Fortinet Wiki - Benutzerbeiträge [de]

FortiGate:FAQ

2020-10-22T07:56:32Z

Michelle Crapella-Papet: /* Was bedeuten die verschiedenen LED-Stati auf einer FortiGate? */

FortiGate-6.0, FortiGate-6.2 und FortiGate-6.4:FAQ

[[Category:Fortinet]]
== Vorwort ==

Dieses FAQ ist für Fortinet Systeme basierend auf FortiOS 6.0, FortiOS 6.2 und FortiOS 6.4. Sofern nicht anderes vermerkt, stand zu Test-Zwecken eine Fortigate 60E zur Verfügung!

 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== FAQ ==
== Dokumentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiGate Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link zu sichten welcher "Cookbook" ähnliche Dokumente und Videos beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle Orginaldokumente betreffend FortiGate:

http://docs.fortinet.com/fortigate/admin-guides

{| class="wikitable"
|- style="background:#89E871"
|''' FortiOS Release Notes '''
|-
| style="width:80%" ;|
* [[FortiGate:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_FortiOS_6.0.3F | Release Notes 6.0]]
* [[FortiGate:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_FortiOS_6.2.3F | Release Notes 6.2]]
* [[FortiGate:FAQ#Wo_finde_ich_die_Release_Notes_f.C3.BCr_FortiOS_6.4.3F | Release Notes 6.4]]
|- style="background:#89E871"
|''' Security Fabric Upgrade Guide '''
|-
|
* [[:Datei:Security-Fabric-Upgrade-Guide-6.0.0.pdf|Security Fabric - Upgrade Guide - FortiOS Version 6.0.0]]
* [[:Datei:Security-Fabric-Upgrade-Guide-6.0.1.pdf|Security Fabric - Upgrade Guide - FortiOS Version 6.0.1]]
* [[:Datei:Security-Fabric-Upgrade-Guide-6.0.2.pdf|Security Fabric - Upgrade Guide - FortiOS Version 6.0.2]]
* [[:Datei:Security-Fabric-Upgrade-Guide-6.0.3.pdf|Security Fabric - Upgrade Guide - FortiOS Version 6.0.3]]
* [[:Datei:Security-Fabric-Upgrade-Guide-6.0.4.pdf|Security Fabric - Upgrade Guide - FortiOS Version 6.0.4]]
|- style="background:#89E871"
|'''Referenzen'''
|-
|
* [[:Datei:FortiOS-Log-Reference-60.pdf|FortiOS 6.0 FortiOS Log Reference]]
* [[:Datei:FortiOS-Log-Reference-62.pdf|FortiOS 6.2 FortiOS Log Reference]]
* [[:Datei:FortiOS-Log-Reference-64.pdf|FortiOS 6.4 FortiOS Log Reference]]
* [[:Datei:FortiGate-CLI-Ref-60.pdf|FortiOS 6.0 FortiOS CLI Reference]]
* [[:Datei:Supported-RFCs-60.pdf|FortiOS 6.0 Supported RFC]]
* [[:Datei:Fortinet-Recommended-SecurityBestPractices.pdf|Fortinet Security Best Practices Version 1]]
* [[:Datei:FortiOS-Software-Platform-Matrix-60.pdf|FortiOS 6.0 Feature/Platform Matrix]]
* [[:Datei:IPS-Application-Control-Signature-Syntax.pdf| Custom IPS Application Control Signatur Syntax Version 4.0]]

* [http://help.fortinet.com/fgt/60/6-0-0/max-values.html FortiOS '''6.0.0''' Maximum Values Tabelle]
* [http://help.fortinet.com/fgt/60/6-0-1/max-values.html FortiOS '''6.0.1''' Maximum Values Tabelle]
* [http://help.fortinet.com/fgt/60/6-0-2/max-values.html FortiOS '''6.0.2''' Maximum Values Tabelle]
* [http://help.fortinet.com/fgt/60/6-0-3/max-values.html FortiOS '''6.0.3''' Maximum Values Tabelle]

