FortiAP:FAQ
FortiAP:FAQ
Vorwort
Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:
http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)
FortiOS 4 MR3
Datei:Fortigate-wireless-40-mr3.pdf (FortiOS Handbook v3 for FortiOS 4.0 MR3 "Deploying Wireless Networks")
Datei:FortiOS 4MR3 Wireless Controller Overview v4.pdf (FortiOS 4.0 MR3 Wireless Controller Overview)
FortiOS 5.0
Datei:Fortigate-wireless-50.pdf (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.0)
Datei:Wirless-technical-training-FOS-5.0-update-v2.pptx (FortiOS 5.0 "Wireless Technical Training")
Datei:FortiAP Technical FAQ - January 2014.pdf (FortiAP Technical FAQ)
Datei:Fortinet Secure WLAN FAQ.pdf (Secure Wireless LAN (WLAN) Solution)
Datei:Secure WLAN Sales Presentation R1.pptx (The Fortinet Secure WLAN Presentation)
Datei:Securing Wireless Networks for PCI.pdf (Securing Wireless Networks for PCI Compliance)
Datei:Extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf (Extending the range of a wireless network byusing mesh topology)
FortiOS 5.2
Datei:Fortigate-wireless-52.pdf (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.2)
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Wo finde ich eine Uebersicht über die FortiAP Produkte?
Die beste Uerbsicht der FortiAP Produkte bietet die folgenden Dokumente/Links:
Fortinet:ProduktInfo#Fortinet_Produkt-Guide Fortinet:ProduktInfo#Fortinet_Produkt-Matrix
Desweiteren hat Fortinet eine Wireless Brochure Relased die einen grobe Uebersicht bietet:
Datei:Wireless Brochure.pdf (Unified Access LayerArchitecture)
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Das Consolen Kabel das für ein FortiAP Consolen Anschluss verwendet wird -sofern vorhanden- ist identisch mit dem Consolen Kabel das für eine Fortigate verwendet wird. Weitere Informationen siehe nachfolgender Artikel
Fortigate:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Verfügen alle FortiGate Devices über einen Wireless Controller?
Grundsätzlich verfügen alle FortiGate Geräte über einen Wireless Controller mit Aussnahme von:
FortiGate 20C
FortiGate 30D
NOTE Ab FortiOS 5.0.6 / 5.2 wurde der 30D die Möglichkeit gegeben den Wirless Controller zu verwenden.
Ebenfalls kann die 30D ab dieser Version 2 FortiAP's managen! Weitere Informationen betreffend der
Verwendung einer 30D siehe nachfolgender Artikel:
Fortigate:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_beim_Betrieb_einer_FortiGate_30D.3F
Diese FortiGate's die über einen Wireless Controller verfügen können für eine bestimmte Anzahl FortiAP's benützt werden. Folgender Artikel gibt Auskunft über die Anzahl FortiAP's die mit einem entsprechenden FortiGate Devices konfiguriert werden können sowie was zu berücksichtigen ist:
FortiAP:FAQ#Wieviele_FortiAP_k.C3.B6nnen_.C3.BCber_eine_FortiGate_konfiguriert_werden.3F
Wieso kann ein FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten?
Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:
FortiAP:FAQ#Was_ist_mit_802.11AC_MU-MiMo_gemeint.3F)
In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:
# cw_diag -c radio-cfg
Radio 0: AP
country : cfg=CH oper=CH
radio type : 11N_2.4G
beacon intv : 100
tx power : 15
HT param : mcs=23 gi=disabled bw=20MHz
ack timeout : 64
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=6 age=25011
channel : num=6
oper_chan : 6
r_ac md_cap : 2, 6, 10,
r_ac chan list : 2, 6, 10,
chan list : 2, 6, 10,
hw_chan list : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
nol list :
ap scan : background regular scan,
ap scan period : 600s
ap scan intv : 1s
ap scan dur : 20ms
ap scan idle : 0ms
ap scan rpt tmr: 30s
sta scan : enabled
arrp : enabled --info only
spect analysis : disabled
wids : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
long-dur-thresh: 8200
auth-flood: time=10, thresh=30
assoc-flood: time=10, thresh=30
Radio 1: AP
country : cfg=CH oper=CH
radio type : 11AC
beacon intv : 100
tx power : 31
VHT param : mcs=9 gi=disabled bw=80MHz
ack timeout : 25
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=0 age=68299
channel : num=0
oper_chan : 36
r_ac md_cap : 36, 40, 44, 48,
r_ac chan list : 36, 40, 44, 48,
chan list : 36, 40, 44, 48,
hw_chan list : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
128, 132, 136, 140,
nol list :
ap scan : disabled,
sta scan : disabled
arrp : disabled --info only
spect analysis : disabled
wids : disabled
Der eingesetzte MCS Index bestimmt wiederum den max. Durchsatz gemäss unteren Tabelle:
NOTE Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer
Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche
Umgebungsvariablen 100% stimmen!
Datei:Fortinet-718.jpg
Was ist die max. Anzahl User die auf einem FortiAP verbunden werden können?
Nun die FortiAP's unterliegen keinem Limit! Eine Limitation betreffend User kann über die jeweilige SSID im Web Mgmt. Interface über folgende Position konfiguriert werden:
WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients
Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen (Quelle: Datei:FortiAP Technical FAQ - January 2014.pdf):
3-7 - For a direct wire replacement.
8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
>50 - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.
Wieviele FortiAP können über eine FortiGate konfiguriert werden?
Bis FortiOS 5.0.2 gab nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAP's die über eine FortiGate konfiguriert werden konnte:
Produkte Matrix
Ab FortiOS 5.0.3 gibt es eine Aenderung dh. die Anzahl der FortiAP's wurden je Device verdoppelt. Dies bedeutet es wird unterschieden zwischen FortiAP die "tunneling" (SSID = Tunnel to Wireless Controller) konfiguriert werden und solche die über ein "local bridging" (SSID = Local bridge with FortiAP's Interface) verfügen (set wtp-mode remote). Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID versieht die auf "local bridging" konfiguriert ist, zählt dieser FortiAP nicht "tunneling" FortiAP'. Dies gilt jedoch "nur" wenn ausschliesslich nur diese SSID auf dem entsprechenden FortiAP benützt wird. Wird auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als lokaler FortiAP. Wenn man einen FortiAP konfiguriert mit einer "local bridging" SSID und dieser deklariert werden soll als "NICHT" "tunneling" FortiAP kann man die entsprechenden Serien Nummer dieses FortiAP auf "set wtp-mode remote" setzen. Dies geschieht folgendermassen:
# config wireless-controller wtp
# edit [Gebe die entsprechende Serial Nummer des FAP an]
# set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
# end
NOTE Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging enable" gesetzt
erscheint folgende Meldung:
Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'
Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FAP's sowie "local bridging":
NOTE Die offizielle Information betreffend "tunneling/local bridging" möglichen FAP's auf einer FortiGate findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel: Fortigate:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Fortinet hat ein Dokument herausgegeben in dem der Umstand dieser Aenderung erklärt wird:
Datei:Maximum Number of Managed FortiAPs in FortiOS 5 0 3 FAQ - August 2013 v1 r5.pdf
Wo finde ich eine Uebersicht ob ein FortiAP mit PowerAdapter geliefert wird oder PoE unterstützt?
FortiAP's werden teilweise mit -jedoch teilweise auch ohne- PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAP's mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter -die für fast alle FortiAP's erhältlich sind- aufgeführt:
Datei:Fortient-714.jpg
Nachfolgend eine weitere Uebersicht:
Datei:Fortient-1079.jpg
Meine Fortinet Access Points haben nicht die übliche gewohnte MAC Adresse 00:09:0F?
Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht näheren Gründen werden neu Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann -muss jedoch nicht- zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist/sind. Um diese Probleme zu verhindern ist zu beachten, dass man mind. FortiOS 5.0.3 oder höher auf den Access Points einsetzt da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn Dem nicht Rechnung getragen wird, kann durch den Umstand der neue MAC Adresse im Zusammenhang mit FortiOS 5.0.2 zu Problemen kommen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf
Wie kann ich die Switch Ports eines FAP 11C/14C/28C benutzen?
Die FortiAP's 11C, 14C sowie 28C werden mit einem kleinen Switch ausgeliefert! Bis anhin (Stand FortiGate FortiOS 5.0.4 sowie FortiAP FortiOS 5.0.5) waren diese Ports nicht konfigurierbar sprich konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:
NOTE Fuer die LAN Port Konfiguration gelten folgende Restriktionen:
• Beim FortiAP-14C können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration!
• Jeder Node/Host der sich über die LAN Ports verbindet gilt als "Authentifiziert"!
• Dynamische V-Lan Konfiguration für Node/Host verbunden über die LAN Ports wird nicht unterstützt. Weitere Informationen
dazu siehe nachfolgender Artikel:
FortiAP:FAQ#Was_sind_Dynamische_VLAN.27s_und_wie_konfiguriere_ich_diese.3F
• RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
• Wenn die LAN Ports auf "bridge-to-ssid" gesetzt sind kann DTLS Verschlüsslung aktiviert werden jedoch erst ab FortiGate
FortiOS 5.0.6 und FortiAP FortiOS 5.0.7!
Offline
LAN Ports können komplett deaktiviert und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden AP-Profile
gesetzt. Auf der Kommandozeile wird dies folgendermassen durchgeführt:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode offline
# end
NOTE Unter "port-mode" stehen folgende Modi zur Verfügung:
offline
bridge-to-wan
bridge-to-ssid
Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter:
WiFi Controller > WiFi Network > Custom AP Profiles
Wenn "AP Proflile = automatic" benützt wird kann dies über die folgende Position gesetzt werden:
WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAP's
Bridge to SSID
Die LAN Ports können anhand einer SSID mit der Funktion "Bridge" versehen werden was folgendes bedeutet: Verbindet sich ein Client über die LAN Ports, wird dem Client
über den DHCP Server, der für die SSID konfiguriert wurde, eine IP zugewiesen. Der Traffic des Clients der sich am LAN Port verbindet, wird zum Wireless Controller gesendet.
Ein "local bridging" ist nicht möglich! WiFi Clients die diese SSID benutzen -die für das Bridging der LAN Ports benutzt wurde- sowie die Clients die über den Switch Port
verbunden sind, können untereinander uneingeschränkt komunizieren. Es findet keine Authentication auf den LAN Ports statt! Die Clients, die über die LAN Ports in diesem Modus
verbinden, sind über den Monitor unter "WiFi > Monitor > Client Monitor" ersichtlich! Die Konfiguration wird auf entsprechenden AP-Profile gesetzt. Auf der Kommandozeile
wird dies folgendermassen durchgeführt:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode bridge-to-ssid
# set port-ssid [Name der gewünschten SSID]
# end
# set dtls-policy [ dtls-enabled | clear-text]
# end
Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter:
WiFi Controller > WiFi Network > Custom AP Profiles
Wenn "AP Proflile = automatic" benützt wird kann dies über die folgende Position gesetzt werden:
WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAP's
NOTE DTLS Verschlüsselung kann nicht aktiviert werden! Auf dem FortiAP steht die DTLS Verschlüsselung per Standard auf
"Clear Text or DTLS Enabled" dh. der FortiAP bietet beides an. Somit steuert der Wireless Controller die Funktion.
Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F
Bridge to WAN
Es wird ein "Bridging" auf das WAN Interface durchgeführt was folgendes bedeutet: Verbindet sich ein Client über die LAN Ports, wird dem Client über den DHCP Server -sofern
dieser existiert- der im WAN Segment existiert, eine IP zugewiesen. WiFi Clients die über eine SSID auf dem FortiAP verbunden sind und Clients die über die LAN Ports verbunden
sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Policy auf der FortiGate implementiert wird! Die Konfiguration wird auf entsprechenden AP-Profile
gesetzt. Auf der Kommandozeile wird dies folgendermassen durchgeführt:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode bridge-to-wan
# end
Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter:
WiFi Controller > WiFi Network > Custom AP Profiles
Wenn "AP Proflile = automatic" benützt wird kann dies über die folgende Position gesetzt werden:
WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAP's
Auf dem FortiAP kann jeder einzelne LAN Port in den entsprechenden Modus offline, bridge-to-ssid und bridge-to-wan versetzt werden sofern folgendes berücksichtigt wird:
--> Haben die FortiAP's individuelle LAN Port Konfigurationen benutze "AP Profile = automatic" (FortiAP:FAQ#Wenn_ich_bei_einer_Konfiguration_eines_Access_Point_Profiles_.22automatic.22_w.C3.A4hle_was_gilt_dann.3F) --> Haben alle FortiAP's die gleichen LAN Port Konfigurationen benutze "AP Profile = [Custome Profile]
# config wireless-controller [benütze "wtp" für AP Profile automatic | benütze "wtp-profile" für AP Profile Custome Profile]
# edit [Name des entsprechenden FortiAP zB "FAP14C3X13010817" oder des entsprechenden Profiles]
# config lan
# set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid]
# set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid]
# set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid]
# set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid]
# set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid]
# set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# end
# end
Kann ich einen FortiAP für die "Authorization" auf dem Wireless Controller vorbereiten?
Ab FortiOS 5.0.5 auf der FortiGate ist es möglich einen FortiAP zu Pre-Authentifizieren! Dies bedeutet folgendes: Normalerweise in der Vergangenheit meldet sich ein FortiAP über CAPWAP (UDP 5246) am Wireless Controller. Danach musste manuell der FortiAP mit "Authorization" für die Authentifizierung freigegeben werden. Neu ist es möglich diesen Schritt zu automatisieren dh. den FortiAP für die Authorization vorzubereiten. Dies wird folgendermassen durchgeführt:
WiFiw Controller > Managed Access Points > Managed FortiAPs > Create New
Nun wird der FortiAP anhand der "Serial Number" Pre-Authentifiziert. Zusätzlich können bereits SSID vergeben werden. In einem späteren Zeitpunkt kann der FortiAP dann weiter konfiguriert werden.
Muss ich für die "Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?
Nicht in jedem Fall! Die Fortinet hat im März 2014 folgendes Dokument released:
Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf
Dieses Dokument besagt folgendes:
Jeder FortiAP der NACH 1. November 2013 gekauft/registriert wurde (purchased after November
1st 2013) benötigt KEIN FortiCare mehr und hat LifeTime Waranty (Lebenslängliche Garantie).
LifeTime Waranty bedeutet wiederum 5 Jahre nach EOL (End Of Life Announcement).
Alle Geräte "vor" dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden.
NOTE Was zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im
Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich NICHT auf:
- Firmware Upgrade
- Technischer Support (Ticketing)
Um "FIrmware Upgrade's" durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt
man weiterhin "FortiCare" dh. ohne FortiCare sind Firmware Upgrades nicht abgedeckt sowie können
keine technischen Support Tickets eröffnet werden!
Antenna
Kann man die FortiAP mit externen Antenna's nach-/ausrüsten?
Grunsätzlich ist dies möglich dh. das Modell entscheidet ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datashhet eruiert werden:
Fortinet:ProduktInfo#FortiWiFi Fortinet:ProduktInfo#FortiAP
Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:
Fortinet:ProduktInfo#FortiAntenna
Was ist zu beachten wenn ein FortiAP mit einer externen Antenna ausgerüstet wird?
Nun eine Antenna "verteilt" das Signal nur dh. es verstärkt dieses nicht! Verstärker resp. Verstärkungen eines Antenna Signals für zB Richtfunk ist Bewilligungspflichtig:
http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de
Welchen Anschluss benützt eine FortiWifi/FortiAP für den externe Antenna Anschluss?
Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:
Fortinet:ProduktInfo#FortiWiFi Fortinet:ProduktInfo#FortiAP
Grunsätzlich wird durch die FortiWifi der RP-SMA Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem RP-SMA Anschluss handelt:
https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder
Gibt es von Fortinet eine "omnidirect" externe Antenna?
"omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenna 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antenna gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:
Fortinet:ProduktInfo#FortiAntenna
FortiAP-OS
Um "Was" handelt es sich beim OS eines FortiAP?
Ein FortiAP ist basierend auf "Linux 2.6.35 GNU/Linux". In der Firmware basierend auf FortiOS 4.3.x war der Zugriff auf das OS nicht offen dh. es standem dem Administrator "nur" die üblichen Befehle wie "cfg -a" zur Verfügung. Mit FortiOS 5.0 / 5.2 wurde der Zugriff geöffnet!
Wo wird die "Standard" Konfiguration eines FortiAP OS manipuliert und gestartet?
