HT40 Mode was wiederum bedeutet:
HT20 = Einzelner 20MHz Channel
HT40 = 2 X 20Mhz Channels und Autoselektierung des Sekundären höherer und tieferen Channels
Wenn somit ein "channel-bounding" aktiviert wird auf 40MHz jedoch die "coexistence" deaktiviert ist so wird 20MHz als Sekundärer Channel ausgeschlossen. Aus kompatibilitäts Gründen sollte dies nicht konfiguriert werden, kann jedoch in Ausnahmen Sinn machen wenn die Performance ausschlaggeben ist jedoch klar damit gerechnet wird das Geräte im 20MHz Bereich damit ausgeschlossen werden.
Was bedeutet der Konfigurationspunkt "max-distance" (ACK timeout) innerhalb einer WTP Profile Konfiguration?
Das "ACK timeout" auf einem Forti Access Point wird über die Option "max-distance" innerhalb eines WTP Profiles gesteuert. Dies wird in der CLI wie folgt beschrieben:
Setzt das erwartete Maximum in Meter zwischen dem Forti Access Point und den Wireless Clients. Dieser Wert verändert
"ACK timeout" auf dem Forti Access Point um einen maximalen throughput für die maximale definierte Distanz zwischen
Forti Access Point und Wireless Client zu erreichen. Mögliche Werte sind zwischen 0 und 20'000 Meter (Standard 0).
Unter normalen Umständen sollte dieser Wert dh. "0" belassen werden. Wird jedoch eine Punkt zu Punkt Verbindung konfiguriert/etabliert über lange Distanzen zB eine Bridge, kann dieser Wert angepasst werden um ein grosszügiges "ACK timeout" zu erlauben. Für ein Troubleshooting kann dieses Timeout auf dem Forti Access Point angepasst werden. Folgender Befehl Lokal auf dem Forti Access Point gibt den momentanen Wert aus für "ACK timeout" aus:
# iwpriv wifi0 get_acktimeout
wifi0 get_acktimout:64 (0x40)
Um den das "ACK timeout" auf dem FortiAP anzupassen führe folgendes durch:
# Iwpriv wifi-acktimeout [ Wert zB "120"]
Wie Lokaler Zugriff erlangt wird auf einen Forti Access Point beschreibt nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Was bedeutet der Konfigurationspunkt "transmit-optimize / powersave-optimize" (PowerSave) innerhalb einer WTP Profile Konfiguration?
Die Optionen "transmit-optimize / powersave-optimize" die in einem WTP Profile innerhalb von "radio-1" gesetzt werden können stehen im Zusammenhang mit der "Strom-Spar / Power-Saving" Funktion und 2.4 GHz. Diese Funktion kommt vor allem in mobilen und damit Akku-betriebenen Geräten zu Zuge. Zum Beispiel: Smartphones, Tablets und Notebooks. Um die Akku-Laufzeit dieser Geräte zu verlängern gibt es spezielle Strom-Spar- und Power-Management-Funktionen. Die Traffic-Indicator-MAP (TIM) ist eine Liste, die der Access Point erstellt, um dort alle Wireless-Stationen zu speichern. Um diese Liste aktuell zu halten, schickt der Access Point regelmäßig TIM-Signale (Beacons), die die Wireless-Stationen aufwecken. Die Delivery-Traffic-Indicator-MAP (DTIM) ist auch eine Liste, die vom Access Point gepflegt wird. Der DTIM-Beacon ist ein Broadcast-Signal, das mit einem größeren zeitlichen Abstand gesendet wird, als der TIM-Beacon. Im Regelfall werden WLAN-Netzwerkkarten nur mit dem DTIM-Beacon aufgeweckt um die Laufzeit mobiler Geräte noch weiter zu erhöhen. Unter normalen Umständen sollte die standard Konfiguration nicht verändert werden. Ist dies denoch nötig stehen unter den Optionen folgende Möglichkeiten zur Verfügung:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set transmit-optimize [disable | power-save | aggr-limit | retry-limit | sendbar]
# end
# end
Die möglichen Optionen haben folgende Bedeutung:
• disable: Disable transmit optimization.
• power-save: Mark a client as power save mode if excessive transmit retries happen.
• aggr-limit: Set aggregation limit to a lower value when data rate is low.