|- style="background:#89E871"
|'''Compatibility Matrix'''
|-
|
* [[:Datei:FortiOS-FortiAPS-IPS-AV-compatibility.pdf|FortiOS IPS Engine Support]]
* [[:Datei:FortiOS-Compatibility-FAZ.pdf|Managed FortiAnalyzer Compatibility Matrix]]
* [[:Datei:FortiOS-Compatibility-FMG.pdf|Managed FortiManager Compatibility Matrix]]
|- style="background:#89E871"
|''' FortiOS 6.0 Handbook Dokumente '''
|-
|
* [[:Datei:FortiGate-Whats-New-60.pdf|FortiOS 6.0 Handbook - What's New]]
* [[:Datei:FortiGate-Handbook-60.pdf|FortiOS 6.0 Handbook - Komplettes Handbuch]]
* [[:Datei:FortiGate-Authentication-60.pdf|FortiOS 6.0 Handbook - Authentication]]
* [[:Datei:FortiGate-BestPractices-60.pdf|FortiOS 6.0 Handbook - Bestpraxis Guide]]
* [[:Datei:FortiGate-Carrier-60.pdf |FortiOS 6.0 Handbook - Carrier]]
* [[:Datei:FortiGate-FortiView-60.pdf|FortiOS 6.0 Handbook - FortiView]]
* [[:Datei:FortiGate-Firewall-60.pdf|FortiOS 6.0 Handbook - Firewall]]
* [[:Datei:FortiGate-HA-60.pdf|FortiOS 6.0 Handbook - High Availability]]
* [[:Datei:FortiGate-Hardening-60.pdf|FortiOS 6.0 Handbook - Hardening your FortiGate]]
* [[:Datei:FortiGate-Hardware-accel-60.pdf|FortiOS 6.0 Handbook - Hardware Acceleration]]
* [[:Datei:FortiGate-getting-started-60.pdf|FortiOS 6.0 Handbook - Getting Started]]
* [[:Datei:FortiGate-IPSec-VPN-60.pdf|FortiOS 6.0 Handbook - IPsec VPN]]
* [[:Datei:FortiGate-Life-of-a-Packet.60.pdf |FortiOS 6.0 Handbook - Parallel Path Processing Life of a Packet]]
* [[:Datei:FortiGate-Load-Balancing-60.pdf|FortiOS 6.0 Handbook - Server Load Balancing]]
* [[:Datei:FortiGate-Logging-and-Reporting-60.pdf|FortiOS 6.0 Handbook - Logging and Reporting]]
* [[:Datei:FortiGate-Managing-Devices-60.pdf |FortiOS 6.0 Handbook - Managing Devices]]
* [[:Datei:FortiGate-Managing-Switch-60.pdf|FortiOS 6.0 Handbook - Managing FortiSwitch from FortiGate]]
* [[:Datei:FortiGate-Network-60.pdf |FortiOS 6.0 Handbook - Networking in FortiOS]]
* [[:Datei:FortiGate-Open-Ports-60.pdf |FortiOS 6.0 Handbook - Communication Ports and Protocols]]
* [[:Datei:FortiGate-Sandbox-Inspection-60.pdf|FortiOS 6.0 Handbook - Sandbox Inspection]]
* [[:Datei:FortiGate-Security-Fabric-60.pdf|FortiOS 6.0 Handbook - Security Farbric]]
* [[:Datei:FortiGate-Security-Profiles-60.pdf|FortiOS 6.0 Handbook - Security Profiles]]
* [[:Datei:FortiGate-SIP-60.pdf|FortiOS 6.0 Handbook - VoIP Solutions: SIP]]
* [[:Datei:FortiGate-SSL-VPN-60.pdf |FortiOS 6.0 Handbook - SSL VPN]]
* [[:Datei:FortiGate-System-Administration-60.pdf|FortiOS 6.0 Handbook - System Administration]]
* [[:Datei:FortiGate-Traffic-Shaping-60.pdf|FortiOS 6.0 Handbook - Traffic Shaping]]
* [[:Datei:FortiGate-Transparent-Mode-60.pdf |FortiOS 6.0 Handbook - Transparent Mode]]
* [[:Datei:FortiGate-Troubleshooting-60.pdf|FortiOS 6.0 Handbook - Troubleshooting]]
* [[:Datei:FortiGate-VDOMS-60.pdf |FortiOS 6.0 Handbook - Virtual Domains VDoms]]
* [[:Datei:FortiGate-Virtual-FortiOS-60.pdf|FortiOS 6.0 Handbook - Virtual FortiOS]]
* [[:Datei:FortiGate-Wireless-60.pdf|FortiOS 6.0 Handbook - FortiWiFi and FortiAP Configuration Guide]]
|- style="background:#89E871"
|''' FortiOS 6.2 Handbook Dokumente '''
|-
|
* [[:Datei:FortiGate-Whats-New-62.pdf|FortiOS 6.2 Handbook - What's New]]
* [[:Datei:FortiGate-Cookbook-62.pdf|FortiOS 6.2 Cookbook]]
* [[:Datei:FortiGate-Hardware-accel-62.pdf|FortiOS 6.2 Handbook - Hardware Acceleration]]
* [[:Datei:FortiGate-BestPractices-62.pdf|FortiOS 6.2 Handbook - Bestpraxis Guide]]
|- style="background:#89E871"
|''' FortiOS 6.4 Handbook Dokumente '''
|-
|
* [[:Datei:FortiGate-Whats-New-64.pdf|FortiOS 6.4 Handbook - What's New]]
* [[:Datei:FortiGate-Hardware-accel-64.pdf|FortiOS 6.4 Handbook - Hardware Acceleration]]
* [[:Datei:FortiGate-BestPractices-64.pdf|FortiOS 6.4 Handbook - Bestpraxis Guide]]
* [[:Datei:FortiGate-Life-of-Packet-64.pdf|FortiOS 6.4 Handbook - Parallel Path Processing (Life of a Packet)]]
|}