Ein FortiAP OS ist basierend auf einem Linux Kernel. Dies bedeutet Prozesse und/oder Deamons werden über die zuständigen RC Level abgewickelt. Diese RC Level -die wiederum einfach Scripts darstellen- lesen Konfigurations Dateien aus um die nötige Konfiguation durchzuführen. Die RC Leves befinden sich im Verzeichnis:
/etc/rc.d/
Die Konfigurations Dateien befinden sich im folgenden Verzeichnis:
/etc/ath
In diesem Verzeichnis existieren folgende Files die für folgende Konfiguration zuständig sind:
dflt.cfg (Standard Konfiguration)
# more /etc/ath/dflt.cfg
--------------- output dflt.cfg ---------------
## Default values of FAP cfg variables
## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
## Add an entry like: CFG_VAR_NAME_DFLT=DFLT_VALUE
## Don't include "" in DFLT_VALUE
BAUD_RATE_DFLT=9600
FIRMWARE_UPGRADE_DFLT=0
ADMIN_TIMEOUT_DFLT=5
ADDR_MODE_DFLT=DHCP
STP_MODE_DFLT=0
AP_IPADDR_DFLT=192.168.1.2
AP_NETMASK_DFLT=255.255.255.0
IPGW_DFLT=192.168.1.1
DNS_SERVER_DFLT=208.91.112.53
AP_MGMT_VLAN_ID_DFLT=0
WAN_MODE_DFLT=bridged
WAN_IPADDR_DFLT=192.168.2.1
WAN_NETMASK_DFLT=255.255.255.0
TELNET_ALLOW_DFLT=0
HTTP_ALLOW_DFLT=1
AC_DISCOVERY_TYPE_DFLT=0
AC_IPADDR_1_DFLT=192.168.1.1
AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
AC_CTL_PORT_DFLT=5246
AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
AC_PLAIN_CTL_DFLT=0
AC_DATA_CHAN_SEC_DFLT=2
MESH_AP_TYPE_DFLT=0
MESH_AP_MODE_DFLT=0
MESH_AP_SSID_DFLT=fortinet.mesh.root
MESH_AP_BSSID_DFLT=
MESH_AP_PASSWD_DFLT=fortinet.mesh.root
MESH_ETH_BRIDGE_DFLT=0
MESH_MAX_HOPS_DFLT=4
MESH_SCORE_HOP_WEIGHT_DFLT=50
MESH_SCORE_CHAN_WEIGHT_DFLT=1
MESH_SCORE_RATE_WEIGHT_DFLT=1
MESH_SCORE_BAND_WEIGHT_DFLT=100
MESH_SCORE_RSSI_WEIGHT_DFLT=100
--------------- output dflt.cfg ---------------
apcfg (Benutzerspezifische Konfiguration)
# more /etc/ath/apcfg
--------------- output dflt.cfg ---------------
###################################################################################
## apcfg
##
## Configuration file for Atheros AP.
## This file will "predefine" default configuration data for the AP. This
## will first read all configuration data from flash (cfg -E), then fill in any
## defaults that are missing. Thus the defaults will appear on the web pages
## even if the configuration store has been cleared.
##
###################################################################################
##
## Get the current settings from flash/cache area
##
cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$
source /etc/ath/dflt.cfg
##
## Set Network configuration
##
## AP_IPADDR = IP address of the bridge
## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
## WAN_MODE = bridged for attached to bridged, Get address if dhcp, fixed address
## if static
##
###################################################################################
if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
cfg -a FIRMWARE_UPGRADE=0
cfg -c
if [ ${LOGIN_PASSWD_ENC} ]; then
cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
fi
fi
cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
##
## Set WTP configuration
##
cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
##
## Set MESH configuration
##
cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
if test ${MESH_AP_PASSWD+defined}
then
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
else
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
fi
cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
_DFLT}} T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
#
# Account for S26 peculiarity
#
export WAN_IF=eth1
export LAN_IF=eth0
#
# Indicate if you want the WLAN to be activated on boot up.
#
cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
#
# AP Start Mode
# This can be overridded by environmental variables
# Modes can be
# standard := standard single AP start mode
# rootap := WDS root AP for WDS modes
#reptater-ind := WDS repeater station independent mode
# client := WDS "virtual wire" client
# multi := Multiple BSSID with all encryption types
# dual := Dual concurrent, automatically configure interface
# stafwd := Station mode with address forwarding enabled
#
#
cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
#################################################################################
## Default Parameters
## If these are not set explictly by exporting environmental variables, the following
## Defaults will be applied
#################################################################################
#
# AP_PRIMARY_CH could be
# 11na (which means auto-scan in 11na mode) or
# 11ng (which means auto-scan in 11ng mode)
cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
##
## Set up the channel for dual mode
##
cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
##
## This is for pure G or pure N operations. Hmmmm...
##
cfg -a PUREG=${PUREG:=0}
cfg -a PUREN=${PUREN:=0}
##
## Channel Configuration Section
##
cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
cfg -a SHORTGI=${SHORTGI:=1}
cfg -a SHORTGI_2=${SHORTGI_2:=1}
#
# Aggregation. First parameter enables/disables,
# second parameter sets the size limit
#
cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
cfg -a AMPDUMIN=${AMPDUMIN:=32768}
cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
cfg -a CWMMODE=${CWMMODE:=1}
cfg -a CWMMODE_2=${CWMMODE_2:=1}
cfg -a RATECTL=${RATECTL:="auto"}
cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
##
## AP Identification Section
##
cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
if [ "${AP_STARTMODE}" = "dual" ]; then
cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
fi
##
## Set the default modes for multi configuration
## Set default security modes
## Set default secfile to PSK, only valid in WPA mode
## Default keys are Decimal (NOT hex)
##
export MAX_VAPS_PER_RADIO=4
_1
## trailer - it's not a VAP number, it's the number of the key. This is done for-More-- (73% of 8884 bytes)
## both radios.
##
my_wep_keys="_1 _2 _3 _4"
for i in $my_wep_keys;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
done
##
## Now, for each radio, set the primary key and the mode value
##
cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
my_vaps=" _2 _3 _4 _5 _6 _7 _8"
for i in $my_vaps;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_AP_MODE="AP_MODE$i"
ITER_AP_SECMODE="AP_SECMODE$i"
ITER_AP_SECFILE="AP_SECFILE$i"
ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
eval ITER_MODE=\$$ITER_AP_MODE
eval ITER_SECMODE=\$$ITER_AP_SECMODE
eval ITER_SECFILE=\$$ITER_AP_SECFILE
eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
done LE=${ITER_WPS_ENABLE:="0"}
##
## Export the variables again to catch the defaults
##
cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$
##
## Set the proper radio parameter values depending on the
## interface selected. These are exported vice included
## in cache. These should really be in apup vice here,
## but this works OK.
##
for i in $my_vaps;
do
if [ "${i}" = "" ]; then
i=""
fi
ITER_RADIO_ID="AP_RADIO_ID$i"
eval ITER_RADIO_ID=\$$ITER_RADIO_ID
if [ "${ITER_RADIO_ID}" = "1" ]; then
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
else
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
fi
done
#####################################################################################
## The following parameters are board specific, and should not be modified
#####################################################################################
export ATH_use_eeprom=0
--------------- output dflt.cfg ---------------
Wo befinden sich die Standard Certificate eines FortiAP OS?
Die Zertifikate auf einem FortiAP sind wichtig und sollten NIE manipuliert werden! Dies bedeutet anhand dieser Zertifikate wird die Verbindung über CAPWAP (UDP 5246) hergestellt, Firmware Upgrade durchgeführt sowie die DTLS Verschlüsselung etabliert. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgenden Artikel:
FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F
Die Zertifikate befinden sich im folgenden Verzeichnis:
/etc/cert
/etc/fgt.crt
/etc/fgt.key
Wo befindet sich das "root" des WebServers auf einem FortiAP-OS?
Neu bei FortiOS 5.0 wird ein Web Mgmt. Interface auf dem FortiAP zur Verfügung gestellt. Diese ermöglicht einem Administrator einige der FAP Konfiguration über dieses Web Mgmt. Interface einzugeben. Das Web "root" dieses WebInterface befindet sich auf dem FortAP-OS im folgenden Verzeichnis:
/usr/www
Welche Befehle können auf einem FortiAP OS benützt werden?
Ein FortiAP basiert auf einem Linux Kernel! Bei FortiOS 4.3.x basierenden Systeme war der Zugriff auf Linux Kommandos nicht möglich und nur die "build-in" Kommandos standen zur Verfügung. Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Kommandos abgesetzt werden wie zB
ifconfig
more
cd
Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:
/bin
/sbin
# ls -la /bin
--------------- output /bin ---------------
drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ash -> busybox
-rwxr-xr-x 1 admin root 1143436 Dec 11 00:54 busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cat -> busybox
lrwxrwxrwx 1 admin root 24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 chmod -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cp -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 date -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 df -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 dmesg -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 echo -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 egrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 factoryreset -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 fgrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 grep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ip -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 iproute -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 kill -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ln -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 login -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ls -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mkdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 more -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mv -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ping -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ps -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 pwd -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rm -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rmdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sh -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sleep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sync -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 touch -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 umount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 uname -> busybox
--------------- output /bin ---------------
# ls -al /sbin
--------------- output /sbin ---------------
drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
-rw-r--r-- 1 admin root 0 Dec 11 00:35 .dummy
-rwxr-xr-x 1 admin root 12128 Dec 11 00:54 apstart
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 arp -> ../bin/busybox
-rwxr-xr-x 1 admin root 1348400 Dec 11 00:54 cwWtpd
-rwxr-xr-x 1 admin root 6096 Dec 11 00:54 cw_debug
lrwxrwxrwx 1 admin root 6 Dec 11 00:54 cw_diag -> cwWtpd
-rwxr-xr-x 1 admin root 2534 Dec 11 00:46 cw_test_led
-rwxr-xr-x 1 admin root 3727 Dec 11 00:46 cw_test_radio
-rwxr-xr-x 1 admin root 4652 Dec 11 00:54 diag_console_debug
-rwxr-xr-x 1 admin root 5084 Dec 11 00:54 diag_debug_crashlog
-rwxr-xr-x 1 admin root 3932 Dec 11 00:54 ebtables
-rwxr-xr-x 1 admin root 9508 Dec 11 00:54 fap-factory-license
-rwxr-xr-x 1 admin root 4892 Dec 11 00:54 fap-get-status
-rwxr-xr-x 1 admin root 4484 Dec 11 00:54 fap-mount-udisk
-rwxr-xr-x 1 admin root 5956 Dec 11 00:54 fap-set-hostname
-rwxr-xr-x 1 admin root 4148 Dec 11 00:54 fap-umount-udisk
-rwxr-xr-x 1 admin root 74220 Dec 11 00:54 fsd
-rwxr-xr-x 1 admin root 11012 Dec 11 00:54 get
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 getty -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 halt -> ../bin/busybox
-rwxr-xr-x 1 admin root 4408 Dec 11 00:54 help
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 ifconfig -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 init -> ../bin/busybox
-rwxr-xr-x 1 admin root 3724 Dec 11 00:54 init_sys_shm
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 insmod -> ../bin/busybox
-rwxr-xr-x 1 admin root 21584 Dec 11 00:54 iwconfig
-rwxr-xr-x 1 admin root 25304 Dec 11 00:54 iwlist
-rwxr-xr-x 1 admin root 11352 Dec 11 00:54 iwpriv
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 lsmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 modprobe -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 poweroff -> ../bin/busybox
-rwxr-xr-x 1 admin root 12548 Dec 11 00:54 radartool
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 reboot -> ../bin/busybox
-rwxr-xr-x 1 admin root 61 Dec 11 00:49 repeater_pass_configuration
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 restore
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 rmmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 route -> ../bin/busybox
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 setcfg
-rwxr-xr-x 1 admin root 9268 Dec 11 00:54 startup_fw
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 udhcpc -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 upgrade -> ../bin/busybox
-rwxr-xr-x 1 admin root 105972 Dec 11 00:54 usbmuxd
-rwxr-xr-x 1 admin root 19848 Dec 11 00:54 wlanconfig
-rwxr-xr-x 1 admin root 244180 Dec 11 00:54 wpa_supplicant
--------------- output /sbin ---------------
Setup
Welche Firmware sollte auf einer FortiGate und/oder FortiAP benutzt werden?
Im frühen Stadium wurde durch den Support klar die Richtlinie herausgegeben, dass auf der FortiGate und/oder FortiAP der gleiche Versionsstand resp. Patchlevel benutzt werden sollte. Dieser Anweisung kann nach wie vor gefolgt werden! Neu ab FortiOS Version 4.3 Patch 11 können ebenfalls FortiAP's mit FortiOS 5.0 (nicht 5.2) eingesetzt werden. Diese Konstellation wird durch den Fortinet Support vollumfänglich unterstützt. In so einer Konstellation stehen natürlich "nur" die Features auf der FortiGate resp. Wireless Controller zur Verfügung die durch die Version 4.3 Patch 11 unterstützt werden. Dies bedeutet zB das Feature des "Mesh" steht dann nicht zur Verfügung obwohl die FortiAP's mit der V5.0 dies unterstützen würden. Da jedoch dieses Feature in der FortiGate FortOS Version 4.3 Patch 11 nicht unterstütz wird, kann dieses nicht über den Wireless Controller resp. FortiGate konfiguriert werden. Es macht aus diesem Grund durchaus Sinn eine FortiGate Fortios 4.3 Patch 11 mit FortiOS 5.0 einzusetzen schon hinsichtlich falls ein Upgrade der FortiGate auf 5.0 in einem späteren Zeitpunkt geplant ist. Desweiteren bieten die FortiOS 5.0 Firmware Versionen bessere Performance und Zuverlässigkeit.
NOTE Wenn FortiAP's im Zusammenhang mit FortiGate's basierend auf FortiOS 5.2 betrieben werden möchten,
müssen die FortiAP's anhand eines Upgrade ebenfalls auf FortiOS 5.2 gebracht werden. Ein "Downgrade"
zurück auf 5.0.x ist möglich mit einer Ausnhame dh. FAP-221c. Weitere Informationen findet man im
folgenden Artikel:
FortiAP:FAQ#Kann_ich_einen_FortiAP_Firmeware_5.2_basierend_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F
Wie kann ich die Firmeware eines Access Point wiederherstellen?
Der Vorgang zur Wiederherstellung der Firmware eines Fortinet Access Point's ist exakt genau der gleich Vorgang wie bei einer Fortigate! Nachfolgende Doku gibt Auskunft wie so eine Wiederherstellung durchgeführt wird:
Fortigate:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F NOTE Bei einer Wiederherstellung werden alle existierenden Konfigruation gelöscht! Durch die Widerherstellung geht die gesamte Konfiguration verloren! Dieser Vorgang ist kein Upgrade sondern wird durchgeführt um den FortiAP von Grundauf neu zu laden! Betreffend FortiOS 5.2 und "downgrade" siehe nachfolgenden Artikel: FortiAP:FAQ#Kann_ich_einen_FortiAP_Firmeware_5.2_basierend_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F
Was ist als Erstes beim "setup" eines FortiAP zu beachten?
Ein FortiAP wird über die Fortigate FortiOS WiFi Controller aufgesetzt und konfiguriert! Es ist unabdingbar die korrekte "location" (Country Code) zu setzen bevor ein FortiAP konfiguriert wird. Weitere Erläuterungen wieso und warum siehe nachfolgenden Artikel:
Fortigate:FAQ#Wie_setze_ich_auf_einer_FortiGate_den_.22Country_Code.22_.28location.29_auf_dem_WiFi_Controller.3F
Danach führe auf der Fortigate auf der Console folgendes durch:
# config wireless-controller setting
# set country CH
# end
NOTE Wenn man mit "end" die Konfiguration bestätigt kann es zu einer Fehlermeldung führen. Der Grund dafür
ist einfach. Wenn im Hintergrund AP Proflies existieren kann der Countr Code nicht auf einen anderen
Country Code gewechselt werden da die existierenden AP Profile auf den momentan gesetzen Country Code
basieren. Um den Country Code zu wechseln dürfen kein AP Profiles existieren. Diese können jedoch nur
gelöscht werden wenn diese für die AP's nicht in Benützung sind. Wenn dies der Fall ist müssen diese
Profiles von den AP's gelöst werden und danach können die AP Profiles gelöscht werden. Die AP Profiles
können über Web Gui sowie in der CLI gelöscht werden.
WiFi Controller > Managed Access Points > Custom AP Profile
# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)y
Nachdem erfolgreichen löschen der AP Profiles kann der Country Code gesetzt werden!
Was ist die Default IP für einen FortiAP und wie verbinde ich auf diesen?
Wenn ein FortiAP gestartet wird reagiert auf Netzwerkebene der FortiAP folgendermassen:
--> Der FortiAP sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface
anhan dieser Informationen konfiguriert.
--> Beantwortet KEIN DHCP Server die Anfrage des FortiAP so wird auf dem Netzwerk Interface
folgende IP gesetzt:
192.168.1.2/24
Wie nehme ich ein Fortinet Access Point in Betrieb und konfiguriere ich diesen?
Nachfolgend wird anhand eines Fortinet Access Point 220B erklärt wie dieser Access Point in Betrieb sowie konfiguriert wird. In unserem Beispiel gehen wir von folgendem Scenario aus:
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP 220B |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN
- Default Gateway 193.193.135.65
Nachdem die Fortigate betreffend Interface's (WAN, LAN und DMZ), Default Gateway sowie DNS korrekt konfiguriert wurde, gehen wir hin und konfigurieren als Erstes die SSID für den Fortinet Access Point. Wähle dazu:
WiFi Controller > WiFi Network > SSID
Erstelle unter diesem Punkt eine neue SSID:
Datei:Fortinet-288.jpg
NOTE: In diesem Beispiel vergeben wir dem Access Point die IP 192.168.5.1 mit einem Subnet /25 dh. IP 192.168.5.0-127.
Für den Access Point wird ein DHCP Bereich definiert von 192.168.5.2-127! Für die SSID vergeben wir den Namen
"only4also" dh. diese SSID ist für interne Zwecke resp. Mitarbeiter!
Datei:Fortinet-289.jpg NOTE: Die Position "Block Intra SSID-Traffic" verhindert das verbundenen Clients inderselben SSID nicht untereinander Kommunizieren könnne resp. der Traffic über den Gateway dh. Firewall geroutet wird! Erstelle nun abermals eine SSID: Datei:Fortinet-288.jpg NOTE: Für diese SSID vergeben wir dem Access Point die IP 192.168.5.129 mit einem Subnet /25 dh. IP 192.168.5.128-254. Für den Access Point wird ein DHCP Bereich definiert von 192.168.5.130-254! Für die SSID vergeben wir den Namen "only4guests" dh. diese SSID ist für den Gäste Zugriff. Später werden wir definieren, dass diese Gäste "nur" auf das Internet (WAN) zugreifen dürfen!
Datei:Fortinet-290.jpg
Durch die Erstellung der SSID's "only4also" und "only4guests" wurden zwei "virtuelle" Interfaces erstellt. Diese werden regulär über folgende Position angezeigt:
System > Network > Interfaces" angezeigt:
Datei:Fortinet-291.jpg
Ebenso durch die Definition der DHCP Ranges wurden zwei DHCP Server angelegt seperat für jede SSID. Diese regulären DHCP Server sind über folgende Position ersichtlich und können anhand der üblichen Konfigurationspunkt erweitert werden::
System > Network > DHCP Server:
Datei:Fortinet-293.jpg
Datei:Fortinet-294.jpg
Nun verbinden wir den Access Point anhand eines Ethernet Kabels an das Interface DMZ (IP 192.168.3.1). Danach starten wir den Access Point. Wenn der Access Point dezidiert an das DMZ Interface angeschlossen wird dh. ausschliesslich für den Access Point benutzt wird editiere das DMZ Interface und aktiviere die Position "Dedicate this Interface to FortiAP connection". Für den/die Access Point muss ein IP Range definiert werden. In unserem Fall wäre dies "192.168.3.2-128"):
Datei:Fortinet-292.jpg NOTE Wenn die Position "Dedicate this Interface to FortiAP connection" aktiviert und ein IP Range definiert wird, so wird unter "System > Network > DHCP Server" ein DHCP Server anhand des definierten IP Bereichs angelegt! Datei:Fortinet-295.jpg
Nun müssen wir für unseren Access Point ein Profil erstellen dh. dieses Profil definiert zB welche "radio" (Antenne) wie konfiguriert wird dh. 2.4GHz oder 5GHz usw. erstelle dazu ein neues Profile:
WiFi Controller > Managed Access Points > Custom AP Profile
Datei:Fortinet-296.jpg
Datei:Fortinet-297.jpg Datei:Fortinet-298.jpg
Nun nachdem wir den Access Point verbunden haben am DMZ Interface sollte dieser unter folgender Position erscheinen (ca. 2 - 3 Minuten):
WiFi Controller > Managed FortiAP
Sobald dies der Fall ist editiere den Eintrag und vergebe dem Access Point einen Namen "FortiAP1.local.intra" sowie füge unser vorhergendes erstelltes Profil hinzu (FortiAP1):
NOTE Erstelle die Verbindung zum Access Point durch den Button "Authorize"!