• retry-limit: Set software retry limit to a lower value when data rate is low.
• send-bar: Do not send BAR frame too often.
Per Standard steht die Option "transmit-optimize" auf folgende Werte:
# set transmit-optimize power-save aggr-limit retry-limit sendbar
Zusätzlich gibt es die Möglichkeit im 2.4 GHz Bereich den nicht mehr unterstützten 802.11b Bereich komplett zu deaktivieren. Dies wird erreicht in dem die Sendetzeit heruntergesetzt wird für die "beacons" der Management Frames. Damit wird das Signal mit Minimum 6Mbps gesendet anstellt 1Mbps und somit wird 802.11b ausgeschlossen:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set powersave-optimize no-11b-rate
# end
# end
Unter "powersave-optimize" stehen weitere Optionen zur Verfügung die jedoch nur in speziellen Situationen benutzt werden sollten:
• tim TIM bit for client in power save mode.
• ac-vo Use AC VO priority to send out packets in the power save queue.
• no-obss-scan Do not put OBSS scan IE into beacon and probe response frame.
• no-11b-rate Do not send frame using 11b data rate.
• client-rate-follow Adapt transmitting PHY rate with receiving PHY rate from a client.
Wireless Client
Welcher Wireless Client unterstützt welche Kanaele?
Auf der folgenden Listen kann man entnehmen, welche Wireless Clients welche Kanäle unterstützen:
Datei:Client-DFS-CapabilitiesSupport-Tabelle.pdf
Diese Liste habe ich von folgender Quelle:
https://clients.mikealbano.com/
add 18.03.2022 - 4Tinu
CLI
Welche Kommandos können Lokal auf einem Forti Access Point über die CLI eingegeben werden?
Grundsätzlich wird eine Konfiguration eine Forti Access Points über den FortiGate Wireless Controller durchgeführt. Nichts desto trotz verfügt ein Forti Access Point Lokal über Befehlsatz der es erlaubt zB eine statische IPv4 Konfiguration durchzuführen oder ein Troubleshooting. Um Lokal auf einem Forti Access Point per "telnet" zu verbinden muss dieser Zugriff aktiviert werden. Danach kann über den FortiGate Wireless Controller per "telnet" eine Verbindung zu einem entsprechenden Forti Access Point erstellt werden um Lokal auf dem Forti Access Point die Kommandos einzugeben. Weitere Informationen wie dieser Zugriff aktiviert wird siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Unter FortiOS 5.0/5.2/5.4 stehen folgende Kommandos zur Verfügung:
FortiOS 5.0
# fap-get-status
Version: FortiAP-220B v5.0,build064,140117 (GA)
Serial-Number: FAP22B3U11011877
BIOS version: 04000010
Regcode: E
Hostname: FAP22B3U11011877
Branch point: 064
Release Version Information:GA
# help
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool
# brctl -h
brctl: invalid argument '-h' to 'brctl'
BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary
Usage: brctl COMMAND [BRIDGE [INTERFACE]]
Manage ethernet bridges.