=== Welches sind die wichtigsten Ports und Protokolle für einen reibungslosen Betrieb? ===

Wenn eine FortiGate sich im Factory-Reset (Werkszustand) befindet, so werden
verschiedene TCP / UDP-Ports durch das FortiOS zur Verfügung
gestellt um die notwendigen Funktionen der FortiGate bereitzustellen. Nachfolgende Übersicht zeigt die benötigten Ports (TCP / UDP) auf.
Folgendes ist dabei zu berücksichtigen: Diese abgebildeten TCP / UDP-Ports werden nicht standardmässig zur Verfügung gestellt / ersichtlich.
Viele Ports sind nur dann ersichtlich wenn die entsprechende Funktion genutzt wird:

[[file: Fortinet-3024.jpg |link=]]

== Request of Proposal ==

'''Ihre Mitarbeit ist Willkommen!''' 
Sie möchten eine Korrektur zu einem Artikel anbringen oder einen Beitrag leisten? 
Schreiben Sie uns eine Nachricht auf: '''fortinet-ch@also.com''' 
Vielen Dank für Ihre Unterstützung!

== Hardware ==

=== Wo finde ich die Hardware Revision und Hardware Generation Informationen einer FortiGate? ===

Die FortiGate verfügt über eine entsprechende "Hardware Revision" und "Hardware Generation". Über diese Informationen wird das Gerät identifiziert. Möchte man die "Hardware Revision" einer FortiGate herausfinden kann dies wie folgt bewerkstelligt werden:
{| class="wikitable"
|-
! Variante Device Label
! Variante FortiOS
|-
| style="width:550px" ;|
Die "Hardware Revision" wird als "Label" auf der Rückseite der FortiGate aufgeführt und in nachfolgender Form und als Strich-Code:

'''PN: P15968-01'''
|Wenn man über die CLI folgenden Befehl ausführt erhält man die "Hardware Revision" Informationen:
<pre>
# get system status | grep Part-Number
System Part-Number: P15968-01
</pre>
|-
|}