Datei:Fortinet-299.jpg Definiere nun Namen und Profile: Datei:Fortinet-300.jpg NOTE Nachdem Bestätigen durch OK kann es ca. 1 Minute gehen bis die Konfiguration aktiv wird. Editiere den Eintrag des besagten Access Point abermals und die definierten Angaben werden angezeigt (Button Deauthorize" wird angezeigt) .Die IP die dem Access Point vergeben wurde dh. 192.168.3.2 stammt vom DHCP Server den wir unter dem Interface "DMZ" durch die Definition "Dedicate this Interface to FortiAP connection" und dem dazugehörigen IP Bereich definiert haben! ACHTUNG Ueber die Position "FortiAP OS Version kann die Firmware resp. das FortiOS des Access Points auf den neusten Stand gebracht werden. Weitere Informationen betreffend welche Firmware auf der FortiGate sowie FortiAP eingesetzt werden soll siehe Artikel: FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
Nun fehlt nur noch die entsprechende Policy dh. für die SSID "only4also" (Zugriff auf LAN und WAN resp. Internet) sowie "only4guests" (Zugriff nur auf WAN resp. Internet). Erstelle nun die nötigen Policy's:
Policy für "only4also":
Datei:Fortinet-301.jpg
Datei:Fortinet-302.jpg
Policy für "only4guests":
Datei:Fortinet-303.jpg
Nun kann anhand eines Clients die Verbindung zu den SSID's und die Konfiguration im Gesamten getestet werden.
Wie kann ich die Netzwerk Konfiguration eines Access Point manuell erstellen/konfigurieren?
Wenn man einen FortiAP manuell dh. mit einer "static" IP Adressen konfigurieren möchte so geht man folgendermassen vor:
--> Verbinde den FortiAP mit einem Laptop/Workstation und vergebe dem Laptop/Workstation folgende IP Adresse:
192.168.1.3/255.255.255.0
--> Nun erstelle eine Telnet Verbindung zum FortiAP anhand folgender IP:
192.168.1.2
NOTE Vergewissere dich, dass kein DHCP Server zwischen Laptop/Workstation sowie FortiAP vorhanden ist
da ansonsten der FortiAP autom. eine Adresse vom DHCP Server zugewiesen bekommt.
--> Nun kann die Konfiguration für die "static" IP Adresse durchgeführt werden:
# cfg –a AP_IPADDR=192.168.1.2
# cfg –a ADDR_MODE=STATIC
# cfg –a AP_NETMASK=255.255.255.0
NOTE Ab FortiOS 5 können die Konfigurationen ebenfalls über ein WebInterface auf den Access Points durchgeführt
werden dh. http://192.168.1.2.
Folgendes kann benutzt werden um die Konfig auszulsen:
# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138
NOTE Alle die hier aufgeführten Optionen können mit "cfg -a" konfiguriert werden!
Um die Konfiguration schlussendlich abzuspeichern führe folgendes durch:
# cfg –c
Was ist zu berücksichtigen wenn ein FortiAP seine IP über den Forti WiFi Controller per DHCP Server erhält?
Wenn die FortiAP nicht mit einer "static" IP Adresse konfiguriert werden sondern Ihre IP per DHCP Server bekommen der auf dem Forti WiFi Controller läuft kann die IP des Forti WiFi Controller über die DHCP Option 138 mitgegeben werden. Dazu muss auf dem FortiAP diese Option eingeschaltet werden und zwar folgendermassen:
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
NOTE Wenn die Option 138 bereits anderweitig in Benützung ist kann über diesen Befehl
ein anderer freier Code definiert werden!
Danach muss über den DHCP Server auf der FortiGate die Option definiert werden und zwar in "hexadecimal". Dies bedeutet die IP muss in "hexadecimal" umgerechnet werden und dies für jedes "octet" von Links nach Rechts. Im nachfolgenden Beispiel sind die FortiAP's über das Interface (192.168.3.1) auf der FortiGate im Segment 192.168.3.0/24 angeschlossen:
NOTE Unter FortiOS 5 steht die Option für den WiFi Controller im entsprechenden DHCP Server zur
Verfügung und muss nicht mehr über Hex Konfiguriert werden. Für die Definiton des WiFi Controllers
muss folgender Befehl benutzt werden:
# config system dhcp server
# edit [Integer für den entsprechenden DHCP Server Eintrag zB "1"]
# set wifi-ac1 [IPv4 Adresse des WiFi Controllers]
# set wifi-ac2 [IPv4 Adresse des WiFi Controllers]
# set wifi-ac3 [IPv4 Adresse des WiFi Controllers]
# end
IP = 192.168.3.1
192 = C0
168 = A8
3 = 03
1 = 01
Hex = C0A80301
NOTE Für die Umrechnung kann zB folgende Seite benutzt werden (Nicht vergessen von Links nach Rechts!):
http://www.mathsisfun.com/binary-decimal-hexadecimal-converter.html
Nachträglich kann die Konfiguration resp. die Zuweisung der IP sowie des AC Controllers über Kommandozeile auf dem AP kontrolliert werden anhand folgendes Befehls:
# cw_diag -c wtp-cfg
NOTE Wenn der entsprechende AP über keinen Consolen Port verfügt kann über den Wirelesss Controller
anhand Telnet auf den AP zugegriffen werden. Weitere Informationen siehe:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Wenn ich bei einer Konfiguration eines Access Point Profiles "automatic" wähle was gilt dann?
Wenn bei der Konfiguration eines Access Points resp. auf dem WiFi Controller ein Profil erstellt werden soll kann die Position "automatic" benutzt werden. Für diesen Konfigurationspunkt gelten folgende Einstellungen:
Datei:Fortinet-333.jpg
Wie verhindere ich das die SSID über Broadcast mitgeteilt wird?
Normalerweise wird die gesetzte SSID über Broadcast bekannt gegeben. Möchte man dies verhindern so muss über die Console folgendes durchgeführt werden:
# config wireless-controller vap
# edit [Name SSID resp. VAP Name]
# set broadcast-ssid disable
# end
Wie konfiguriere ich auf eine bestimmte SSID einen MAC Filter?
MAC Filter sind dazu da um einen Zugriff auf eine SSID zu erlauben oder zu verhindern (FortiOS 4.3.x only). MAC Filter können ein zusätzliches Security Feature sein jedoch ersetzen diese auf keinen Fall die Security selber dh. MAC Filter sollten immer im Zusammenhang mit WPA2 usw. benützt werden. Um einen MAC Filter zu konfigurieren gehe folgendermassen vor:
# config wireless-controller vap
# edit [Name wpa-profile]
# config mac-filter-list
# edit 1
# set mac [MAC Adresse]
# set mac-filter-policy allow
# next
# end
# end
NOTE Unter FortiOS 5.x wurde das Kommando "mac-filter-policy" entfernt und die Funktion verschoben zur DHCP Server Funktion. Wenn
man unter dem entsprechenden DHCP Server (SSID) über WebGui nachschaut, stellt man fest das unter "MAC Address Controll List"
neu folgende Funktionen im Zusammenhang mit der MAC Adresse vorhanden sind:
Reserve IP
Assign IP
Block
Das effektive Replacement von der "mac-filter-policy" unter FortiOS 5.x ist die Funktion "devcie-access-list". Anhand dieser Funktion
werden Device's nach deren Identifizierung zB als IPhon, IPad etc. in einer Policy erlaubt oder nicht. Folgende CLI Kommandos stehen
zur Verfügung:
# config user device-access-list
# edit [Name der Device Liste]
# set default-action [ accept oder deny]
# config device-list
# edit [ID der Device Liste]
# set action [ accept oder deny]
# set device [Name des Devcies]
# end
# end
Datei:Fortinet-382.jpg
Kann ich einen FortiAP so konfigurieren das ALLE Devices die er in der Umgebung erkennt auflistet?
Ein FortiAP kann mit folgenden Befehl in den "station-locate" gesetzt werden:
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profil]
# config radio-1
# set station-locate enable
# end
# config radio-2
# set station-locate enable
# end
# end
NOTE Es müssen nicht beide Radios auf "station-locate enable" gesetzt werden! Wenn auf
einem Radio "station-locate" benutzt wird beeinträchtigt dies nicht die vorhandene
Konfiguration bestehender SSID!
Wenn diese Option benutzt wird listet der FortiAP alle Devices die er in seiner Umgebung kennt auf mit folgenden Informationen:
MAC Adressen
Wireless Abhängige Informationen
Es dauert einige Zeit bis die Informationen abrufbar sind dh. folgender Befehl kann benutzt werden um diese einzusehen:
# diagnose wireless-controller wlac -c sta-locate
sta_mac vfid rid base_mac freq_lst frm_cnt frm_fst frm_last intv_sum intv2_sum intv3_sum intv_min intv_max signal_sum signal2_sum signal3_sum sig_min sig_max sig_fst sig_last ap
00:24:d7:e2:ea:08 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 3 164 44 120 7200 432000 59 60 -246 20190 -1658532 -85 -79 -79 -85 0
04:54:53:dd:84:1c 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 5 163 40 123 6410 366066 0 64 -406 32974 -2678584 -82 -79 -81 -82 0
04:f7:e4:40:4d:f9 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 41 188 25 162 3288 86679 0 32 -3095 233737 -17659835 -79 -74 -74 -76 0
Kann ich einen FortiAP so konfigurieren, dass er den gleichen IP Range wie im LAN benutzt?
Grundsätzlich ist dies so nicht möglich dh. diese Konfiguration kommt einem "overlapping-subnet" gleich und ist per Standard nicht konfigurierbar. Dies bedeutet, wenn auf einer FortiGate ein Interface konfiguriert wird so wird diese Konfiguration nach "overlapping-subnet" kontrolliert. Ist dies der Fall wird die Konfiguration verhindert. Also möchte man zB folgende Konfiguration durchführen:
Internal Interface IP 192.168.1.1/24
SSID Interface IP 192.168.1.2/24
DHCP Range Internal 192.168.1.65-126
DHCP Range SSID 192.168.1.129-254
Muss folgender Befehl auf der Kommandozeile der FortiGate abgesetzt werden ansonsten wird die Konfiguration verhindert:
Fortigate:FAQ#Kann_ich_auf_einem_Interface_eine_Secondary.2FVLAN_Adresse_konfigurieren_die_sich_mit_der_Interface_IP_overlaped.3F
Danach muss darauf geachtet werden, dass entweder ein DHCP Server für beide Interfaces benutzt wird (auf FortiAP einen Relay Konfigurieren) oder im Internal eine DHCP Server der nur die entsprechenden IP's verteilt (192.168.1.65-126) sowie einen DHCP auf der SSID mit dem entsprechenden Range (192.168.1.129-254).
Upgrade
Wie kann ich für ein FortiAP betreffend Firmware ein Upgrade durchführen?
Bevor ein Upgrade betreffend FortiAP Firmware durchgeführt wird, sollte man verifizieren welche Firmware (FortiOS) dazu benutzt werden soll. Weitere Informationen findet man im Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
Es gibt vers. Varianten die Firmware eines FortiAP's auf den neusten Stand zu bringen:
• Ueber einen TFTP Server während des Boot Sequenz des FortiAP's. Weitere Informationen siehe Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Firmeware_eines_Access_Point_wiederherstellen.3F
• Ueber den Wireless Controller der FortiGate unter Benutzung der CLI sowie eines TFTP Servers. Weitere
Informationen siehe Artikel:
FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_FortiAP.27s_betreffend_Firmware_einen_Bulk_Upgrade_durchf.C3.BChren.3F
• Direkt über die CLI des FortiAP anhand eines TFTP Servers
# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
• Ueber das FortiGate WebManagement Gui dh. wähle im Gui folgendes Position:
WiFi Controller > Managed Access Points > Managed FortiAP
--> Doppelklicke den entsprechenden FortiAP und wähle dort unter "FortiAP OS Version" die Position "Upgrade"
Wie kann ich für mehrere FortiAP's betreffend Firmware einen Bulk Upgrade durchführen?
Nun wenn in einer Installation/Konstellation mehrer FortiAP's involviert sind und man jeden FortiAP einzeln auf den neusten Stand (FortiOS) bringen muss kann dies mit einigem Aufwand verbunden sein. Um dies zu verhindern kann ein sogenannter "bulk" Upgrade durchgeführt werden dh. durch vers. Kommandos werden ALLE FortiAP's angewiesen ein Upgrade betreffend FortiOS durchzuführen. Vorraussetzungen für solch ein "bulk" Upgrade ist:
- Entsprechendes FortiOS auf der FortiGate (Siehe Artikel FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F) - TFTP Server im Netz und für alle FortiAP's erreichbar (SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx )
Ausgehend davon, dass ein TFTP Server im Netz installiert ist und durch alle FortiAP's erreichbar sind sowie das entsprechende Image auf dem TFTP Server für die spezifizierten FortiAP's bereitgestellt wurde, führe auf der CLI der FortiGate die für die FortiAP's als Controller agiert folgendes aus:
# execute wireless-controller upload-wtp-image tftp [Image Name FortiAP's Image] [IP Adresse des TFTP Servers]
ACHTUNG Pro "bulk" Upgrade kann nur EINE bestimmte Hardware resp. Image angegeben werden dh.
zB für FortiAP-221B. Es können nicht verschiedene Images und/oder Hardware in einem
"bulk" Upgrade gemischt werden! Das Upgrade wird durch das Kommando nicht effektiv durchgeführt
sondern nur auf dem Wireless Controller bereitgestellt!
Durch folgendes Kommando wird nun verifiziert welches Image auf dem Wireless Controller bereitsteht um sicherzugehen, dass auch das richtige Image bereitgestellt wird:
# execute wireless-controller list-wtp-image
Nun kann durch folgende Befehl die FortiAP's mit dem bereitstehenden Image als "bulk" Upgrade durchgeführt werden:
# execute wireless-controller reset-wtp [Gebe an "all" oder die Serien Nummern]
NOTE Um die Serien Nummern über den Wireless Controller anzuzeigen gebe folgendes ein:
# config wireless-controller wtp
# get
Nun wird das Upgrade -sofern "all" angegeben wurde- durchgeführt und kann nachträglich zB über das WebGui kontrolliert werden!
Kann ich einen FortiAP Firmeware 5.2 basierend anhand eines "Downgrade's" mit Firmeware 5.0.x laden?
Grundsätzlich ja dh. alle FortiAP's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:
Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh.
durch einen Fix im Bios wird "verunmöglicht" diesen FortiAP mit 5.0.x "downzugraden", wenn der FAP-221C
auf Stand 5.2 build 0212 (4090) sich befindet.
Es muss dabei berücksichtigt werden, dass FortiOS 5.2 basierende FortiAP's "nur" mit FortiGate's basiernd auf FortiOS 5.2 betrieben werden können.
Backup
Kann ich von einer FortiAP Konfiguration ein Backup erstellen?
Ja dies ist möglich und ist am Einfachsten über das WebGui des FortiAP durchzuführen! Dieses steht jedoch erst ab Version 5.x zur Verfügung. Ein Backup eines FortiAP enhält folgende Informationen:
BAUD_RATE=9600
ADDR_MODE=DHCP
AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
MESH_AP_TYPE=1 [1 = Mesh Type "leave"; 2 = Mesh Type root]
MESH_AP_SSID=mesh-backhaul [Mesh SSID Name]
MESH_AP_PASSWD=only4also [Mesh SSID Passwort]
AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
AC_CTL_PORT=5246 [CAPWAP Comunication Port]
AC_IPADDR_1=192.168.3.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
AC_HOSTNAME_1=proxy.local.intra [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
WTP_NAME=FP221B3X12001413 [Hostname FortiAP]
ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
DNS_SERVER=192.168.1.1 [DNS Server]
AP_MGMT_VLAN_ID=0
STP_MODE=0
TELNET_ALLOW=1
MESH_AP_BSSID=
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100
Anhand dieser Angaben können mehrere FortiAP's ausgerollt werden dh. durch Manipulation des Konfig Files und Restore Funktion können mehrer FortiAP's so per Mesh zum Wireless Controller verbinden um dort die Konfiguration über das Mgmt. WebInterface zu vervolständigen.
Ethernet Bridging
Wie konfiguriere ich ein Wireless Ethernet Bridging?
Im normal Fall wird der Traffic eines Users der auf einem Access Point verbunden ist über den "DataChannel" innerhalb des CAPWAP Protokolls (FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F) zum WiFi Controller auf der FortiGate gesendet. Aus diesem Grund ist es im normal Fall nicht möglich, dass ein User eine Resource innerhalb des Segments indem der Access Point installiert ist, direkt angeht. Möchte man dies aus irgendwelchen Gründen ermöglichen (ab FortiOS 5) basiert diese Funktion auf dem "Ethernet Bridging". Diese Funktion basiert auf "zwei" Konfigurationsmöglichkeiten dh. :
LOCAL BRIDGE WITH FORTIAP INTERFACE:
- Aktivierung auf der entsprechenden SSID der Funktion Ethernet Bridging (Aktivierung des Konfigurationspunktes "Local bridge with FortiAP interface")!
ACHTUNG Pro Access Point ist es nur möglich "ein" "Local bridge with FortiAP interface" zu konfigurieren. Dies kann im Zusammenhang mit
einer VLan ID geschehen oder nicht. Ein zweites Netz mit oder ohne VLan "auf" dem FortiAP zu konfigurieren ist nicht möglich!
NOTE Wenn der Konfigurationspunkt "Local bridge with FortiAP interface" aktiviert ist auf der SSID und der Access Point verliert die Verbindung
zum FortiGate WiFi Controller so werden die WiFi Clients nicht beinträchtigt da der Access Point im Bridge Mode ist und somit die CAPWAP
Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren.