Commands:
show Show a list of bridges
showmacs BRIDGE Show a list of mac addrs
addbr BRIDGE Create BRIDGE
delbr BRIDGE Delete BRIDGE
addif BRIDGE IFACE Add IFACE to BRIDGE
delif BRIDGE IFACE Delete IFACE from BRIDGE
setageing BRIDGE TIME Set ageing time
setfd BRIDGE TIME Set bridge forward delay
sethello BRIDGE TIME Set hello time
setmaxage BRIDGE TIME Set max message age
setpathcost BRIDGE COST Set path cost
setportprio BRIDGE PRIO Set port priority
setbridgeprio BRIDGE PRIO Set bridge priority
stp BRIDGE [1|0] STP on/off
# cw_test_radio -h
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
# diag_console_debug -h
Usage:
diag_console_debug <on|off> --turn on/off console log message
# diag_debug_crashlog
Usage:
diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print
# cfg -h
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables
Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOG IN_PASSWD
ADM IN_TIMEOUT
Telnet and GUI session admin timeout in minutes
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
# cw_diag help
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA
FortiOS 5.2
# get system status
Version: FortiAP-221C v5.2,build490,140616 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 212
Release Version Information: GA
# help
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool
# cw_test_radio -h
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
# diag_console_debug -h
Usage:
diag_console_debug <on|off> --turn on/off console log message
# diag_debug_crashlog
Usage:
diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print
# cfg -h
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables
Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
# cw_diag help
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA
FortiOS 5.4
# get system status
Version: FortiAP-221C v5.4,build0327,160107 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
System Part-Number: P15285-01
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 327
Release Version Information: GA
# help
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, diag_sniffer
dmesg, factoryreset, fap-get-status, fap-set-hostname
ft_rate_config, restore, radartool, reboot
# cw_test_radio -h
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
# diag_console_debug -h
Usage:
diag_console_debug <on|off> --turn on/off console log message
# diag_debug_crashlog
Usage:
diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print
# cw_test_led
/sbin/cw_test_led <all|power|status|wifi1|wifi2> <all|0|1|2|3|4> [interval]
lan is controlled by hardware, we don't test it here
0: Off
1: On-Amber
2: On-Green
3: On-Flashing Amber
4: On-Flashing Green
interval: Period in each state when all is selected for state
# dmesg
# ft_rate_config
ft_rate_config usage:
command and options:
-n <dev_name> -p
-n <dev_name> -m [11bg|11a|11n|11ac] -s <string_256>
-n <dev_name> -a
-n <dev_name> -r
-p print out current rate configuration
-m radio mode
-s configure rate set
11a string format is (6|6-basic,9|9-basic,12|12-basic,18|18-basic,24|24-basic,36|36-basic,48|48-basic,54|54-basic)
11bg string format includes 11a string format and also (1|1-basic,2|2-basic,5.5|5.5-basic)
11n string format is (mcs0/1,mcs1/1,...,mcs6/1,mcs7/1,mcs8/2,mcs9/2,...,mcs15/2,mcs16/3,mcs17/3,...,mcs31/4)
11ac string format is (mcs0/1,mcs1/1,mcs2/1,...,mcs8/1,mcs9/1,mcs0/2,mcs1/2,...,mcs9/4)
-a apply the current configuration to radio
-r reset the user configuration from the ssid
# cfg -h
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables
Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
AP_MGMT_VLAN_ID
ALLOW_TELNET
0(Telnet disable), 1(Telnet enable), 2(controlled by AC)
ALLOW_HTTP
0(Http disable), 1(Http enable), 2(controlled by AC)
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_DISCOVERY_FCLD_APCTRL
AC_DISCOVERY_FCLD_ID
AC_DISCOVERY_FCLD_PASSWD
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
LED_STATE
0(LED on), 1(LED off), 2(controlled by AC)
# cw_diag help
cw_diag usage:
cw_diag help [module [mod name]] --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag --flog <size in MB> --turn on/off log message to /tmp/var_log_wtpd.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta [HHHH] --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c fcld-cfg --show current forticloud client config
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c wev --show queued wireless events to report
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA
Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:
FortiAP:FAQ#Welche_Linux_Befehle_k.C3.B6nnen_auf_einem_FortiOS_f.C3.BCr_einen_Forti_Access_Point_ben.C3.BCtzt_werden.3F
Welche Kommandos kann ich auf einem Forti Access Point benützen um die Uptime eines Forti Access Point herauszufinden?
Wenn vermutet wird, dass ein Forti Access Point selbständig einen Neustart ausführt, kann folgender Befehl Lokal auf der CLI des Forti Access Point ausgeführt werden um die Uptime des entsprechenden Forti Access Point zu eruieren:
# cw_diag uptime
Current uptime : 574652
WTP daemon start uptime : 18
WTP daemon RUN uptime : 74
Time since WTP daemon started : 574634
Time since WTP daemon connected : 574578
Watchdog timer triggered : 0
Watchdog timer action : 1
Watchdog timer time : 22
Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Welche Kommandos kann ich auf einem Forti Access Point benützen um über die CLI die Netzwerk Konfiguration auszulesen?