Wie schon zu Beginn erklärt wird ein Device über die "Hardware Revision" und "Hardware Generation" identifiziert. Die "Hardware Generation" kann jedoch nicht eruiert werden. Weder über ein "Label" noch via CLI. Wenn diese Information benötigt wird, muss via ein Customer Care Ticket die entsprechende Information der "Hardware Generation" erfragt werden. Dies kann wie ein Support-Ticket für Fortinet eröffnet werden (siehe nachfolgender Artikel):
[[Fortinet:Support-Case]]
Bei dieser "Hardware Revision", wie in unserem Beispiel gezeigt (P15968-01), handelt es sich zBsp um eine FG-70D. Dies bedeutet, wenn eine neue "Hardware Revision" für dieses Gerät veröffentlicht wird, so kann diese über eine PN Nr. "P15968-01" verfügen, jedoch als "Hardware Generation" die "2". Es kann jedoch auch sein, dass ein neue "Hardware Revision" über eine PN-Nummer verfügt, zBsp "P15978-02". Somit können anhand der PN-Nummer '''keine''' Rückschlüsse über folgende, notwenidge Informationen gezogen werden:
PN-Nummer (Hardware Revision) + Hardware Generation
Diese Informationen der "Hardware Revision", wie auch jene der "Hardware Generation" sind dann wichtig, wenn es sich um ein Cluster handelt. Bei einem RMA Austausch achtet Fortinet darauf und übermittelt der zuständigen Stelle, welche für den Austausch zuständig ist diese Informationen. So kann sichergestellt werden, dass exakt die gleiche "Hardware Revision" und "Hardware Generation" dem Kunden zugestellt wird!

=== Wo finde ich eine Übersicht welche FortiGate zBsp über wieviel "Memory" verfügt, ein "SOC" und / oder ob ein "NP" verbaut ist? ===

Nachfolgend eine Aufstellung die zeigt über welche Komponenten, wie "SOC, NP, Memory, Storage" eine FortiGate verfügt:

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Diese Informationen stammen aus einem Post aus dem "Fortinet Forum" da Fortinet diese Informationen nicht kommuniziert:

https://forum.fortinet.com/tm.aspx?m=100451#100451

Zusätzlich steht ein Dokument von Fortinet zur Verfügung welches über die Hardware Schematic verschiedener Fortinet Produkte wie zBsp CPU, RAM, Flash usw. Auskunft gibt:

[[file:Fortinet-Hardware-Schematics.pdf]]
|}

'''LEGENDE'''
FA = FA526id(wb) rev 1 (v4l) FortiSOC (Fortinet)
I2 = Intel Core 2 Duo
I3 = Intel Pentium III
I4 = Intel Pentium 4
IA = Intel Atom
IC = Intel Celeron (Covington)
II3 = Intel Core i3
II5 = Intel Core i5
IM = Intel Mobile
IX = Intel Xeon

CP: Content Processor
NP: Network Processor
SoC: System on a Chip

[[file:Fortinet-821.jpg|link=]]

[[file:Fortinet-822.jpg|link=]]

[[file:Fortinet-823.jpg|link=]]

[[file:Fortinet-1611.jpg|link=]]

[[file:Fortinet-824.jpg|link=]]

=== Was für FortiGate Geräte stehen zur Verfügung und wie finde ich das Passende für mich? ===

Wenn für einen Kunden eine FortiGate evaluiert werden soll stellt sich jeweils die Frage welches Gerät das Richtige für diesen Kunden ist. Um dies zu eruieren sind folgende Punkte massgebend:

* Über was für eine Internet Anbindung verfügt der Kunde, an welcher die FortiGate installiert werden soll?
* Ist ein Ausbau / Wechsel der Internet Anbindung geplant? Falls ja, wie wird diese vergrössert? (Downstream / Upstream)?
* Wie viele User werden von der FortiGate geschützt?
* Welche UTM Features sollen auf der FortiGate aktiviert werden? (Antivirus, WebFilter, IPS usw.)
* Wird "deep inspection" eingesetzt (aufbrechen von verschlüsseltem Traffic)?
* Werden spezielle Interfaces, wie zum Beispiel SFP+ benötigt?
* Wird ein spezieller Durchsatz in einem Bereich benötigt?
* Wie wird das "logging" durchgeführt? Soll auf Disk, FortiAnalyzer oder Syslogserver geloggt werden?