ETHERNET BRIDGING:
- Erstellung eines Software Switches anhand des Segments indem der Access Point installiert ist und der entsprechenden SSID auf der "Ethernet Bridging"
aktivie
ACHTUNG Die Konfiguration anhand eines "Software Switch" ist nur dann möglich, wenn der Access Point mit dessen SSID über die FortiGate kontrolliert
wird (FortiGate WiFi Controller) auf dem der "Software Switch" konfiguriert wird. Bedeutet: wird ein Access Point über einen zentralen WiFi
Controller kontrolliert/konfiguriert und der Access Point sich in einem Remote oder Branche Office befindet, kann kein "Software Switch" erstellt
werden, da der Port der Remote/Branche Lokation nicht zur Verfügung steht auf der zentralen FortiGate auf dem der Access Point kontrolliert und
konfiguriert wird! Somit für Access Point's die sich in einer Remote und/oder Branche Lokation befindet wird "Local bridge with FortiAP interface"
benutzt "ohne" Software Switch. Dies bedeutet wiederum, dass Access Point die im "full bridge" Mode sind KEINE DHCP Adresse beziehen. Dies
bedeutet wiederum, dass Clients auf solchen SSID's die DHCP Adressen aus diesem Segment beziehen müssen indem sich der Access Point befindet!
Nachfolgend ein Beispiel für so ein Scenario dh. eine SSID die den Konfigurationspunkt "Local bridge with FortiAP interface" aktiviert hat jedoch keine Möglichkeit besteht für eine Konfiguration anhand der Funktion "Software Switch":
Datei:Fortinet-359.jpg
Um dieses Ethernet Bridging zB anhand eines "Software Switch" zu konfigurieren/erstellen gehen wir von folgendem Beispiel aus:
____________ _________________________
193.193.135.66/29| | 192.168.1.99 | |
----- WAN 1 -----| Fortigate |------ LAN -----------| LAN Env. 192.168.1.0/24 |
|____________| | |_________________________|
_________|____
| |
| Access Point |
|______________|
Erstelle eine entsprechende SSID auf der das Ethernet Bridging aktiviert ist zB:
Datei:Fortinet-360.jpg
Wenn die SSID die erstellt wurde dh "only4internal" Mitglied einer bestimmten VLAN-ID sein soll kann dies folgendermassen konfiguriert werden:
# config wireless-controller vap
# edit "only4internal"
# set vlanid 100
# end
NOTE Siehe auch folgender Artikel FortiAP:FAQ#Kann_ich_eine_SSID_mit_einer_VLAN-ID_versehen_um_den_Ethernet_Port_nach_802.1Q_zu_.22taggen.22.3F
Wenn die Konfiguration über Console durchgeführt werden soll gebe folgendes ein:
# config wireless-controller vap
# edit [Name des Interfaces zB "only4internal"]
# set vdom "root"
# set ssid "[Name der SSID für Ethernet Bridging zB "only4internal"]"
# set local-bridging enable
# set security [Setze die entsprechende Authentifizierung zB "wpa-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# end
Als nächsten Schritt erstelle für den Access Point ein entsprechendes Profil (zB Name "internal-bridge) und weise die SSID für das Ethernet Bridging zum Profil und zum entsprechenden Radio hinzu! Nun kann das Profil zum entsprechende Access Point der in unserem Beispiel zum Segement 192.168.1.0/24 verbunden ist hinzugefügt werden. Ueber CLI führe folgende Befehle aus:
# config wireless-controller wtp
# get
FAP22B3U11005354
# edit FAP22B3U11005354
# set admin enable
# set vaps "inernal-bridge"
# end
Wie gewohnt wird diese SSID als virtuelles Interfaces unter den Interfaces (System > Network > Interface) erstellt. Um nun einen Software Switch zu erstellen wähle im WebGui folgendes:
System > Network > Interface > Create New > Interface
Danach wähle:
Type > Software Switch
Nun können die entsprechenden Interface gewählt werden dh. unsere vorher erstellt SSID im Ethernet Bridging "only4internal" sowie das Interface "internal". Vergebe eine Adresse aus diesem Segment "internal". Der DHCP Server muss aktiviert werden oder manuell erstellt werden. Dieser DHCP Server vergibt den WiFi Usern die über "only4internal" verbinden möchte IP's aus dem "internal" Bereich. Die Konfiguration ist abgeschlossen. Für den Traffic zischen der SSID "only4internal" sowie "internal" benötigen wir KEINE Firewall Policy". Für Traffic zu anderen Segmenten MUSS für die Erstellung der nötigen Firewall Policy der Software Switch herangezogen werden da die SSID "only4internal" Bestandteil dieses Software Switches ist.
Um ein Software Switch über die Kommandozeile CLI zu konfigurieren gebe folgendes ein:
# config system interface
# edit only4internal-nw
# set ip 192.168.1.100 255.255.255.0
# set type switch
# set security-mode [Optional kann eine Authentifizierung implementiert werden zB "captive-portal"]
# set security-groups [Wenn security-mode gesetzt ist kann hier die entsprechende Gruppe der User definiert werden]
# end
# config system interface
# edit only4internal-nw
# set member "only4internal" "internal"
# end
VLAN
Was sind Dynamische VLAN's und wie konfiguriere ich diese?
Ab FortiOS 5.0.4 ist es möglich "Dynamische VLAN's" einer SSID zu vergeben. Dynamische VLAN's sind im "tunnel" oder im "bridge" Mode unterstützt. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen dh. je nachdem mit welchen Informationen (Anmeldeinformationen) sich ein User zur SSID verbindet, wird die entsprechende VLAN ID zugewiesen. Dies ermöglicht eine Unterscheidung von Usern Netzwerktechnisch, auch wenn alle User die gleiche SSID benutzen. Diese Unterscheidung wird erreicht, indem die User Authentifizierung über Radius erfolgt und der Radius Sever -nach einer erfolgreichen Authentifizierung- "Internet Engineering Task Force (IETF)" Attribute weitergiebt. Diew ermöglicht dem erfolgreich authentifizierten User die Zusweisung des entsprechenden VLAN's (VLAN ID wird im IETF übermittelt). Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen ist die Funktion selber unter der entsprechenden SSID generell zu aktivieren:
# config wireless-controller vap
# edit [Wähle den Namen der entsprechenden SSID]
# set dynamic-vlan enable
# end
Folgende Dokumente zeigen einige Beispiele wie so eine SSID mit "Dynamischen VLAN's" zu konfigurieren ist:
Datei:Dynamic VLANs.pdf (Dynamic VLANs) Datei:Dynamic VLANs in tunnel mode.pdf (Dynamic VLANs in tunnel mode)
Kann ich eine SSID mit einer VLAN-ID versehen um den Ethernet Port nach 802.1Q zu "taggen"?
Ab FortiOS 5.x jst es möglich eine SSID mit einem "Local Bridging" zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port gesendet anstelle diesen über den Data Channel Enkapsuliert(CAPWAP) zum FortiGate WiFi Controller zu senden. Dies ermöglicht ebenfalls eine VLAN-ID der SSID zu assignen um das FortiAP Ethernet Interface nach 802.1Q zu taggen. Ueber Gui kann diese Konfiguration nicht durchgeführt werden dh. eine VLAN-ID MUSS über CLI konfiguriert werden! Per Standard sind alle SSID's die über Gui erstellt wurden mit "Local Bridging" aktiviert mit einer VLAN-ID "0" versehen. Um "Error's" zu verhindern muss jede SSID die "Local Bridging" aktiviert hat mit einer anderen VLAN-ID versehen werden (Nur eine SSID mit VLAN-ID 0 ist erlaubt. Ueber das WebGui des Access Points ist diese Konfiguration einer VLAN-ID ersichtlich. Ebenfalls kann auf der CLI des Access Points folgender Befehl abgesetzt werden:
# brctl show
# cat /proc/net/vlan/conf
NOTE Ab FortiOS 5.0.4 ist es möglich "Dynamische VLAN's" zu benutzen. Weitere Informationen dazu siehe folgender Artikel:
FortiAP:FAQ#Was_sind_Dynamische_VLAN.27s_und_wie_konfiguriere_ich_diese.3F
Mesh/Bridging
Wie konfiguriere ich ein Wireless Mesh/Bridging Netzwerk (manuell/automatisch)?
Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5) folgende Arten eine Mesh Netzwerks:
NOTE Im Dezember 2013 hat Fortinet speziell eingehend auf "Mesh" ein spezielles Handbook released. Es lohnt
sich ebenfalls dieses Handbook einzusehen:
FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wireless Mesh (No VLAN Support)
Ein Access Point -auch genannt "root" Mesh Access Point- ist direkt verbunden mit dem WiFi Controller
(FortiGate oder FortiWiFi). Alle anderen Access Points -auch genannt "leaf" Mesh Access Points- benützen
den WiFi Controller indem diese über den "root" Mesh Access Point sich zum WiFi Controller verbinden.
Für Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh.
bemerken nicht, dass sie sich zu einem Mesh Netzwerk verbunden haben.
Wireless bridging (No VLAN Support)
Für ein Bridging werden zwei physische LAN Segmente über Wireless Access Points verbunden (the backhaul SSID).
Die Ethernet Anschlüsse an den Access Point ("leaf" Mesh Access Point) die diese LAN Segmente verbinden können
benutzt werden um ein zusätzliches Wireless für die Clients bereitzustellen. Grundsätzliche sind die Clients
direkt in dem jeweiligen Segment per LAN oder erweitertes Wireless Netzwerk verbunden.
Daraus ergeben sich folgende Möglichkeiten:
FortiAP werden benützt als "root" Mesh und "leaf" Mesh Access Points!
Datei:Fortinet-345.jpg
FortiWiFi wird benützt als "root" Mesh Access Point und die FortiAP's als "leaf" Mesh Access Points!
Datei:Fortinet-346.jpg
FortiAP's werden benützt um zwei LAN Segmente zu verbinden (Bridging)!
Datei:Fortinet-347.jpg
Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:
- Alle FortiAP's die im Mesh Wireless Network eingesetzt werden müssen über Firmware 5.0 Build 003 oder höher verfügen!
- FortiAP 222B muss über die Bios Version 400012 oder höher verfügen (ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out)
- Auf dem WiFi Controller (FortiGate und FortiWiFi) muss FortiOS 5.0 GA oder höher installiert sein!
NOTE Folgende Funktionen sollten möglichst nicht benützt werden auf dem FortiAP "radio" auf dem der Mesh Link
konfiguriert wurde:
FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22.3F
FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F
Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischer Manueller (mehr Möglichkeiten) sowie Automatischer Konfiguration:
AUTOMATISCHE KONFIGURATION WIRELESS MESH
Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].
Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen:
Datei:Fortinet-348.jpg
Um die autom. Konfiguration zu durchzuführen sind folgende Schritte nötig:
• Konfiguriere einen "root" Mesh Access Point auf einer FortiAP oder auf einer FortiWiFi.
• Konfiguriere die Access Points für "leaf" Mesh.
• Authorisiere die "leaf" Mesh Access Point damit diese auf den WiFi Controller verbinden können.
Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points
Wähle über das WebGui folgendes:
WiFi Controller > Managed Access Points > Managed FortiAP
Selektiere den gewünschte Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".
Wähle folgendes:
Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
NOTE Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
mehr gesetzt werden!
Datei:Fortinet-349.jpg
Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points
Verbinde dich auf dem WebBased Manager auf den Access Points auf dem "leaf" Mesh konfiguriert werden soll.
Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.
Auf dem WebBased Manager unter "Connectivity" konfiguriere folgendes:
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F
Uplink Mesh
Mesh AP SSID fortinet.mesh.[VDom Name dh. Standard "root"]
Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
Datei:Fortinet-350.jpg
Bestätige die Konfiguration anhand "Apply".
Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Access Points
Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Access Points über den "root" Mesh
Access Points am WiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss jeder "leaf"
Mesh Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
WiFi Controller > Managed Access Points > Managed FortiAP
Gehe auf "refresh" bis der/die "leaf" Mesh Access Points ersichtlich sind. Danach selektiere den FortiAP
und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Access Points
ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit
"OK" die Konfig.
Sobald die Konfiguration bestätigt wurde wir der Access Point seinen Status von Offline zu Online wechseln
(ca. 2 Minuten). Die autom. Konfiguration ist abgeschlossen und kann getestet werden.
AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING
Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die
Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
(Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet
sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert
da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul
link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu
benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point
Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point
direkt mit dem zu verbindenen Segment verbunden!
Datei:Fortinet-358.jpg
MANUELLE KONFIGURATION WIRELESS MESH
Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über
die Devices gibt. Ein Mesh WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
(Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Access Points verbinden sich
über diesen "root" Mesh AP (backhaul link) zum WiFi Controller. Ein FortiAP Device verfügt über 2 Radios
(2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die
Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu
berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's.
Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Access Point
• Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die FortiAP benutzt werden kann.
• Erstelle eine SSID für den "backhaul link".
• Erstelle eine Access Point Profil das die SSID für den "backhaul link" enthält.
• Füre das neue Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
• Konfigureire den "root" Mesh Access Point.
Um die SSID für den "backhaul link" zu erstellen wähle im WebGui folgendes:
WiFi Controller > WiFi Network > SSID, select Create New
Konfiguriere folgendes:
Interface Name [Name des Interfaces zB "mesh-backhaul"]
IP/Netmask [Belasse die IP auf 0.0.0.0/0.0.0.0]
SSID [Name der SSID zB "mesh-backhaul"]
Preshared Key [Wähle ein Preshared Key]
Datei:Fortinet-351.jpg
Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set mesh-backhaul enable
# end
Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
Datei:Fortinet-352.jpg
Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
Position "Traffic Mode"
# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set ssid "[Name der SSID zB "mesh-backhaul"]"
# set security wpa2-only-personal
# set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
# set encrypt AES
# set vdom root
# set mesh-backhaul enable
# end
Nun muss ein "backhaul" Access Point Profile erstellt werden. Wähle dazu im WebGui folgendes:
WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
- Wähle für das Profile einen Namen zB "mesh-backhaul-root".
- Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Access Point.
- Aktiviere die Position "Mesh Downlink".
- Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
Datei:Fortinet-353.jpg
NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des Profiles zur Verfügung.
Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
# config wireless-controller wtp-profile
# edit [Profil Name zB "mesh-backhaul-root"]
# config platform
# set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
# end
# config radio-1
# set mode ap
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# end
Nun muss das erstellt Profil dem Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
Wähle dazu im WebGui folgendes:
WiFi Controller > Managed Access Points > Managed FortiAP
Der "root" Mesh Access Point muss über physisches LAN angeschlossen sein sowie Verbindung zum WiFi Controller
haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und kann selektiert werden. Gehe auf "Authorize"
und wähle das entsprechende Profil das erstellt wurde für den "backhaul link". In unserem Beispiel wäre dies zB
"mesh-backhaul-root"! Nach einiger Zeit geht danach der Access Point auf den Status "Online".
Um das Profil per CLI hinzu zu fügen gebe folgendes ein:
# config wireless-controller wtp
# get
FAP22B3U11005354
# edit FAP22B3U11005354
# set admin enable
# set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
# end
Nun muss der "root" Mesh Access Point als solches definiert werden dh. im WebGui unter folgender Position ist
die entsprechende IP des Access Points zu eruieren (Blende die Spalte "Connecting from" ein unter Collums Settings):
WiFi Controller > Managed Access Points > Managed FortiAP
Wir nehmen an, dass der Access Point dem wir das "backhaul" Profil hinzugefügt haben die IP zugewiesen worden ist
192.168.3.2. Verbinde dich nun anhand dieser IP auf den WebBased Manager auf den Access Point (Ein Login erscheint
indem wir nur User "admin" eingeben: es gilt per Standard KEIN Passwort):
http://192.168.3.2
Im WebBased Manager auf dem Access Point unter "Mesh Configuration" selektiere:
Ethernet with mesh backup support
Datei:Fortinet-354.jpg
NOTE Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden -da
der Access Point als "root" Mesh konfiguriert ist- ignoriert!
Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe auf der Console des FortiAP folgendes ein:
# cfg -a MESH_AP_TYPE=2
# cfg –c
Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
# cfg -s
NOTE Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per
Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist.
Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's
ohne Consolen Port:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
WiFi Controller > Managed Access Points > Managed FortiAP
Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point
Wie schon beschrieben sind "leaf" Mesh Access Points Devices die das Wireless Netz (nicht physisch) benutzen um sich
ins Wireless Netz zu integrieren. Die Verbindung zum WiFi Controller wird über den "root" Mesh Access Point bewerkstelligt.
Um ein "leafe" Access Point zu konfigurieren benutzen wir den WebBased Manager der auf den FortiAP's läuft. Per Standard
nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2. Verbinde
dich nun auf den WebBased Manager anhand dieser IP:
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F
http://192.168.1.2
Im WebBased Manager konfiguriere folgendes:
Uplink [Mesh]
Mesh AP SSID [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
Mesh AP Password [Preshared Key gemäss SSI "mesh-backhaul"]"
Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
Konfiguration mit "Apply":
Datei:Fortinet-355.jpg
Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
NOTE Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per
Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist.
Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's
ohne Consolen Port:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
# cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
# cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
# cfg -a MESH_AP_TYPE=1
# cfg -c
Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
# cfg -s
Als nächsten Schritt muss für die "leaf" Access Points ein Profil angelegt werden. Dazu wähle im WebGui folgendes:
WiFi Controller > Managed Access Points > Custom AP Profile
Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
Name Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
Platform Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform
Radio 1 Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Radio 2 Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
Datei:Fortinet-356.jpg
NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des Profiles zur Verfügung.
Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
# config wireless-controller wtp-profile
# edit [Namen für das Profil zB "mesh-backhaul-leaf"]
# config platform
# set type [Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform]
# end
# config radio-1
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# config radio-2
# set mode ap
# set band 802.11n
# set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
# end
# end
Nun muss das entsprechende Profil das erstellt worden ist dem entsprechenden FortiAP das für "leaf" Mesh Access Point
benützt wird, zugewiesen werden. Wähle daszu im Gui:
WiFi Controller > Managed A ccess Points > Managed FortiAP
Wenn der "leaf" Mesh Access Point in Betrieb ist müsste dieser nun in der Liste der Access Points erscheinen. Selektiere
diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird sollte der Access
Point die Mesh IP zeigen. Nach dem "Authorize" kann das entsprechende Profile für die "leaf" Mesh Access Point, das
vorhergend erstellt worden ist gewählt werden. Bestätige die Konfiguration anhand "Apply". Wenn die Konfiguration auf
der CLI durchgeführt werden soll führe folgendes aus:
# config wireless-controller wtp
# get
FAP22B3U11d05924
# edit FAP22B3U11d05924
# set admin enable
# set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
# end
Die Konfiguration der Manuelle Konfiguration betreffend Mesh ist nun abgeschlossen. Um das "Mesh" Wireless
Netzwerk zu kontrollieren wähle im WebGui folgendes:
WiFi Controller > Managed Access Points > Managed FortiAP
In dieser View werden alle verbundenen und nicht verbundenen FortiAP's aufgelistet. Wenn man unter "Column Settings"
das Feld "Connected Via" einblended sieht man in diesem Feld "Mesh" für die FortiAP's die über Mesh verbunden sind
sowie deren IP Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen FortiAP durchgeführt werden:
# cw_diag -c mesh
Eine weitere Möglichkeit um an Informtionen heranzukommen ist auf dem FortiAP folgender Befehl abzusetzen:
# dmesg
MANUELLE KONFIGURATION WIRELESS BRIDGING
Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die
Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
(Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet
sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert
da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul
link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu
benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:
• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point
Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point
direkt mit dem zu verbindenen Segment verbunden!