Die Netzwerk Konfiguration eines Forti Access Point kann über das Forti Access Point Mgmt. Web Interface ausgelesen werden. Wenn dies jedoch nicht möglich ist, kann die momentane Netzwerk Konfiguration über CLi Lokal auf dem Forti Access Point ausgelesen werden. Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Nachdem der Zugriff gewährleistet ist, kann folgendes Kommando ausgeführt werden um die Netzwerk Konfiguration Lokal auf dem Forti Access Point auszulsen:
# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138
Welche Kommandos kann ich auf einem Forti Access Point benützen um die Firmware Version eines Forti Access Points herauszufinden?
Die Firmware eines Forti Access Points ist über das Mgmt. Web Interface der Fortigate unter "Managed FortiAPs" ersichtlich. Zusätzlich kann Lokal auf dem Forti Access Point nachfolgender Befehl durchgeführt werden um die Firmware Version resp. FortiOS zu verifizieren:
# fap-get-status
Version: FortiAP-220B v4.0,build222,120109 (MR3)
Serial-Number: FAP22B1234567890
BIOS version: 04000010
Regcode: N
Hostname: FAP22B1234567890
Branch point: 222
Release Version Information:MR3
Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Troubleshooting
Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten?
Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Wireless Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:
• Als Erstes führe Tests durch mit den Wireless Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher
nicht besetzt oder beeinträchtigt durch "fremde" andere Wireless Infrastrukturen). Nach Möglichkeit ist der 5 Ghz
zu bevorzugen vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch
Interferenzen das Resultat negativ beeinflusst. In diesen Test's sollten vers. Wireless Client's/Workstation benutzt
werden um festzustellen ob das Problem basierend auf einer spezifischen Gruppe von Wireless Client's/Workstation ist.
Ebenfalls sollte für die Wireless Client's/Workstations nur die neusten Wireless Treiber verwendet werden. Ziel ist
es zu versuchen das Problem einzugrenzen auf spezifische Wireless Client's/Workstation oder Bereich wie 5 GHz und
oder 2.4 GHz usw.
• Stelle fest/sicher das der Wireless Client/Workstation mit der max. Rate verbunden ist:
130Mbps für 2Ghz 2x2
300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
• Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:
http://www.metageek.net/support/downloads (inSSIDer für Windows / Mac / Android)
http://www.nirsoft.net/network_tools.html (WifiInfoView für Windows)
http://www.ekahau.com/products/heatmapper/overview.html (HeatMapper für Windows XP / Windows Vista / Windows 7)
• Vergewissere dich, dass zwischen den Forti Access Point, FortiGate Wireless Controller und Server 1000Mbit benutzt wird. Sofern
nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.
• Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen
auf den CPU und/oder Memory herauszufinden/zu Monitoren:
# get sys perf status
# diagnose sys top
• Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete
"aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete
verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr
aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).
• Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf) Datei:Jperf-how-to.pdf
• Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol
ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:
http://en.wikipedia.org/wiki/CCMP
CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.
• Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
Datei:Fortinet-332.jpg
• Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.
• Ueberprüfe ob zuviele Broadcast sowie Multicast über das Wireless Netz gelangen/transportiert werden.
• Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. deaktivieren)
• Ueberprüfe ob auf den End Devices der User die neusten Treiber sowie Wireless Software installiert ist und überprüfe deren Datenrate.
Wie kann vorgegangen werden wenn auf einem Forti Access Point für Performance Probleme Messungen durchgeführt werden sollen?
Um in einem Netzwerk sei es Wireless oder Ethernet Messungen durchzuführen, ist es ratsam eine kleine Client to Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:
http://www.ars.de/ars/ars.nsf/docs/netio
Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab, die danach ausgewertet werden. Ein Scenario wäre zB:
Windows Client --> Windows Server
Windows Server:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
C:\netio131>win32-i386.exe -s
Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein
anderer Port definiert werden.
Windows Client:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls
angegeben werden mit -b. Weitere Optionen sind:
Usage: netio [options] [<server>]
-s run server side of benchmark (o
-b <size>[k] use this block size (otherwise
-B -K -M -G force number formatting to Byte
-t use TCP protocol for benchmark
-u use UDP protocol for benchmark
-h <addr> bind TCP and UDP servers to thi
(default is to bind to all loca
-p <port> bind TCP and UDP servers to thi
<server> If the client side of the bench
a server name or address is req
The server side can run either TCP (-t) or UDP
(default, if neither -t or -u is specified). Th
these protocols only (must specify -t or -u).