Zusätzlich stellt Fortinet die sogenannte "Produkte Matrix" zur Verfügung. In dieser werden die verschiedenen Modelle gegenübergestellt. Dabei werden die verschiedenen "Durchsätze" in verschiedenen Kategorien wie SSL-VPN, IPSec, UTM Antivirus usw. aufgelistet. Dabei ist zu beachten, dass diese "Durchsätze" als "Feature Only" Durchsatz zu verstehen sind. Dies bedeutet: Wird Antivirus mit 35 Mbps Durchsatz aufgeführt, versteht sich dieser Wert in dem Sinne, dass wenn dieses Device "nur" Antivirus Traffic erhalten würde, der Durchsatz 35 Mbps ist. Aus diesem Grund ist es unerlässlich die Produkte Matrix zu konsultieren um das richtige Device für den Kunden auszuwählen:

[[Datei:ProductMatrix.pdf]]

Zudem stehen zu den verschiedenen FortiGates jeweils die "Datasheets" zur Verfügung welche nochmals detailliert über das jeweilige Gerät Auskunft gibt. Des Weiteren stehen nebst den "Datasheets" ebenso die "Quickstart Guide" zur Verfügung welche zeigen "was" zum Lieferumfang gehört und wie dieses Gerät aussieht / Abbild:

[[Fortinet:ProduktInfo#FortiGate]]

Des Weiteren steht für die Produkte Information der Produkt Guide zur Verfügung welches jede FortiGate in einer Kurzübersicht darstellt:

[[file:Fortinet-ProductGuide.pdf]]

Nachfolgend als Anhaltspunkt eine Übersicht der verschiedenen FortiGates welche in den verschiedenen Kategorien wie "Entry Level, Midsize usw." zur Verfügung stehen:

{| class="wikitable"
|-
! FortiGate Entry Level Series: Comparison
|-
| [[file:Fortinet-1392-A.jpg|link=]]

[[file:Fortinet-1392-B.jpg|link=]]
|-
|}

{| class="wikitable"
|-
! FortiGate Mid Range Devices: Comparison
|-
| [[file:Fortinet-1393.jpg|link=]]

[[file:Fortinet-1393-A.jpg|link=]]

[[file:Fortinet-1393-B.jpg|link=]]
|-
|}
{| class="wikitable"
|-
! FortiGate 1000 und 2000 Series: Comparison
|-
| [[file:Fortinet-1394.jpg|link=]]

|-
|}
{| class="wikitable"
|-
! FortiGate 3000 Series: Comparison
|-
| [[file:Fortinet-1395.jpg|link=]]

|-
|}
{| class="wikitable"
|-
! FortiGate 5000: Comparison
|-
| [[file:Fortinet-1396.jpg|link=]]

|-
|}

Einen detaillierten Überblick bekommt man auf der folgenden Seite:
http://help.fortinet.com/fgt/60/6-0-0/max-values.html

=== Wie kann ich auf einer FortigGate einen Hardwaretest ausführen (Troubleshooting / HQIP Testing)? ===

Damit man den "Advanced Hardware Test" resp. HQIP Test durchführen kann, muss ein spezielles "image", welches für jedes Device zur Verfügung gestellt wird, temporär geladen werden. Unter der regulären Support-Seite findet man die Images über das Icon "HQIP Images" am Ende der Seite. Nachfolgend der direkte Link für "HQIP Images":

https://support.fortinet.com/Download/HQIPImages.aspx

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Damit man zu diesem Link gelangt muss sich mittels eines Support Accounts eingeloggen und das damit
entsprechende Image herunterladen zu können, muss die entsprechende Serien-Nummer des Devices eingegeben
werden. Dies muss durchgeführt werden da jedes Gerät sich anhand der Revision und Generation identifiziert
um das entsprechende HQIP Image zur Verfügung stellen zu können. Dies bedeutet auch: Es ist nicht
zu empfehlen ein bestehendes Image aus einem früheren HQIP Test zu nutzen um auf einem baugleichen Device
den Test durchzuführen, da die Devices -obwohl Baugleich- sich in Revision und Generation unterscheiden können.
|-
|}