Datei:Fortinet-357.jpg
Guest Access
Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion?
In einer Implementierung ist zu unterscheiden zwischen:
Guest Access Provisioning: Der "Receptionist" (Guest Access Administrator) hat bereits Zugriff auf das Netzwerk und die "Guest" User können sich in
unterschiedlichen Netzwerken befinden. In so einer Situation sollte die "Captive Portal" Funktion benutzt werden! Fur die
Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit FortiOS 5. Keine zusätzliche Installationen müssen
durchgeführt werden da eine FortiGate alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur
Implmenenterung siehe:
FortiAP:FAQ#Wie_implementiere_ich_ein_.22Wireless_Guest_Access_Provisioning.22.3F
User Self Registration: In dieser Funktion muss der FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf kein "Captive Portal"
vorgeschaltet sein. Die Authentifizierung erfolgt über eine "Identity Based Policy" auf der FortiGate die auf den FortiAuthenticator
verweist. Somit sind die Voraussetzungen für eine Implementierung gegeben dh. zusätzlich zur FortiGate benötigt man für die Implemen-
tierung einen FortiAuthenticator. Weitere Inoformationen zur Implementierung siehe:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F
Wie implementiere ich die "Wireless Self Registration" Funktion?
Weitere Informationen zu diesem Artikel siehe:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F
Wie implementiere ich ein "Wireless Guest Access Provisioning"?
Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5) kann ein "restricted" Administrator Gäste Accounts erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spzielle Gruppe. Dazu führe folgendes Konfiguration durch:
User & Device > User > User Group
Datei:Fortinet-363.jpg
NOTE Aktiviert man die Position "Enable Batch Guest Account Creation" so sieht die Gruppe folgendermassen aus:
Datei:Fortinet-373.jpg
Diese Funktion wird benutzt um "automatisch" Accounts durch das System zu erstellen (Batch).
Zur dazugehörigen Gruppe erstellen wir einen User der als Administrator aggieren kann um Accounts für die Gäste zu erstellen:
System > Admin > Administrators
Datei:Fortinet-364.jpg
Wenn sich nun dieser neu erstellte und "restricted" Administrator über den regulären Login der Firewall einloggt kann er Gäste Accounts erstellen und verwalten:
Datei:Fortinet-365.jpg
Datei:Fortinet-366.jpg
Um nun zB einen "Gast" Account zu erstellen geht der "restricted" Administrator folgendermassen vor:
Datei:Fortinet-367.jpg
Datei:Fortinet-368.jpg NOTE Wir die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die User "automatisch" erstellt (Batch). Dies sieht dann folgendermassen aus: Datei:Fortinet-374.jpg Nach der "automatischen" Erstellung wird folgendes Ausgegeben: Datei:Fortinet-375.jpg Wenn man "mehrere" User auf einmal erstellen möchte wählt man bei der Erstellung folgendes: Datei:Fortinet-376.jpg Danach kann angegeben werden wieviele Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts: Datei:Fortinet-377.jpg
Nach den Angaben kann nun die Information über die in der Gruppe gewählten Uebermittlungsarten dem Gast übermittelt werden wie zB SMS, E-Mail oder Ausdruck (Printing):
Datei:Fortinet-369.jpg
Wählt man zB Printing so erscheint folgendes:
Datei:Fortinet-372.jpg
Wenn man das Fenster schliesst "Return" kann man den erstellten User in der Liste sehen sowie einsehen zB Passwort und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:
Datei:Fortinet-370.jpg
Wenn man sich als "regulärer" Administrator wiederum einloggt dann kann man die Gäste User -die durch den "resticted" Administrator erstellt wurden über folgende Position einsehen:
User & Device > User > Guest Management
Datei:Fortinet-371.jpg
NOTE Der "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue User
-wie der "restricted" Administrator"- erstellen!
Als Letzteres muss die Gruppe auf der entsprechenden SSID unter Captive Portal ausgewählt werden. Wähle die entsprechende SSID und füge die Gruppe (Beispiel FortiGroup-Guest) zum Captive Portal hinzu. Nun kann die Lösung getestet werden. Ebenfalls ist es möglich unter einem spezifizierten Interface zB "internal" den Security Mode auf "Captive Portal" zu setzen und die entsprechende Gruppe zu wählen dh. "FortinetGroup-Guests.
Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:
Guest Access User Group
# config user group
# edit <name>
# set group-type guest
# set user-id email/auto-generate/specify
# set password auto-generate/specify/disable
# set user-name enable/disable
# set email enable/disable
# set mobile-phone enable/disable
# set default-expire <seconds>
# end
Guest admin profile options
# config system admin
# edit <name>
# set guest-auth enable/disable
# set guest-usergroups <guest user groups>
# end
Interface Security Mode option –captive-portal
# config system interface
# edit <name>
# set security-mode captive-portal
# set replacemsg-override-group [group-name]
# set security-groups [group-list]
# next
# end
NOTE Das Kommando resp. Variable "security-mode" steht für ein Interface, dass eine SSID
darstellt nicht zur Verfügung. Das Captive Portal muss über WebGui oder über das
Kommando "config wireless-controller vaps" konfiguriert werden!
Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:
# diagnose test guest ?
add add a guest user
del delete guest users
list list guest users
# diagnose test guest list
user_id=new-user-1@beispiel.com
group=Beispiel-Gruppe
user_name=gast-1
password=pwj8m9
mobile_phone=
sponsor=
company=
email=new-user-1@beispiel.com
expire=1 Hours
# diagnose test guest add
<group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>
# diagnose test guest del
12 deleted for group , user-id
# diagnose test guest list
0 found for group , user-id
Wie Konfiguriere ich für die "Wireless Self Registration" Funktion ein SMS Provider für HTTP/S Get und Post?
Weitere Informationen zu diesem Thema siehe Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_das_Versenden_von_SMS_Nachrichten_einen_entsprechenden_SMS_Gateway_definieren.3F
Remote
Wie konfiguriere ich einen FAP-11C für einen Remote Zugriff?
In unserem Beispiel gehen wir von folgenden Scenario aus:
_________
| | 193.193.135.70
| FAP-11C |--|
|_________| |
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP-11C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN
NOTE In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "DMZ" durchgeführt!
Bedeutet dieses DMZ ist nur temporaerer Natur für den FAP-11C und wird nur für die
Grundkonfiguration sowie das Testen benützt. Die Funktion die hier gezeigt wird dh der Remote
Zugriff steht nicht exkl. dem FAP-11C zur Verfügung sondern ist mit allen FortiAP's möglich!
Wie im Artikel FortiAP:FAQ#Beim_FortiAP_11C_auf_WAS_basiert_die_Komunikation_zu_einer_FortiGate.3F erklärt basiert die Komunikation eines FAP-11C für Remote Zugriff auf eine FortiGate auf CAPWAP und sofern aktiv einer DTLS Verschlüsselung (Weitere Informationen siehe Absatz FortiAP:FAQ#CAPWAP_.2F_DTLS. Wenn ein FAP-11C nicht als Remote Zugriff konfiguriert wird kann dieser Device mit allen Funktionen wie ein normaler FortiAP konfiguriert und benützt werden. Fuer eine Remote Zugriff Konfiguration führe folgende Schritte durch:
- Herkömmliche Konfiguration des FAP-11C anhand SSID's und dem entsprechenden Profiles:
FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_in_Betrieb_und_konfiguriere_ich_diesen.3F
NOTE Bei der Konfiguration kann so vorgegangen werden als ob der FAP-11C für den internen Gebrauch
benützt würde. Dies bedeutet die Konfiguration kann vollumfänglich getestet werden im internen
Bereich über dessen Konfiguration und/oder Funktion. Was jedoch nicht vergessen werden darf ist den
FAP "nach" dem Test zu löschen da dieser "Authorized" wurde für das Interne Netz sowie für die
erhaltene "interne" IP. Bedeutet "NACH" dem Test und nachdem der FAP abgehängt wurde vom "internen"
Netz ist dessen Eintrag aus der Liste der "Managed FortiAP" rauszulöschen!
Ausgehend davon das der FAP-11C konfiguriert und getestet wurde kann nun die zusätzliche Konfiguration durchgeführt werden. Als nächstes muss dem FAP-11C mitgeteilt werden mit welchen FortiGate Wireless Controller er sich Remote zu verbinden hat. Dies geschieht auf dem FAP-11C über den Konfigurationspunkt "AC Host Name/Adresse". Dieser findet man über das Mgmt. WebInterface eines Fortinet Access Points unter folgender Position:
NOTE Wenn Die Konfiguration auf "Auto" steht werden sämtlich zur Verfügung stehenden Methoden durch den
FortiAP durchgegegangen dh. DNS, Broadcast, Multicast, Static! Wenn dies nicht gewünscht wird dh.
ZB weil der Remote AP in der Remote Location hinter einer FortiGate installiert ist sollte Static
gewählt werden da ansonsten der FAP auf der FortiGate in der Remote Location ebenfalls ersichtlich
ist und "potentiell" von dort aus konfiguriert werden könnte!
Datei:Fortinet-700.jpg
NOTE Die Konfiguration basiert auf dem FQDN (Fully Qualified Domain Name) der
FortiGate sowie deren externen IP. In unserem Beispiel 193.193.135.66 (firewall.local.intra)!
Damit die DNS Auflösung funktioniert auf dem FortiAP muss ein DNS Server konfiguriert werden.
Diese Konfiguration kann nur auf der CLI durchgeführt werden:
# cfg -a DNS_SERVER=[DNS Server IP Adresse]
NOTE Wenn der FortiAP über keinen Consolen Port verfügt kann dieser über den Wireless Controller
angegangen werden. Weitere Informationen siehe Artikel:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Es ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. "DTLS" ist bereits zusammen mit "Clear Text" aktiviert. Aus Security Gründen sollte "DTLS enabled" explizit aktiviert werden denn wenn beide Funktionen aktiviert sind dh. "Clear Text" und "DTLS" wird die Funktion über das entsprechende Profile (wtp-profile) auf dem Wireless Controller gesteuert (Weitere Informationen betreffend DTLS siehe Artikel FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F):
Datei:Fortinet-701.jpg
Nun muss gewährleistet sein, dass der FAP-11C über das WAN Interface im entsprechender Umgebung den FQDN der FortiGate und/oder deren IP erreichen kann. Dazu benötigt der Device folgendes:
--> Auf dem WAN Interface per DHCP zugewiesenen IP/Subnet, Default Gateway oder Statische Konfiguration dieser Informationen:
DHCP Konfiguration (Default):
Datei:Fortinet-702.jpg
Static Konfiguration:
Datei:Fortinet-703.jpg
--> Traffic in der entsprechenden Umgebung vom internal LAN auf das Internet für den FQDN der FortiGate resp. deren externer IP ueber Port UDP 5246 und UDP 5247 muss erlaubt werden!
--> Firewall Policy auf der FortiGate für "incoming" Traffic muss nicht zusätzlich implementiert werden da dies durch die "Local In Policy" bereits erlaubt wird:
NOTE Ab FortiOS 5.0.3 muss CAPWAP explizit auf dem entsprechenden Interface erlaubt werden dh. die Check Box
muss aktiviert werden!
Datei:Fortinet-704.jpg
--> Firewall Policy auf der FortiGate um den Traffic für die entsprechende SSID zu erlauben
Wenn dies gewährleistet ist findet der FAP-11C über dessen WAN Interface die externe IP der FortiGae (FQDN) und nimmt mit dem Wireless Controller über CAPWAP die Komunikation auf. Wenn der User nun auf die entsprechende SSID auf dem FAP-11C verbindet wird dem Client eine IP über den DHCP Server der auf der entsprechenden SSID konfiguriert ist eine IP zugewiesen. Die Komunikation die nun durch den User über die SSID zum Wireless Controller sendet wird im DTLS Channel verschlüsselt. Die DTLS Verschlüsselung -sofern aktiviert jedoch dringend empfohlen- kann über die FortiGate und/oder FAP-11C kontrolliert werden:
FortiGate
Datei:Fortinet-705.jpg
FortiAP
Datei:Fortinet-706.jpg
NOTE Ueber diese Position kann ebenfalls der Status kontrolliert werden dh. mit welchem Wireless
Controller der Device verbunden ist!
Beim FortiAP 11C auf WAS basiert die Komunikation zu einer FortiGate?
Ein FAP-11C ist ein FortiAP der für Remote Einsatz Zwecke gedacht ist! Ein FortiAP 11C ist nicht IPSec basierend sonder CAPWAP DTLS basierend sprich es wird über CAPWAP eine DTLS Verschlüsselung etabliert!
NOTE Der FortiAP 11C kann nicht mit FortiOS 4.3 Patch 11 eingesetzt werden. Weitere Informationen siehe:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F
Bei einem Remote Zugriff wieviel Bandbreite benützt der Management Tunnel (CAPWAP)?
Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP für einen Remote Zugriff eines FortiAP's ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:
--> Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
--> Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
NOTE Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP
bei Notwendigkeit angepasst werden!
Sniffer
Kann ich einen FortiAP als Sniffer benutzen um den Traffic zu verfolgen (capture)?
Ja dies ist möglich jedoch mit folgenden Einschränkungen:
--> Nur ein Radio auf's Mal kann benutzt werden um den Sniffer auszuführen (capture)
--> Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden
Wenn ein Radio für den Sniffer Mode konfiguriert wurde so wird lokal auf dem FortiAP ein File in folgendes Verzeichnis abgelegt:
/tmp/wl_sniff.pcap
NOTE Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des FortiAP durchgeführt
wird so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none"
Persistent Verzeichnis handelt. Aus diesem Grund muss das File "vor" einem Neustart per TFTP
auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren
benutze folgende Kommandos:
# cd /tmp
# ls
wl_sniff.cap
# tftp
BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server
Options:
-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file
Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:
# tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IP Adresse des TFTP Servers] 69
Um einen FortiAP in den Sniffer Mode zu versetzen muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:
# config radio-1
# set mode disabled
# end
# config radio-2
# set mode sniffer
# set ap-sniffer-bufsize 32
# set ap-sniffer-chan 1
# set ap-sniffer-addr 00:00:00:00:00:00
# set ap-sniffer-mgmt-beacon enable
# set ap-sniffer-mgmt-probe enable
# set ap-sniffer-mgmt-other enable
# set ap-sniffer-ctl enable
# set ap-sniffer-data enable
# end
# end
NOTE Durch die folgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:
ap-sniffer-add --> Kann angegeben werden um einen spezifischen Client zu definieren dh. anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
ap-sniffer-chan --> Kann angegeben werden um einen spezifischen Channel zu definieren
Sobald die Konfiguration durchgeführt wurde ist diese ebenfalls über das Mgmt. WebInterface resp. GUI ersichtlich:
Datei:Fortinet-699.jpg
Wenn nun das Profile "FortiAP-Sniffer" einem FAP zugewiesen wird so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI der FAP verifiziert werden:
# iwconfig
Durch diesen Befehl werden die entsprechenden WLAN Interface aufgelistet und das entsprechende ist im "monitor" Mode dh.:
Mode: Monitor
Authentication
Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine WiFi Authentication?
Wenn man für ein WiFi eine Authentication implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme, speziell wenn die Authentication über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin WIE das Passwort vom Client/Workstation zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung des Passwortes vers. "password hashing schemas" die jedoch NICHT Kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muss der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies NICHT möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn KEIN OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte so ist die "Im Allgemeinen" zu bevorzugende Variante eine Radius Authentication Implementierung. Diese "Radius Authentication" verifiziert die Credentials des Client/Workstation im Active Directory (Anbindung des Active Directory im Radius Server). Durch diese Art der Anbindung/Authentication wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Client aus eine Verifizierung des Radius Servers erfolgt sollte/kann dieser anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Verisign) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich dafür da den Radius Server zu verifizieren "bevor" die Credentials gesendet werden. Als Radius Server können vers. Produkte eingesetzt werden! Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers auf einem Windows 2008 Server.
Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf
Wie konfiguriere ich für einen Public HotSpot der Swisscom die Authentication und SSID?
Nun ein Public HotSpot der Swisscom kenn grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:
SSID MOBILE (Authentication "Open")
SSID MOBILE-EAPSIM (Authentication "WPA2-Enerprise" / Radius Port 1645)
NOTE In naher Zukunft werden diese zwei SSID's MOBILE und MOBILE-EAPSIM verschwinden und durch folgende ersetzt:
Swisscom (Vorher MOBILE)
Swisscom_Auto_Login (Vorher MOBILE-EAPSIM)
Die Schreibweise der neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen
die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten
Zeit lanciert werden benützen bereits die neuen SSID's!
SSID MOBILE
Mit der SSID MOBILE wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu gelangen.
Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese SSID
angeht wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom Login
etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten Arten
wie zB Kreditkarte.
SSID MOBILE-EAPSIM
Die SSID MOBILE-EAPSIM steht ausschliesslich Swisscom Kunden zur Verfügung denn wenn der Kunde diese SSID angeht
wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius Authentifizierung
abgearbeitet. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting durchzuführen.
Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE" sowie "MOBILE-EAPSIM" auf einer Fortigate anhand FortiAP's durchzuführen ist. In unserem Beispiel existiert ein dedizierter Port (port2) über diesen die Swisscom mit dessen Environment angehängt ist (Für Internet Access und Authentifizierung). Nachfolgend einen Ueberblick über das Env der Swisscom in unserem Beispiel (Representiert die Umgebung die über besagten "port2" verbunden ist):
Datei:STUE WSTA.pdf Datei:STUE WLS.pdf
Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM Authentifizierung einen Radius Server. Erstelle diesen unter:
User > Remote > RADIUS
Datei:Fortinet-315.jpg
NOTE Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server vergeben.