Windows Client --> Linux Server
Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
#./linux-i386 -s
NETIO - Network Throughput Benchmark, Version 1.30
(C) 1997-2008 Kai Uwe Rommel
UDP server listening.
TCP server listening.
TCP connection established ...
Receiving from client, packet size 1k ... 1364.51 KByte/s
Sending to client, packet size 1k ... 803.63 KByte/s
Receiving from client, packet size 2k ... 1473.31 KByte/s
Sending to client, packet size 2k ... 645.55 KByte/s
Receiving from client, packet size 4k ... 1452.13 KByte/s
Sending to client, packet size 4k ... 640.69 KByte/s
Receiving from client, packet size 8k ... 1120.63 KByte/s
Sending to client, packet size 8k ... 716.57 KByte/s
Receiving from client, packet size 16k ... 1506.04 KByte/s
Sending to client, packet size 16k ... 658.24 KByte/s
Receiving from client, packet size 32k ... 1433.88 KByte/s
Sending to client, packet size 32k ... 855.72 KByte/s
Done.
TCP server listening.
C:\netio131>win32-i386.exe -t [Linux Server / IP]
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 1381.22 KByte/s Tx, 780.68 KByte/s Rx.
Packet size 2k bytes: 1486.13 KByte/s Tx, 567.92 KByte/s Rx.
Packet size 4k bytes: 1466.74 KByte/s Tx, 612.15 KByte/s Rx.
Packet size 8k bytes: 1129.70 KByte/s Tx, 702.39 KByte/s Rx.
Packet size 16k bytes: 1541.18 KByte/s Tx, 617.14 KByte/s Rx.
Packet size 32k bytes: 1472.19 KByte/s Tx, 796.44 KByte/s Rx.
Done.
Was muss ich in Zusammenhang mit meinem WLAN beachten, wenn ich die FortiGate auf 6.4.2 uprade?
Wir haben von Partnern Rückmeldungen erhalten, dass nach dem updaten der FortiGate, welche als WLAN-Kontroller funktionieren, die CPU-Auslastung auf der FortiGate immens hoch wird ( <90% )
Wenn der CLI-Befehl diagnose sys top ausgeführt wird um die CPU Auslastung auf der FortiGate anzuzeigen, kann man erkennen dass der Prozess cwWtpd über 90% der Ressourcen nutzt.
Workaround:
Man kann auf der FortiGate für die AP den Spectrum-SCAN bis zum nächsten Reboot oder die nächste Rekonfiguration mit folgendem Befehl deaktivieren:
| Konfiguration über die CLI:
|
diagnose wireless-controller wlac spectral-scan [SERIENUMMER_FAP] [RADIO] disable Beispiel: diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 0 disable diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 1 disable |
Vielen Dank an Stefan von UCC Pro
Wieso kommen die ForiAPs nach dem Upgrade auf FortiOS 7.0 nicht mehr online?
Die 3DES- und SHA1-Verschlüsselungen wurden aus der strong cipher Liste im FortiOS v7.0.0 entfernt.
Dies führt dazu, dass FortiAPs mit älteren FortiAP Images welche noch schwächere Chipher benutzen sich nicht mehr mit der FortiGate verbinden können.
Um dieses Problem zu umgehen muss auf der FortiGate folgendes konfiguriert werden:
| Konfiguration über die CLI:
| ||
# config system global
set ssl-static-key-ciphers enable
set strong-crypto disable
end
|
Wieso kann mein altes Mobile Gerät sich nicht mit der SSID auf der FortiGate verbinden?
Wenn man ältere Mobile Geräte (z.B Samsung Alpha) verwendet kann es sein, dass man sich nicht mit einer SSID verbinden kann.
Dies kann folgende Ursache haben:
Grund:
Die SSID setzt sich aus mehr als acht Zeichen zusammen.
Workaround:
Abhilfe schaft man damit, sich für diese Geräte eine eigene SSID mit nicht mehr als Acht Zeichen auf dem Controller der FortiGate konfiguriert.
Folgende Geräte sind uns gemeldet, welche eine SSID mit mehr als acht Zeichen nicht unterstützen:
- Samsung Galaxy A6 (Model SM-A600FN, Android Version 10)
- HTC U11, Android Version 9