Auf der FortiGate wird dieses HQIP Image wie beim "stagging" Prozess selber über TFTP hochgeladen.
Nachdem man das HQIP Image über TFTP geladen hat kann mit dem User "admin" eingeloggt werden (kein Passwort). Anhand des Befehls "diagnose hqip start" kann ein Script ausgeführt werden. Dieses Script führt die verschiedenen Hardware Tests aus. Der Unterschied zum regulären "stagging" Prozess ist lediglich, dass dieses Image nicht anhand "D" (Default), "B" (Backup) sondern anhand "R" (Run) installiert wird. Dies bedeutet: dieses Image wird durch "R" (Run) temporären Memory-Bereichzu installieren. Der Output der seriellen Konsole muss "geloggt" werden um dies später dem Fortinet Support zur Verfügung stellen zu können. Im "Putty" wird dies für eine Session unter folgendem Bereich konfiguriert:

Category > Session > Logging > All Session output

Nachfolgend eine Schritt für Schritt-Anleitung wie so ein HQIP Image geladen, und das Skript ausgeführt werden kann:

-> Entsprechendes Image herunterladen (siehe Link oben; Serien-Nummer des Gerätes muss angegeben werden)

-> Benenne das File neu mit "image.out" und verschiebe diese in das root Verzeichnis eines TFTP Servers.
Wenn kein TFTP Server vorhanden ist empfehlen wird den SolarwindsTFTP Server. Nachfolgend ein Link
um diesen herunterzuladen:

SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_tftp_server.aspx

-> Sofern das Web Mgmt. Interface zugänglich ist empfehlen wir vor dem Test ein ordentliches Backup der
Konfiguration der FortiGate durchzuführen!

-> Führe über die Serielle Konsole nachfolgenden Befehl aus um einen Neustart des Devices durchzuführen:

# '''execute shutdown'''

-> Um das HQIP Image über den TFTP Server zu laden muss eine Workstation folgendermassen mit einer FortiGate
verbunden werden (Beispiel: FortiGate-60D)

_____________________________
| RS232 Verbindung |
Konsolen Port | |
___________|___ | RS232 Anschluss
| | ____|_______________
| FortiGate 60D | 192.168.1.100/24 | |
|_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten
| | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
WAN1 | |
|_____________________|

'''NOTE''' Auf dem Laptop müssen sämtliche Firewalls, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (kein DNS, kein Default Gateway nötig)!

-> Öffne über Putty eine serielle Verbindung (Konsole) und achte darauf das "Putty" für Log aktiviert wurde.
Schalte die FortiGate ein und breche den Startprozess ab wenn folgendes erscheint:

FortiGate-60D (10:49-11.12.2014)
Ver:04000024
Serial number: FGT60D4615013788
CPU(00): 800MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu

'''Unterbreche den Boot-Prozess durch "Press any key"'''

[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.

Enter C,R,T,F,I,B,Q,or H: T

Please connect TFTP server to Ethernet port 'WAN1'.

MAC: 08:5b:0e:d9:18:f0

Connect to tftp server 192.168.1.100 ...

############################################################
Image Received.
Checking image... OK

'''ACHTUNG - Beim nächsten Menüpunkt wähle "R", NICHT "D" oder "B" um zu speichern, sondern NUR ausführen!'''

Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?'''R'''
Reading boot image... 1829759 bytes.
Initializing firewall...

System is starting..

Test program loading(HQIP, Build1003,Dec 15 2010 19:42:45) ...

You are running HQIP test program. To start testing, login as "admin" without password, and type:
diagnose hqip start

'''Melde dich nun anhand der obigen Informationen an!'''

HQIP login: '''admin'''
Password:
Welcome !