Dies bedeutet in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem
Verantwortlichen der Swisscom mitgeteilt werden in welcher ART und WEISE die MAC Adresse übermittelt wird um
die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen (Standard Format Beispiel:
0000.4096.3e4a, Unformatiert Beispiel: 000040963e4a)
ACHTUNG Der Swisscom Radius Server in unserem Fall arbeitet noch mit dem "old radius port" dh. nicht mit 1812 sondern
mit Port 1645. Dieser muss per Console umgestellt werden:
# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end
NOTE Um die Anbindung zu überprüfen siehe folgender Artikel:
Fortigate:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F
Für die Konfiguration der SSID "MOBILE" und "MOBILE-EAPSIM" gehe folgendermassen vor:
Als Erstes erstelle die SSID's "MOBILE" und "MOBILE-EAPSIM" unter folgendem Konfigurationspunkt:
WiFi Controller > WiFi Network > SSID
Datei:Fortinet-310.jpg
NOTE Die IP 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und
auf einer Fortigate wird durch diese IP ein virtuelles Interface unter "System > Network > Interface" erstellt!
Datei:Fortinet-311.jpg NOTE Die IP 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IP ein virtuelles Interface unter "System > Network > Interface" erstellt!
Nun erstelle ein Profile indem die zwei SSID's hinzugefügt werden:
WiFi Controller > Manage Access Points > Custom AP Profile
Datei:Fortinet-312.jpg
NOTE Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden!
Füge die zwei SSID's "MOBILE" und "MOBILE-EAPSIM" unter SSID den entsprechenden Radios hinzu!
Nun kann ein FortiAP zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein Interface auf einer Fortigate (ist nicht ein Muss) sowie einen DHCP Server auf diesem Interface, dass den FortiAP's die entsprechende IP vergibt. In unserem Beispiel haben wir ein dezidiertes Access Point Interface dh. port1:
System > Network > Interface
Datei:Fortinet-313.jpg
Erstelle den dazugehörigen DHCP Server:
System > Network > DHCP Server
Datei:Fortinet-314.jpg
Nun kann der Access Point an port1 resp. in diesem Segment angeschlossen werden!
ACHTUNG Damit ein Access Point mit dem Wireless Controller komunizieren kann muss Broadcast, Multicast sowie Unicast auf diesem
Segmment aufgeschaltet sein und nicht geblockt werden.
Nun muss das vorhergehende Profil "Swisscom-HotSpot" auf den entsprechenden FortiAP geladen werden. Dies bedeutet der neu angeschlossene FortiAP sollte nun ersichtlich sein unter:
WiFi Controller > Manage Access Points > Manage FortiAP
Sobald der Access Point ersichtlich ist Doppelklicke den Eintrag dieses FortiAP und wähle:
Authorize
Nun kann unten das entsprechende Profile geladen werden dh. "Swisscom-HotSpot". Sobald bestätigt wird so wird die Konfiguration auf den FortiAP geladen (dauert ca. 3 - 4 Minuten)!
ACHTUNG Achte immer auf die Firmware Revisionen der FortiGate und der Access Points dh. weitere Informationen
betreffend welche Firmware auf der FortiGate und/oder FortiAP eingesetzt werden soll siehe Artikel:
FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
Im Grundsatz sind die FortiAP's nun konfiguriert jedoch die angemeldeteten Clients müssen vom DHCP Server der Swisscom eine IP bekommen. Bei "MOBILE" geschieht dies "ohne" eine Authentifizierung (Open). Bei MOBILE-EAPSIM wird erst eine IP vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden benötigen wir auf den entsprechenden SSID's DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und MOBILE-EAPSIM. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:
SSID MOBILE (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
SSID MOBILE-EAPSIM (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
System > Network > DHCP Server
Datei:Fortinet-316.jpg
Datei:Fortinet-317.jpg
Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE und MOBILE-EAPSIM Authentifizieren sich in disem Segment, beziehen die IP Adresse sowie "surfen" (Internet Access) über dieses Segment. Dies bedeutet sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir Policy Routen:
Router > Static > Policy Route
Datei:Fortinet-318.jpg
Datei:Fortinet-319.jpg
Damit die IP des Radius Server "129.132.254.70" (User > Remote > RADIUS) ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:
Router > Static > Static Route
Datei:Fortinet-320.jpg
Nun fehlt nur noch die Policy:
Datei:Fortinet-321.jpg
Datei:Fortinet-322.jpg
Nun können die ersten Tests durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Inteface (port2) einen Sniffer über die Console laufen zu lassen:
# diagnose sniffer packet port2
Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":
4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
Für das bessere Verständnis nachfolgend noch folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):
Datei:Fortinet-323.jpg
Wie erstelle ich ein sicheres WLAN Passwort und was ist dabei zu beachten?
Damit sich niemand in das WLAN einhacken kann, sollte als Verschlüsselungsverfahren im Router mind. WPA2 eingestellt sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken. Gleichfalls wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB RK-WLAN-Keygen. Sobald das Tool installiert ist wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken von neuem, um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.
Wireless Health
Gibt es eine Möglichkeit die FortiAP's zu überwachen (Health Monitor)?
Natürlich kann man die FortiAP's über das entsprechende MIB File der FortiGate überwachen. Die Möglichkeiten sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die am Wireless Controller angeschlossenen FortiAP's über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende Widgets für die Uberwachung zur Verfügung:
CAPWAP / DTLS
Ist der Traffic zwischen dem Ethernet Port des FortiAP und der FortiGate verschlüssel?
Wie schon im Artikel FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F erwähnt wird der Traffic zwischen der FortiGate und dem FortiAP über CAPWAP abgewickelt. Dabei ist der Traffic zwischen der FortiGate und dem FortiAP "Enkapsuliert" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen der FortiGate und den FortiAP's kann DTLS Verschlüsselung Optional zugeschaltet werden (Ab FortiOS 5). Ebenfalls kann sofern notwendig die Verschlüsselung durch "Clear Text" komplett ausgeschaltet werden (Ab FortiOS 5). Was ebenfalls neu in FortiOS 5 ist, wäre die Möglichkeit die konfigurierte SSID mit einem "Local Bridging" zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port gesendet anstelle diesen über den Data Channel Enkapsuliert zum FortiGate WiFi Kontroller zu senden. Dies ermöglicht ebenfalls eine VLAN-ID der SSID zu assignen um das FortiAP Ethernet Interface nach 802.1Q zu taggen.
Wie werden FortiAP's über die Fortigate gesteuert/konfiguriert (CAPWAP)?
Der Standard der benutzt wird um die FortiAP's über die Fortigate zu konfigurieren/kontrollieren ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich handelt:
http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol
Die Ports die benutzt werden für CAPWAP sind:
UDP 5246 und 5247
NOTE Ab FortiOS 5.0.3 kann die CAPWAP Funktion sprich ob dies zugelassen ist oder nicht über die
Interface Konfiguration aktiviert und/oder deaktiviert werden:
System > Network > Interfaces > [Wähle das entsprechende Interface]
Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat basierend (existierende Zertifikate auf dem FortiGate Controller sowie auf dem FortiAP)!
Was bedeutet "WiFi data channel encryption (DTLS)" und wie konfiguriere ich diesen?
DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benuttz um den Traffic der vom Access Point zum WiFi Controller (FortiGate) zu übermittelnt. Der "Data Channel" wird encapsulated im CAPWAP (FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F) zum WiFi Controller übermittelt. Per Standard wird dieser Traffic "nicht" verschlüsselt. Um eine Verschlüsselung innerhalb des "Data Channels" zu etablieren wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen das "BEIDE" Seiten dh. FortiGate WiFi Controller und der Access Point gleichermassen konfiguriert werden müssen. Nur wenn beide Seiten DTLS aktiviert haben wird eine Verschlüsselung etabliert ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate WiFi Controller sowie den Access Point durchgeführt. Dabei ist die nötige Performance die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "Clear Text" sowie "DTLS" auf den FortiAP's aktiviert. Somit kann über den FortiGate WiFi Controller die Funktion gesteuert werden. Wenn auf dem FortiGate WiFi Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funkton DTLS und/oder Clear Test wird im entsprechenden Access Point Profile konfiguriert. Wenn das "automatic" Profil das zur Verfügung steht benutzt wird, kann nur "Clear Text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren benutze folgendes:
ACHTUNG Die Funktion DTLS Verschlüsselung sollte nur dann aktiviert werden, wenn die Komunikation über ein "NICHT" Trusted
Environment durchgeführt wird dh. zB Internet, öffentliche Netze etc.!
Auf dem FortiGate WiFi Controller:
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end
Auf dem FortiAP:
# cfg -a AC_DATA_CHAN_SEC=1
# cfg -c
NOTE Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:
• 0 is Clear Text
• 1 is DTLS Enabled
• 2 is Clear T ext or DTLS Enabled (default)
NOTE Wenn der Access Point über keinen Consolen Port verfügt kann für den Access Point über den WiFi
Controller eine Telnet Session etabliert werden. Weitere Information siehe folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
Natürlich können die Konfigurationen für beide Geräte sei es FortiGate und FortiAP über das WebGui durchgeführt werden!
Wie kann ich innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern?
Ein Problem, dass nicht nur Fortinet based WiFi Produkte die sich über einen Wireless Controller verwalten lassen haben, ist eine event. IP Fragmentation innerhalb des CAPWAP Tunnels. Eine Fragementierung tritt auf wenn das zu übermittelnde Packet die "max. transmission unit" (MTU) beinahe erreicht jedoch der Overhead des CAPWAP noch dazu kommt. Dann ist das Packet grösser als die MTU und muss Fragmentiert werden. Fragementierung reduziert die Performance und kann sogar zum Datenverlust führen. Die Lösung zu diesem Problem geht FortiOS so an, dass der Wireless Client angewiesen wird kleinere Packete zu senden damit die "max. transmission unit" (MTU) inkl. dem CAPWAP Overhead nicht überschritten wird. Dies kann auf der CLI folgendermassen durchgeführt werden:
# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profile]
# set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
# set tun-mtu-uplink [0 | 576 | 1500]
# set tun-mtu-downlink [0 | 576 | 1500]
# end
# end
tcp-mss-adjust
Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den FortiAP den Wireless Client ein "max sgement size" (MSS)
zu senden. Der FortiAP fügt dem "SYN" Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
mit dem FortiAP Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
und somit kann der FortiAP den Overhead des CAPWAP hinzufügen und eine Fragmentierung verhindern.
icmp-unreachable
Ist per Standard deaktiviert und bedeuet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt,
dass der FortiAP Packet verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine
Fragmentierung. Wenn dies eintrifft sendet der FortiAP ein Packet zum Wireless Controller:
Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
tun-mtu-uplink
Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!
tun-mtu-downlink
Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!
NOTE Wenn "tcp-mss-adjust" oder "icmp-unreachable" aktiviert ist und der Wert für "tun-mtu-uplink/downlink" auf TCP MTU 1500
wird der Wireless Client angewiesen keine grösseren Packete zu senden als "1500". Dies bewirkt das die Packete die nach
Erhalt in den CAPWAP Tunnel gesendet werden nicht fragementiert werden müssen.
Troubleshooting
Was kann getan werden wenn eine Access Point nicht ersichtlich ist über den FortiGate WiFi Controller?
Wenn ein Access Point in einem Segment nicht ersichtlich ist über den WiFi Controller der FortiGate, speziell dann wenn er manuell betreffend IP konfiguriert wurde ist dabei zu achten, dass im betreffenden Segment folgende Protokolle korrekt arbeiten und in diesem Segment zugelassen sind:
Broadcast
Multicast
Unicast
Auf einigen Switchen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste, dass diese Protokolle nicht über den Switch geblockt werden. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:
http://www.ietf.org/rfc/rfc5415.txt
Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit der Verbindung über Port 5246 ein Problem besteht (CAPWAP Port) kann folgendes durchgeführt werden:
Setze den Debug Filter zurück:
# diagnose debug reset
Setze einen neuen Debug Filter:
# diagnose debug application cw_acd 5
NOTE "5" stellt die "verbosity" dar. Diese "verbosity" zeigt ALLE Fehler an sowie den gesamten CAPWAP Prozess (Discovery,
Keep Uplive etc.) Sobald das "debug" nicht mehr benötigt wird muss die Funktion deaktivert sowie gelöschen werden
ansonsten läuft der Debug im Hintergrund weiter und der Filter bleibt bestehen!
Deaktiviere den Debug Modus:
# diagnose debug disable
Setze den Debug Filter zurück:
# diagnose debug reset
Kontrolliere den Debug Filter ob dieser zurückgesetzt wurde:
# diagnose debug info
Deszweiteren zB um festzustellen ob im Bereich "Unicast" ein Problem besteht kann folgender Befehl auf dem FortiGate Interface auf dem die Access Points angeschlossen sind folgendes durchgeführt werden:
# diagnose sniffer packet any "port 5246" 6 0 a
Im Sniffer Output muss die Antwort des Access Point über Unicast (Discovery Request) zum FortiGate Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen.
Wie kann ich Verbindungsprobleme mit einem Wireless Client/Workstation troubleshooten?
Folgender Artikel gibt Auskunft wie solch ein Troubleshooting durchgeführt wird:
Fortigate:FAQ#Wie_kann_ich_Verbindungsprobleme_mit_einem_Wireless_Client.2FWorkstation_troubleshooten.3F
Wie finde ich raus welche Clients mit welcher SSID verbunden sind und mit welcher MAC Adresse?
Um herauszufinden welche Clients mit welcher SSID verbunden sind benutze folgenden Befehl:
# diagnose wireless-controller wlac -d sta
vf=0 wtp=113 rId=1 wlan=only4also ip=192.168.5.2 mac=9c:b7:0d:de:8f:74 rssi=-41 idle=87 bw=0 use=2 chan=6 radio_type=11N
* vf=0 wtp=113 rId=1 wlan=only4also ip=0.0.0.0 mac=00:09:0f:f9:29:22 rssi=0 idle=594992 bw=0 use=2 chan=6 radio_type=11N
* vf=0 wtp=113 rId=2 wlan=only4guests ip=0.0.0.0 mac=00:09:0f:f9:29:29 rssi=0 idle=594993 bw=0 use=2 chan=11 radio_type=11N
In unserem Beispiel sehen wir, dass ein Client mit der IP 192.168.5.2 verbunden ist mit der MAC Adresse 9c:b7:0d:de:8f:74. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "only4also" sowie "only4guests" mit deren MAC Adresse "00:09:0f:f9:29:22" und "00:09:0f:f9:29:29".
Wie finde ich heraus welche Firmware auf einem Access Point installiert ist?
Die Firmware eines Fortinet Access Points ist über das Fortigate WebInterface ersichtlich. Steht dieses aus irgenwelchen Gründen nicht zur Verfügung kann über die Serial Console auf dem Access Point diese ebenfalls direkt ausgelesen werden dh. führe dazu folgendes durch:
# fap-get-status
Version: FortiAP-220B v4.0,build222,120109 (MR3)
Serial-Number: FAP22B1234567890
BIOS version: 04000010
Regcode: N
Hostname: FAP22B1234567890
Branch point: 222
Release Version Information:MR3
Wie kann ich die Konfiguration eines Access Point manuell auf Factory Defaults setzen?
Wenn es nötig wird einen Access Point auf Factory Defaults zu setzen kann folgendes Kommando auf dem Access Point über die CLI durchgeführt werden:
# cfg -x
# reboot
oder auch
# factoryreset
Durch den Befehl "cfg -x" wird der Access Point zurückgesetzt und zware OHNE Neustart des Gerätes im Gegensatz zu "factoryreset"! Die Geräte können ebenfalls auch manuell mit einem Hardware Factory Reset zurückgestellt werden (Reset Knopf). Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:
FAP-210B and FAP-220B
Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.
FAP-221B, FAP 221C and FAP-223B
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Es wird automatisch ein Neustart ausgeführt.
FAP-320B and FAP320C
Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
ein Neustart ausgeführt.
FAP-222B
Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.
FAP-11C
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.
Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:
Fortinet:ProduktInfo#FortiAP
Wie kann ich die Netzwerk Konfiguration eines Access Point manuell auslesen?
Die Konfiguration eines Access Point ersieht man im normal Fall über das Fortigate Mgmt. Webinterface. Wenn dies jedoch nicht mehr möglich etc. kann die momentane Netzwerk Konfiguration über CLi ausgelesen werden. Führe dazu folgendes durch:
# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138
Wie kann ich per Telnet auf einen Access Point zugreifen wenn der Access Point über keinen Consolen Port verfügt?
Wenn ein Access Point zB FAP-221B/C über keinen Consolen Port verfügt und man dennoch über Telnet auf den Access Point zugreifen möchte um zB ein Debug auszuführen, muss auf der Fortigate dies zuerst freigeschaltet werden. Dies bedeutet, ein direkt Zugriff per Telnet auf den Access Point ist nicht möglich. Der Zugriff erfolgt über die Fortigate. Um die Funktion für Telnet freizuschalten auf der Fortigate führe folgendes aus:
- Logge dich auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:
# config wireless-controller wtp
- Ueberprüfe durch "show" welche Access Points existieren:
# show
config wireless-controller wtp
edit "FAP22B3U11011877"
set name "FortiAP1"
set location "FortiAP 220B"
set wtp-profile "FortiAP1"
next
end
- Editiere den entsprechenden Access Point auf dem Telnet freigeschaltet werden soll:
# edit FAP22B3U11011877
# show
config wireless-controller wtp
edit "FAP22B3U11011877"
set name "FortiAP1"
set location "FortiAP 220B"
set wtp-profile "FortiAP1"
next
end
- Aktiviere durch "set login-enable enable" den Telnet Zugriff:
# set login-enable enable
# show
config wireless-controller wtp
edit "FAP22B3U11011877"
set name "FortiAP1"
set location "FortiAP 220B"
set wtp-profile "FortiAP1"
set login-enable enable
next
end
# next
# end
- Teste den Zugriff per Telnet auf den entsprechenden Access Point:
# exec telnet 192.168.3.2
FAP22B3U11011877 login: admin
BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
#
Wie kann vorgegangen werden wenn Performance Problem auf den FortiAP auftreten?
Wenn ein Wireless Infrastruktur aufgebaut wird kommt es nicht selten zu Performance Probleme dh. diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Clients usw. Nun wie soll vorgegangen werden wenn so ein Performance Problem auftritt:
--> Als Erstes führe Tests durch mit den Clients und auf einem "Freien Kanal" (ganz sicher nicht besetzt
oder beeinträchtigt durch andere WiFi Infrastrukturen). Nach Möglichkeit ist der 5 Ghz zu bevorzugen
vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GhZ Bereich durch
Interferenzen das Resultat negativ beeinflusst.
--> Stelle fest/stelle sicher das der Client mit der max. Rate verbunden ist:
130Mbps für 2Ghz 2x2
300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
--> Folgendes Tool kann auf einem Laptop helfen Störungen und Signalqualität zu identifizieren:
http://www.metageek.net/support/downloads (inSSIDer für Windows / Mac / Android)
http://www.nirsoft.net/network_tools.html (WifiInfoView für Windows)
http://www.ekahau.com/products/heatmapper/overview.html (HeatMapper für Windows XP / Windows Vista / Windows 7)
--> Vergewissere dich, dass zwischen FortiAP, FortiGate und Server 1000Mbit benutzt wird. Sofern nötig
setze den speed fix (set speed 1000full).