HQIP # '''diagnose hqip start'''

Nun wird der HQIP Test ausgeführt und zwar für folgende Informationen:

1.BIOS Integrity Check
2.System Configuration Check
3.Memory test
4.CPU test
5.CPU/Memory Performance Test
6.FortiASIC Test
7.USB Test
8.Boot Device Test
9.Hard Disk Test
10.Network Interface Controller Test
11.NPU DDR Memory Test
12.LED Test
13.Reset Button Test

Dies bedeuetet, dass normalerweise alle Netzwerkkarten Ports angeschlossen werden müssten. Geschieht dies nicht, so erscheint eine Fehlermeldung welche jedoch keinen weiteren Einfluss auf die auszuführenden Tests hat, ausser der Test soll auf den Interfaces ausgeführt werden. Wenn die Netzwerkkarten-Tests korrekt ausgeführt werden sollen, müssen die Ports wie folgt verbunden werden (Beispiel FortiGate-60D):

[[file:Fortinet-1632.jpg|link=]]

Nachfolgend ein Output eines solchen Tests einer FG-60D (Netzwerk Port gemäss Grafik oberhalb umgangen):

[[Datei:hqip-output-v54.txt]]

Um die Fortigate wieder in den originalen Zustand zu versetzen führe ein Login über die serielle Konsole mit dem User "admin" (kein Passwort)durch. Danach führe folgendes aus:

HQIP login: admin
Password:
Welcome !

HQIP # execute reboot
This operation will reboot the system !
Do you want to continue? (y/n)y

Da das HQIP Image "nur" temporärer (Memory) installiert wurde, sind alle Informationen nach einem Neustart bezüglich diesem Image gelöscht. Wenn es nach dem Neustart zu Hinweisen / Errors betreffend der Konfiguration kommt wie zBsp:

System is started.
The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read'

Führe ein Login durch und führe folgendes aus:

# diagnose debug config-error-log read
>>> "unset" "post-lang" @ root.firewall.profile-protocol-options.default.ftp:command parse error (error -61)

Oftmals ist ein einfacher Neustart der Fortigate notwendig um das Problem zu beheben:

# execute reboot

=== Für die FortiGate der "E"-Serie, sowie FG-300D/500D existiert kein HQIP Image - wie kann ich dennoch einen Hardwaretest ausführen? ===

Bei der "E"-Serie wie zBsp der FG-51E, sowie der FG-300D und FG-500D, kann via "Support"-Seite kein separates HQIP Image heruntergeladen werden. Auf diesen Umstand wird auf der "Support"-Seite hingewiesen. Hierfür steht jedoch auf den erwähnten FortiGates ein neuer "diagnose" Befehl zur Verfügung, welcher diese "Hardware Tests" im Stil von "HQIP" ausführt:

# diagnose hardware test [Parameter]

Als "Parameter" kommen folgende Attribute in Frage:

bios führt eine BIOS spezifische Überprüfung durch
system führt ein System spezifische Überprüfung durch
usb führt eine USB spezifische Überprüfung durch
button führt eine button spezifische Überprüfung durch
cpu führt eine CPU spezifische Überprüfung durch
memory führt ein Memory spezifische Überprüfung durch
network führt eine Netzwerkinterface spezifische Überprüfung durch
disk führt eine disk spezifische Überprüfung durch
led führt eine LED spezifische Überprüfung durch
wifi führt eine Wireless spezifische Überprüfung durch
suite runthe HQIP test suite
setting die Testeinstellungen können auf diesen Weg geändert werden
info zeigt die aktuellen Test Parameter an

Um alle "test suite" durchzuführen kann folgendes ausgeführt werden:

# diagnose hardware test suite all

Nachfolgend ein "Output" dieses Befehls welcher auf auf einer FG-50E basiert:

[[Datei:diagnose-hardware-test-suite-all.txt]]

=== Wie erhalte ich eine Übersicht wie die Luftzirkulation (Airflow) in einer FortiGate funktioniert? ===
Im nachfolgenden Dokument wird aufgezeigt wie die Luftzirkulation / Kühlung der entsprechenden FortiGates aufgebaut ist und wie diese funktionieren:
[[file:Fortinet-Hardware-Airflow.pdf]]

=== Wie kann ich die verschiedenen Hardware Informationen auf einer FortiGate anzeigen lassen? ===

Um die detaillierten Hardware Informationen auf einer FortiGate aufzulisten steht folgender Befehl zur Verfügung:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# get hardware [cpu | memory | nic | npu | status]
|-
|}

Somit kann anhand der Optionen folgendes ausgeführt werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' '''get hardware cpu'''
|-
| style="width:850px" ;|
# '''get hardware cpu'''
Processor : ARMid(wb) rev 1 (v4l)
model name : FortiSOC2
BogoMIPS : 799.53
Features : swp half thumb