--> Führe Tests durch mit einem, mehreren Clients sowie mit mehreren Applikationen.
--> Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung
die Auslastung/Auswirkungen auf den CPU und/oder Memory herauszufinden/zu Monitoren:
# get sys perf status
# diagnose sys top
--> Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance
zu erhöhen werden die Packete "aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe
durchgeführt (Block Ack Technique 802.11n). Wenn Packete verworfen werden ist dies ein Hinweis auf
Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr aufzuzeichnen benötigt
man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).
--> Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf) Datei:Jperf-how-to.pdf
--> Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch
Counter-Mode/CBC-MAC Protocol ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch
http://en.wikipedia.org/wiki/CCMP). CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-
Methode.
--> Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
Datei:Fortinet-332.jpg
--> Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen)
verursachen.
--> Ueberprüfe ob zuviele Broadcast sowie Multicast über das WiFi Netz gelangen/transportiert werden.
--> Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. eliminieren)
--> Ueberprüfe ob auf den End Device der User die neusten Treiber sowie WiFi Software installiert ist und
überprüfe deren Datenrate.
Wie kann ich Multicast über einen FortiAP optimieren resp. die Performance steigern?
Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" wird durchgeführt. Dieser Umstand "kann" Multicast" Uebermittlung über die FortiAP's verlangsamen. Um diesen Umstand entgegenzutreten kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine "optimale" Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:
# set multicast-enhance [enable | disable]
NOTE Dieses Kommando aktiviert die Konvertierung von Multicast zu Unicast!
# set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
NOTE Dieses Befehl setzt die Multicast Erweiterung des Durchschnitts der FortiAP's
dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast
zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (
Anzahl FortiAP's).
Ein Access Point ist über zwei unterschiedliche FortiGate WiFi Controller ersichtlich?
Nun ein FortiAP ist per Standard im "AC_DISCOVERY_TYPE" 0 was "auto" entspricht. Dies bedeutet der FortiAP sucht in der ganzen Umgebung (Broadcast, Multicast, DHCP) nach FortiGate WiFi Controllern. Nun wenn mehrer FortiGate WiFi Controller in der Umgebung installiert sind erscheinen die FortiAP auf all diesen FortiGate WiFi Controllern. Auch wenn einer dieser FortiGate WiFi Controllern herangezogen wird um den FortiAP zu konfigurieren bleibt der FortiAP auf den anderen FortiGate WiFi Controllern sichtbar. Um dies zu verhindern muss der "AC_DISCOVER_TYPE" auf "static" dh. "1" gesetzt werden. Dadurch wird explizit "statisch" nach der IP Adresse des "AC_IPADDR" gesucht. Aus diesem Grund muss "AC_IPADDR" explizit manuel gesetzt werden oder anhand einer DHCP Option mitgegeben werden FortiAP:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_wenn_ein_FortiAP_seine_IP_.C3.BCber_den_Forti_WiFi_Controller_per_DHCP_Server_erh.C3.A4lt.3F. Wird "AC_IPADDR" manuell auf dem FortiAP konfiguriert gebe folgenden Befehl ein:
NOTE Wenn der FortiAP über keinen Consolen Port verfügt kann über den WiFi Controller der FortiGate der Access Point
per Telnet konfiguriert werden:
FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
# cfg -a AC_IPADDR=[IP Adresse des FortiGate WiFi Controllers]
# cfg -c
# cfg -s
Um den "AC_DISCOVERY_TYPE" auf Statisch zu setzen gebe folgendes auf der CLI ein:
# cfg -a AC_DISCOVERY_TYPE=1
# cfg -c
# cfg -s
Wenn der FortiAP auf dem FortiGate WiFi Controller sichtbar ist (Connecting) auf dem dieser nicht konfiguriert wird kann dieser dort gelöscht werden (Eintrag mit der Maus markieren und rechte Maustaste > Delete). Nach der obigen Konfiguration darf nun der FortiAP auf diesem FortiGate WiFi Controller nicht mehr erscheinen.
Wie finde ich heraus über welche Uptime ein FortiAP verfügt?
Wenn vermutet wird, dass ein FortiAP selbständig einen Neustart ausführt kann folgender Befehl ausgeführt werden um die Uptime zu eruieren:
# cw_diag uptime
Current uptime : 574652
WTP daemon start uptime : 18
WTP daemon RUN uptime : 74
Time since WTP daemon started : 574634
Time since WTP daemon connected : 574578
Watchdog timer triggered : 0
Watchdog timer action : 1
Watchdog timer time : 22
Welche Debug Möglichkeiten stehen mir auf einem FortiAP zur Verfügung?
Auf dem FortiAP steht das Kommando "cw_diag" zur Verfügung. Anhand dieses Befehls können verschiedenen Optionen angegeben werden und anhand dieser kann ein Debugging durchgeführt werden:
# cw_diag help
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vla n debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server i p and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag wl-log --get wlan's beacon/probe related i nfo
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv inte rval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plan e
cw_diag -c ap-rogue --show rogue APs pushed by AC for o n-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daem on
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Host s
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA
Wenn ein FortiAP "crashed" kann folgender Befehl durchgeführt werden um an die crash Informationen zu kommen:
# cw_diag kernel-panic 64000
NOTE Der Wert 64000 gibt die Grösse an des zu auszugebenden Files!
Konfiguration
Für den Konfigurationspunkt "Security Mode" können welche Mode's konfiguriert werden?
Die üblichen Security Mode wie "WPA2-Enterprise" können über das Web Gui konfiguriert werden. Andere stehen nur über die CLI zur Verfügung dh.:
# config wireless-controller wtp-profile
# edit [Profile Name]
# set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic"?
Dieser Konfigurationspunkt auf der SSID bedeutet, dass die User untereinander nicht komunizieren können (Wird eingesetzt bei Hot-Spot's). Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke von einem Device im selben Segment (SSID). Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Access Point komunizieren können ohne das der Traffic den Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:
# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy [disable / enable]
# set local-switching [disable / enable]
Was bedeutet der Konfigurationspunkt "Rogue AP’s"?
Rogue bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Access Point Verbund/Netzwerk gehört. Dies bedeutet illegale betriebenen Access Points mit gleicher SSID wie über die regulären Access Points verbreitet werden. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der Wireless Controller indem die Mac Adressen mit den regulären Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Um Global den Wireless Controller für AP-Scan resp. On-Wire-Scan zu aktivieren führe auf der CLI folgendes aus (über WebGui "WiFi Controller > WiFi Network > Rogue AP Settings):
# config wireless-controller setting
# set ap-scan enable
# set on-wire-scan enable
# end
Global steht danach die Funktion zur Verfügung. Um nun zB einen dezidierten "Radio" für das Scanning resp. Monitoring zu benutzen muss in einem entsprechenden Profile folgendes konfiguriert werden (über WebGui "WiFi Controller > WiFi Network > Custom AP Profile):
# config wireless-controller wtp-profile
# edit [Name des Profils]
# config radio-1
# set ap-bgscan enable
# set rogue-scan enable
# set ap-bgscan-period 300
# set ap-bgscan-intv 1
# set ap-bgscan-duration 20
# set ap-bgscan-idle 100
# end
# end
Es gibt einige Situationen indem folgendes zu berücksichtigen ist: Wenn ein Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Access Points im gleichen IP Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und WiFi Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" 7. Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt, wird der Access Point alse "On-Wire rogue" erachtet. Um den Standard Wert 7 anzupassen führe folgendes durch:
# config wireless-controller global
# set rogue-scan-mac-adjacency [Wert zB 8]
# end
NOTE "On-wire Rogue-Erkennung" hat einige Einschränkungen! Es muss mindestens ein WiFi Client vorhanden sein auf einem verdächtigen
Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router
handelt, muss die WiFi MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein.
Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)?
"Automatic Radio Resource Provisioning" oder auch kurz ARRP (DARRP) steht im Zusammenhang mit den "Channels" (2.4 GHz Channel 1 bis 13 sowie 5 GHz Channel 36, 40, 44 und 48) mit denen der Access Point arbeitet dh. um zu verhindert das diese "Channesl" unter vers. Access Points kollidieren kann diese Position aktiviert werden. Wenn diese Position aktiviert ist sucht sich der FortiOS WiFi Controller den oder die besten "Channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "Channel" Benutzung wird alle 5 Minuten evaluiert und falls notwendig dem WiFi Client mitgeteilt damit dieser auf den neuen "Channel" wechseln kann. Es ist empfehlenswert diese Position zu aktivieren speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen im "Channel" Bereich zu verhindern.
# config wireless-controller wtp-profile
# edit [Profile Name]
# get | grep darrp
# config radio-[1 oder 2]
# set darrp disable
# end
# end
Was bedeutet der Konfigurations Punkt "short guard intervall"?
"Guard Intervalle", auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt, um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen, gegen die digitale Daten in der Regel sehr anfällig sind. Die Länge des Guard Intervalls entscheidet dabei, wie störanfällig eine Übertragung ist. Je länger ein solches Intervall ist, desto besser schützt es gegen Störungen, desto geringer wird allerdings auch die Kanaleffektivität.
802.11 Guard Interval
Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
"short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
könnte entwickelt werden, um herauszufinden ob ein Short Guard Intervall von Vorteil wäre. Um die Komplexität
zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall.
# config wireless-controller wtp-profile
# edit [Profile Name]
# get | grep short-guard-interval
# config radio-[1 oder 2]
# set short-guard-interval disable
# end
# end
Was bedeutet der Konfigurations Punkt "channel-bonding"?
Die Funktion "channel-bonding" (20/40 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat ist der Einsatz kontraproduktiv und störanfällig. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu, auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" nicht zu empfehlen im 2.4 Ghz Bereich! Da die einzelnen Kanäle breiter werden, aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr, dass sich WLANs gegenseitig stören, wenn sie auf angrenzenden Kanälen funken.
Was bedeutet der Konfigurations Punkt "WIDS Profile"?
Siehe Artikel:
FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F
Was bedeutet "fast-roaming" und wie konfiguriere ich dies?
Wenn User sich in einem Netzwerk befinden/verbunden sind -speziell zB mit Mobile Devices- kann die Situation entstehen, dass diese von Access Point zu Access Point wandern dh. ausser Reichweite des einten Access Point sind und in Reichweite zu einem anderen Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen -sich in Reichweite befindenden- Access Point wieder verbunden. Dadurch wird eine nochmalige Authentifizierung ausgelöst. Möchte man diese abermalige Authentifikation verhindern so muss "fast-roaming" aktiviert werden. "fast-roaming" benützt 2 Unterschiedliche Techniken:
• Pairwise Master Key (PMK) Caching
Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im
Cache abgelegt wird der mit dem ersten AP mit dem sich der User zu Beginn
verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch
bekannt als "fast roam back"!
• Pre-authentication oder "fast-associate in advance"
Aktiviert eine 802.11 Access Point der mit einem Client verbunden ist um
den verbundenen Client auf "event." weiteren Access Points zu verbinden
authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen
weiteren Access Points auf dem sich der Client verbinden könnte dh. es
veranlasst den Access Point auf dem der Client verbudnen ist diesen PMK
abzulegen um zukünftige Authentifizierung für den Client durchzuführen
ohne das dieser eine Authentifizierung selber/manuell abermals durchführen
muss.
# config wireless-controller vap
# edit [wtp-profile Name]
# set fast-roaming enable
# end
Was bedeutet "Wireless IDS" und wie konfiguriere ich dieses?
"Wireless IDS" ist ein Intrusion Detection System (ab FortiOS 5) und überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten. Wenn ein Angriff stattfindet wird dieser auf der FortiGate ins Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen etc.
• Unauthorized Device Detection
• Rogue/Interfering AP Detection
• Ad-hoc Network Detection and Containment
• Wireless Bridge Detection
• Misconfigured AP Detection
• Weak WEP Detection
• Multi Tenancy Protection
• MAC OUI Checking
Per Standard existiert ein "default" Profil. Dieses Profile wird innerhalb eine Access Point Profils (WiFi Controller > Managed Access Points > Custom AP Profile), das erstellt wird um dieses einem bestimmten Access Points zuzuweisen, ausgewählt! Das "default" Profile enthält folgendes:
NOTE Neu kann ein WIDS Profile über das WebGui konfiguriert werden (ab FortiOS 5.0.1). Die entsprechende Menüposition findet
man unter "WiFi Controller > WiFi Network > WIDS Profile".
# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
used-by :
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
Um die Profile/Positionen zu konfigurieren stehen folgende Kommandos/Einstellungen zur Verfügung:
Syntax
config wireless-controller wids-profile
edit <wids-profile_name>
set comment <comment_str>
set asleap-attack {enable | disable}
set assoc-frame-flood {enable | disable}
set auth-frame-flood {enable | disable}
set deauth-br oadcast {enable | disable}
set eapol-fail-flood {enable | disable}
set eapol-fail-intv <int>
set eapol-fail-thres <int>
set eapol-logof f-flood {enable | disable}
set eapol-logoff-intv <int>
set eapol-logoff-thres <int>
set eapol-pr e-fail-flood {enable | disable
set eapol-pre-fail-intv <int>
set eapol-pre-fail-thres <int>
set eapol-pr e-succ-flood {enable | disable}
set eapol-pre-succ-intv <int>
set eapol-pre-succ-thres <int>
set eapol-start-flood {enable | disable}
set eapol-start-intv <int>
set eapol-start-thres <int>
set eapol-succ-flood {enable | disable}
set eapol-succ-intv <int>
set eapol-succ-thres <int>
set i nvalid-mac-oui {enable | disable}
set l ong-duration-attack {enable | disable}
set long-duration-thresh <int>
set null-ssid-probe-r esp {enable | disable}
set spoofed-deauth {enable | disable}
set weak-wep-iv {enable | disable}
set wire less-bridge {enable | disable}
end
Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen Positionen:
Was bedeutet "Client Load Balancing Access Point Hand-off" und wie konfiguriere ich diesen?
Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing" (ab FortiOS 5). Die Funktionsweise des "Access Point Hand-off" ist die folgende:
Ein "Hand-off" wird durch den Access Point ausgelöst anhand des "threshold" (Standard 30).
Wenn der "Load" auf einem Access Point den gesetzten "thresold" übersteigt, wird der WiFi
Client angewiesen auf den nächsten Access Point und/oder Radio zu wechseln. Für diesen
Wechsel der "Hand-off" genannt wird ist die Signalstärke des Client entscheidend (RSSI
threshold). Dieser Wert erhält der Client vom zuständigen Access Point. Um zu verhindern
das ein Zugriff auf den Client (durch Access Point) verhindert wird, werden wiederholende
Anfragen zum Access Point - durch den WiFi Client, auf dem Access Point auf dem der WiFi
Client momentan verbunden ist- akzeptiert. Diese Funktion nennt man "soft-limit".
Datei:Fortinet-340.jpg
Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden Profil ein- oder auszuschalten sowie den "threshold" zu setzen:
# config wireless-controller wtp-profile
# edit [Name des zu editieren Profil]
# set handoff-sta-thresh [Client thresold]
# config radio-1
# set ap-handoff {disable | enable}
# end
# config radio-2
# set ap-handoff {disable | enable}
# end
# end
NOTE "handoff-sta-thresh" bedeutet der Durchschnitt (verbundene Clients) der erreicht werden soll auf einem Access Point
bevor diese angewiesen werden sich auf dem nächsten Access Point zu verbinden!
Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-sta-thresh" zu konfigurieren muss die CLI benutzt werden!
Was bedeutet "Client Load Balancing Frequency Hand-off" und wie konfiguriere ich diesen?
Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing". Die Funktionsweise des "Access Point Frequenzy Hand-off" (ab FortiOS 5) ist die folgende:
Der Wireless Controller überprüft in gewissen Abständen die WiFi Client betreffend Ihrer
Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den Wireless Controller betreffend dem
WiFi Client die RSSI (Signal Stärke) überwacht und das auf den möglichen Frequenzen. Wenn
ein neuer WiFi Client sich verbinden will, überprüft der Wireless Controller die MAC
Adresse des Client und schaut gleichzeitig in den "Tabellen" nach in denen die Informationen
abgelegt sind betreffend Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann
der Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht:
Datei:Fortinet-341.jpg
Wenn der WiFi Client über KEIN dual-band verfügt:
--> Wird erlaubt sich mit dem Access Point (2.4 GHz) zu verbinden
Wenn der WiFi Client über dual-band verfügt mit "guter" Signal Stärke:
--> Antwortet der Wireless Controller nicht auf die Anfrage betreffend 2.4 GHz
sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den Access Point
zu verbinden. Um zu verhindern das ein Zugriff auf den Client verhindert wird,
werden wiederholende Anfragen zum Access Point - durch den WiFi Client, auf
dem Access Point auf dem sich der WiFi Client verbinden will - akzeptiert.
NOTE Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients
unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch
5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein
Beispiel für so einen Device ist das IPad.
Folgende Kommandos können unter der CLI im entsprechenden Profil benutzt werden um das "frequency-off" zu konfigurieren sowie den "threshold":
# config wireless-controller wtp-profile
# edit [Name des zu editieren Profil]
# set handoff-rssi [RSSI (Signalstärke) threshold]
# config radio-1
# set ap-handoff {disable | enable}
# end
# config radio-2
# set ap-handoff {disable | enable}
# end
# end
NOTE "handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Client
bevor der Client auf den 5 GHz Bereich verschoben wird!
Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi " zu konfigurieren muss die CLI benutzt werden!
Was bedeutet "TX Power" und wie konfiguriere ich diese Funktion?
Bei "TX Power" handelt es sich um die Stärke des Signals für ein Access Point! Nun diese Stärke ist/war unter FortiOS 4.3.x manuell einstellbar. Benützt wird diese Funktion wenn zwei Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern konnte manuell der "TX Power" herabgesetzt werden. Neu unter FortiOS 5 wurde dieser Vorgang -sofern gewünscht- automatisiert. Dies bedeutet
--> Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
--> Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
NOTE Die Informationen über die Signalstärke wird durch die Informationen verifiziert die die User durch Ihren Traffic auf den Access Points produzieren.
Bei "channel overlapping" kann diese Art der "TX Power" Anpassung solch ein "channel overlapping" verhindern!
FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F
Dieser Konfigurationspunkt kann im entsprechenden Access Point Profil konfiguriert werden (WiFi Controller > Managed Access Points > Custom AP Profile")!
Was ist DFS (Dynamic Frequency Selection) Support und um was handelt es sich dabei?
Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden, so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wurde. Hierdurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLANs gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wurde, muss unverzüglich ein Wechsel des Kanals initiiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar auf den folgenden FortiAP:
FAP-221B/C
Datei:DFS Europe.pdf
Grundsätzlich gilt:
Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:
UNI1 : 4 Kanäle
UNI2 : 4 Kanäle
UNI2e: 7 Kanäle
UNI3 : 4 Kanäle
Für die Schweiz gilt:
Indoor: Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
Channels: 36 40 44 48 52* 56* 60* 64*
* Nur mit DFS Support!
Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
Channels: 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
* Nur mit DFS Support!
NOTE Die Channel's "52 56 60 64" dürfen in der Schweiz nur aktiviert werden wenn das Gerät
DFS unterstützt und nur im Indoor Bereich! Ebenso dürfen die Channels "100 - 140" nur dann
aktiviert werden wenn der Access Point im Ausenbereich eingesetzt wird. DFS ist zwingend
für UNI2 und UNI2e!
Weitere technische Informationen zum DFS findet man unter folgenden Link:
http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection http://en.wikipedia.org/wiki/List_of_WLAN_channels http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de
Um was handelt es sich beim "802.11g Protection Mode" und wie aktiviere ich diesen?
Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerks! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Ebenfalls ist in der IEEE Spezifikation beschrieben, dass wenn ein 802.11g Gerät ein langsameres 802.11b Gerät erkennt, dieses 802.11g , bevor es das aktuelle Paket sendet. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:
http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination
Ab FortiGate 5.0.6 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert auf "disable":
# config wireless-controller wtp-profile
# edit [Name des Profiles]
# config [Wähle den entsprechenden Radio im 5 GHz Bereich zB "radio-1"]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end
NOTE Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass
sich 802.11a und/oder 802.11b Clienst verbinden können resp. ausgeschlossen werden!
Aus diesen Informtionen stellt sich die Frage "wann" dieser Mode eingeschaltet werden soll und wenn nicht. Die Antwort ist nicht generell zu beantworten jedoch kann man Grundsätzlich von Folgendem ausgehen:
--> Wenn der Access Point sowie die Clients ausschliesslich 802.11g und/oder 802.11n benutzen kann der
Protect Mode ausgeschaltet werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt.
--> Wenn der Access Point sowie die Clients zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen sollte
der Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b
zu gewährleisten und diese "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen.
Kurzgesagt gilt:
protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b
Channels
Welche Radio Channels existieren in den vers. Ländern?
Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:
Datei:Fortinet-304.jpg NOTE Zu Berücksichtigen ist der DFS (Dynamic Frequency Selection) Support! Weitere Informationen siehe Artikel: FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
Datei:Fortinet-305.jpg
Datei:Fortinet-306.jpg
Was bedeutet "overlapping wifi channels"?
Wireless-Verbindungen funktionieren auf Frequenzbändern auch Kanäle genannt. Einer der Gründe, dass eine WiFi Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird und somit die Verbindung beeinträchtigt wird. Somit sollte man dieses "overlapping" möglichst verhindern. Nachfolgend eine Abbildung des "overlapping":
Datei:Fortinet-330.jpg NOTE Um ein "overlapping" zu verhindern wähle möglichst Kanäle die mind 4 Kanäle auseinanderliegen sprich zB. 1 und 6 und/oder 6 und 11.
Um herauszufinden welchen Kanal in der Umgebung verwendet wird, kann der Monitor auf dem FortiGate WiFi Controller benutzt werden. Dies bedeutet: man setzt einen "Radio" auf einem Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Alle Kanäle anzuwählen und "Radio Provisioning" zu aktivieren ist nicht empfohlen!
Wie kann ich herausfinden welche Channels ich benutzen soll auf meinen FAP's um overlapping zu verhindern?
Wenn FortiAccessPoints eigerichtet werden müssen die Channels (speziell im 2.4 GHz Bereich) definiert werden. Dazu stehen in der Schweiz (set country CH) 13 Channels zur Verfügung. Alle Kanäle zu selektieren sowie DARRP wäre die falsche Vorgehensweise da es so gezwungenermassen zu einem "ovelrapping wifi channels" kommt. Weitere Informationen zu den Länderspezifischen Channels sowie DARRP siehe folgende Artikel:
FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
Eine Variante ist die Channels über die "Dedicated Monitoring" zu erkennen und zu analysieren. Eine weitere wäre die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:
FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_den_FortiAP_auftreten.3F
Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhilft dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" FortiAccessPoint die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channels" unter der Spalte "overlap-ap" augezeigt. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese Channels aufgeführt. Aus diesen Informationen können dann die freien Channels ausgewählt werden im Profile:
NOTE Die empfohlene Vorgehensweise um die Channels zu wählen ist immer zwischen den verschiedenen Channels
mind 4 freizulassen sofern möglich also im nachfolgenden Beispiel zB 2/7/12:
# get wireless-controller rf-analysis
WTP: FAP14C3X13000543 0-193.193.135.70:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 90 7 6 11
2 45 10 0 11
3 127 4 2 11
4 33 10 0 11
5 38 10 3 16
6 19 10 0 10
7 23 10 0 10
8 45 10 0 8
9 192 1 5 16
10 57 9 0 13
11 46 10 0 13
12 63 9 0 13
13 231 1 8 13
14 53 10 0 8
WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2
Controller: FGT60D4613048017-0
channel rssi_total
1 243
2 136
3 397
4 109
5 114
6 52
7 56
8 95
9 406
10 125
11 108
12 152
13 560
14 132
40 216
44 30
48 70
Es kann auch anhand der wtp-id nur ein spezifischer FAP aufgelistet werden:
# get wireless-controller rf-analysis FAP22B3U11011877
WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2
Desweiteren kann mit folgenden Befehl alle Access Points augelistet werden die durch den Scan erkannt werden:
# get wireless-controller scan
CMWF VF SSID BSSID CHAN RATE SIGNAL NOISE INT CAPS ACT LIVE AGE WIRED
(dBm) (dBm)
UNNN 0 00:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336613 52253 ? WME VEN VEN ATH
UNNN 0 12:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 22:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 32:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336763 52252 ? WME VEN VEN ATH
UNNN 0 42:09:0f:95:30:f0 8 11M -90 -95 100 ESs N 336618 52253 ? WME VEN VEN ATH
UNNN 0 4ourguests 58:97:1e:b3:4c:70 9 216M -45 -95 102 ESs Y 343847 203 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:71 9 216M -57 -95 102 ESs N 343847 1146 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:72 9 54M -57 -95 102 EPSs N 343847 1144 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:74 9 54M -42 -95 102 EPSs Y 343847 548 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:75 9 54M -59 -95 102 EPSs Y 343847 544 ? RSN VEN VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:76 9 216M -44 -95 102 EPSs Y 343847 203 ? RSN WPA WME VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:79 48 450M -60 -95 102 EP Y 343830 811 ? RSN WPA WME VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7a 48 54M -60 -95 102 EP N 342030 9211 ? RSN VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7b 48 54M -60 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7d 48 54M -59 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7e 48 450M -59 -95 102 E Y 340230 811 ? WME VEN VEN VEN VEN
Gibt es über das Gui eine Uebersicht ob mit irgendwelche fremden AP's ein Overlapping stattfindet (Interfering AP's)?
Wenn Access Points -speziell im 2.4 GHz Bereich- installiert werden muss darauf geachtet werden -bei der Bestimmung der "channels"- dass kein "overlapping" (Interferenzen) mit fremdnen Access Points stattfindet. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:
FortiAP:FAQ#Wie_kann_ich_herausfinden_welche_Channels_ich_benutzen_soll_auf_meinen_FAP.27s_um_overlapping_zu_verhindern.3F_2
Um die Konfiguration nachträglich zu kontrollieren gibt es über folgende Position die Möglichkeit event. "overlapping's" resp. Interferenzen zu eruieren:
WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)
Diese Widget zeigen auf ob der Controller durch die "Radio Resource Provisioning" Funktion event. "overlapping's" resp. Interferenze bestehen. Dies wird in den "Widget" unter der folgender Position aufgeführt:
Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:
Wird ein entsprechende Position unter "Interfering AP's" angewählt sieht man die Details wie
"MAC Adresse des fremden AP's, SSID, benutzter Channel und Signalstärke":
NOTE Es ist -je nach Anzahl fremder AP's- nicht immer möglich "overlapping's" resp. Interferenzen im 2.4 GHz
Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Clients den 5 GHz Bereich
unterstützen sollte der 2.4 GHz Bereich gemieden werden!
FortiPlanner
Gibt es ein Tool mit dem ich eine Wireless Umgebung betreffend Abdeckung planen kann?
Ja, das gibt es dh. der FortiPlanner ermöglicht es über diesen ein Grundriss plan einer Umgebung einzulesen und nachträglich die Dimensionen zu defineren/deklarieren sowie vers. Access Points abzubilden mit deren Abedeckung in dieser erstellten Umgebung. Der FortiPlanner kann über folgenden Link runtergeladen werden:
http://www.fortinet.com/resource_center/product_downloads.html NOTE Die Grundversion ist frei zu Nutzen (bis 50 Access Points). Darüber muss eine "pro license" erworben werden (unlimited). Die "pro license" ermöglicht "dynamic heatmaps" resp. der FortiPlaner kann Informationen aus dem FortiGate Controller auslesen. Diese Komunikation zwischen FortiPlaner und FortiGate basiert auf einem SSH Tunnel. Zusätzlich zu den "heatmaps" kann zB folgenders ausgelesen werden: Momentane Clients auf den Access Points Momentan benutzte Channels auf den Access Points Momentaner TX Power Failed Devices Quick Start Guide Datei:FortiPlanner Quick Start Guide 4.0 MR3.pdf User Guide Guide Datei:FortiPlanner User Guide 4.0 MR3.pdf
Site Survey
Gibt es eine Möglichkeit -ohne FortiGate- die Wireless Abdeckung anhand eines FortiAP's zu testen?
Ja diese Möglichkeit exisitert dh. es ist möglich einen FortiAP Vorort einzusetzen um die Abdeckung zu testen. Dabei kann -ohne eine FortiGate einzusetzen- ein FortiAP so konfiguriert werden, dass dieser eine SSID aussendet mit der die Abeckung Vorort getestet werden kann. Um dies auf einem FortiAP zu konfigurieren führe folgendes durch:
NOTE Dieser Vorgang kann mit jedem FortiAP durchgeführt werden!
1. Verbinde den FortiAP mit einer Workstation über die Ethernet Interface's; Konfiguriere auf der Ethernet Schnittstelle der Workstation
folgende IP:
192.168.1.1/24 (Kein Gateway, Kein DNS)
2. Starte den FortiAP; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface folgende IP konfiguriert:
192.168.1.2/24
3. Verbinde dich per Telnet auf die FortiAP anhand der IP Adresse:
telnet 192.168.1.2
4. Aktiviere den entsprechenden Mode auf dem AP anhand folgenden Befehls:
# cfg –a AP_MODE=2
# cfg -c
NOTE AP_MODE=2 bedeutet 2(Site Survey). Per Standard ist konfiguriert 0(Thin AP)! Weitere Informationen
findet man ebenfalls unter folgenden Artikel:
FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_FortiAP_.C3.BCber_die_CLI_eingegeben_werden.3F
5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des FortiAP durchgeführt!
6. Nachdem Neustart sendet der AP eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann nun die Abedeckung überprüft werden!
7. Soll die SSID oder andere Werte für die SSID im Survey Mode angepasst werden stehen folgende Einstellungen zur Verfügung:
• SURVEY_SSID='FAP_SURVEY' --> Diese Option vergibt den Namen für die SSID im Survey Mode.
• SURVEY_TX_POWER=30 --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige FortiAP's gilt ein Maximum von 17dBm.
• SURVEY_CH_24=6 --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
• SURVEY_CH_50=36 --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
• SURVEY_BEACON_INTV --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
NOTE Gesetzt werden die Werte folgendermassen:
# cfg -a [Entsprechende Option mit deren Wert]
# cfg -c
Soll der FortiAP wieder auf Factory Default gesetzt werden führe aus:
# cfg -x
NOTE Betreffend Factory Reset siehe auch folgender Artikel:
FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F
802.11
Wo finde ich weitere Informationen über "IEEE 802.11" Standard?
Folgender Link gibt Auskunft über Standard und enthält weitere nützliche Links:
http://en.wikipedia.org/wiki/802.11
Wann kommt der 802.11ac Standard und um was handelt es sich dabei?
Fortinet hat ein Dokument veröffentlich indem der neue 802.11ac Standard beschrieben ist wie zB:
Do I need to buy new APs to support 802.11ac?
Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.
Datei:802.11ac Wireless LAN FAQ - July 2013.pdf Datei:802.11ac Wireless LAN FAQ - Januar 2014.pdf Datei:802.11ac Wireless LAN FAQ - Februar 2014.pdf NOTE Im Dokument FAQ vom Februar 2014 kommuniziert Fortinet, dass für die neuesn "C" Modelle für FortiOS 5.0.6 sowie FortiManager 5.0.6 ein "special build" zur Verfügung gestellt wird! Dieser neue "Special Support Build" wurde nun unter folgenden Link für FGT/FWF zur Verfügung gestellt: ftp://support.fortinet.com/FortiGate/v5.00/Feature_Support/fg_5-0_wifi_11ac/ NOTE Dieser Link ist nur zugänglich wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Nur mit diesem "Special Support Build" werden FAP-320C und/oder FAP-221C unterstützt! NOTE Der Upgrade Path dieses "Feature_Support" ist gemäss "offiziellen" Upgrade Path dh. ausgehend davon folgendes Beispiel: - Installierte Version 5.0.x - Upgrade gemäss Upgrade Path auf 5.0.6 (Datei:FortiOS-Upgradepath.pdf) - Einspielen des "Feature_Support" Build Der "special" Build der von Fortinet betreffend OpenSSL Vulnerability "heartbleed" herausgegeben wurde (28CVE-2014-0160) darf nicht angewandt werden. Fortinet wird für den "Feature_Support" eine neue Version zur Verfügung stellen der dem (28CVE-2014-0160) Rechnung trägt. Am 22. April 2014 hat Fortinet den "special" Build der den OpenSSL Vulnerability "heartbleed" Rechnung trägt release unter 5.0.7 Build 4457.
Was ist mit 802.11AC MU-MiMo gemeint?
Unter "802.11AC MU-MiMo" (MI steht somit für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen) versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". Dahinter verbirgt sich im Prinzip ein cleveres Antennen-Management. So kann der Router seine Antennen gezielt aufteilen, wenn er mehrere Gegenstellen zu bedienen hat und damit jedem Konterpart eine besonders stabile und starke Verbindung garantieren:
Datei:Fortinet-326.jpg oder Datei:Fortinet-331.jpg
Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:
Datei:Fortinet-718.jpg
Wenn diese Technology für "802.11AC MU-MiMo" - die auch für den FAP-320B/C - benutzt wird eingesetzt werden soll so muss ebenfalls die Client Seite berücksichtigt werden! Dies bedeutet der Client selber - sei es zB Workstation und/oder Server etc - müssen diese Technology durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client (zB IPad) "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte.
CLI
Welche Kommandos können auf einem FortiAP über die CLI eingegeben werden?
Unter FortiOS 5.0.5 stehen folgende Kommandos zur Verfügung:
Datei:Fortinet-342.jpg
Datei:Fortinet-343.jpg Datei:Fortinet-344.jpg
# cfg -h
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables
Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
Neu können unter FortiOS 5.x auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu sehe Artikel:
FortiAP:FAQ#Welche_Befehle_k.C3.B6nnen_auf_einem_FortiAP_OS_ben.C3.BCtzt_werden.3F
Divers
Wie kann ich auf eine einfache Art bei Performance Problemen Messungen durchführen?
Um in einem Netzwerk sei es WiFi oder Ethernet ist es ratsam eine kleine Client -> Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:
http://www.ars.de/ars/ars.nsf/docs/netio
Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab die danach ausgewertet werden. Ein Scenario wäre zB:
Windows Client --> Windows Server
Windows Server:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
C:\netio131>win32-i386.exe -s
Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein anderer Port definiert werden.
Windows Client:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls
angegeben werden mit -b. Weitere Optionen sind:
Usage: netio [options] [<server>]
-s run server side of benchmark (o
-b <size>[k] use this block size (otherwise
-B -K -M -G force number formatting to Byte
-t use TCP protocol for benchmark
-u use UDP protocol for benchmark
-h <addr> bind TCP and UDP servers to thi
(default is to bind to all loca
-p <port> bind TCP and UDP servers to thi
<server> If the client side of the bench
a server name or address is req
The server side can run either TCP (-t) or UDP
(default, if neither -t or -u is specified). Th
these protocols only (must specify -t or -u).
Windows Client --> Linux Server
Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
#./linux-i386 -s
NETIO - Network Throughput Benchmark, Version 1.30
(C) 1997-2008 Kai Uwe Rommel
UDP server listening.
TCP server listening.
TCP connection established ...
Receiving from client, packet size 1k ... 1364.51 KByte/s
Sending to client, packet size 1k ... 803.63 KByte/s
Receiving from client, packet size 2k ... 1473.31 KByte/s
Sending to client, packet size 2k ... 645.55 KByte/s
Receiving from client, packet size 4k ... 1452.13 KByte/s
Sending to client, packet size 4k ... 640.69 KByte/s
Receiving from client, packet size 8k ... 1120.63 KByte/s
Sending to client, packet size 8k ... 716.57 KByte/s
Receiving from client, packet size 16k ... 1506.04 KByte/s
Sending to client, packet size 16k ... 658.24 KByte/s
Receiving from client, packet size 32k ... 1433.88 KByte/s
Sending to client, packet size 32k ... 855.72 KByte/s
Done.
TCP server listening.
C:\netio131>win32-i386.exe -t [Linux Server / IP]
NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel
TCP connection established.
Packet size 1k bytes: 1381.22 KByte/s Tx, 780.68 KByte/s Rx.
Packet size 2k bytes: 1486.13 KByte/s Tx, 567.92 KByte/s Rx.
Packet size 4k bytes: 1466.74 KByte/s Tx, 612.15 KByte/s Rx.
Packet size 8k bytes: 1129.70 KByte/s Tx, 702.39 KByte/s Rx.
Packet size 16k bytes: 1541.18 KByte/s Tx, 617.14 KByte/s Rx.
Packet size 32k bytes: 1472.19 KByte/s Tx, 796.44 KByte/s Rx.
Done.