Hardware : FSoC2_ASIC
Revision : 0000
Serial : 0000000000000000
Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
Seperated TLB: Associativity 0
0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
SysP:En WB:En DC: En Align:En
0x00000000 SB: Dis DB:Dis RS:Dis
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' '''get hardware memory'''
|-
| style="width:850px" ;|
# '''get hardware memory'''
total: used: free: shared: buffers: cached: shm:
Mem: 1928364032 437944320 1490419712 0 2940928 154861568 140664832
Swap: 0 0 0
MemTotal: 1883168 kB
MemFree: 1455488 kB
MemShared: 0 kB
Buffers: 2872 kB
Cached: 151232 kB
SwapCached: 0 kB
Active: 74368 kB
Inactive: 79864 kB
HighTotal: 0 kB
HighFree: 0 kB
LowTotal: 1883168 kB
LowFree: 1455488 kB
SwapTotal: 0 kB
SwapFree: 0 kB
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' '''get hardware cpu'''
|-
| style="width:850px" ;|
# '''get hardware cpu'''
Processor : ARMid(wb) rev 1 (v4l)
model name : FortiSOC2
BogoMIPS : 799.53
Features : swp half thumb

Hardware : FSoC2_ASIC
Revision : 0000
Serial : 0000000000000000
Imp: 0x66 Arch: 0x5 Part: 0x726 Ver: 0x1
Ctype: 14 DSize: 6 DASS: 8 DLEN: 32 ISize: 6 IASS: 8 ILEN: 32
Seperated TLB: Associativity 0
0x0005317f HUM: En Vec Base:0xffff0000 IC:En BP:Dis RomP:Dis
SysP:En WB:En DC: En Align:En
0x00000000 SB: Dis DB:Dis RS:Dis
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' '''get hardware memory'''
|-
| style="width:850px" ;|
# '''get hardware memory'''
total: used: free: shared: buffers: cached: shm:
Mem: 1928364032 437944320 1490419712 0 2940928 154861568 140664832
Swap: 0 0 0
MemTotal: 1883168 kB
MemFree: 1455488 kB
MemShared: 0 kB
Buffers: 2872 kB
Cached: 151232 kB
SwapCached: 0 kB
Active: 74368 kB
Inactive: 79864 kB
HighTotal: 0 kB
HighFree: 0 kB
LowTotal: 1883168 kB
LowFree: 1455488 kB
SwapTotal: 0 kB
SwapFree: 0 kB

'''NOTE''' Weitere Befehle um detaillierte Informationen bezüglich der Memory-Nutzung zu erhalten können dem nachfolgenden Artikel entnommen werden:
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_die_Memory_Benutzung_eines_FortiGate_Devices_anzeigen_lassen.3F|Artikel Benutzung Memory anzeigen lassen]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' '''get hardware nic'''
|-
| style="width:850px" ;|
# '''get hardware nic'''
The following NICs are available:
dmz
internal1
internal2
internal3
internal4
internal5
internal6
internal7
wan1
wan2

'''NOTE''' Um detaillierte Informationen über ein spezifisches Interface zu erhalten kann folgender Befehl ausgeführt werden:

# '''get hardware nic''' [Name des Interfaces zBsp "dmz "]
Driver Name :Fortinet NP4Lite Driver
Version :1.0.0
Admin :up
Current_HWaddr 08:5b:0e:47:db:57
Permanent_HWaddr 08:5b:0e:47:db:57
Status :up
Speed :100
Duplex :Half
Host Rx Pkts :480560
Host Rx Bytes :104351252
Host Tx Pkts :468353
Host Tx Bytes :83937534
Rx Pkts :480558
Rx Bytes :111078750
Tx Pkts :468351
Tx Bytes :80501362
rx_buffer_len :2048
Hidden :No
cmd_in_list : 0
promiscuous : 1
enabled 802.1x : 0
authorized : 0
mac bypass : 0
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:''' '''get hardware npu'''
|-
| style="width:850px" ;|
# '''get hardware npu'''
legacy legacy
np1 np1
np2 np2
np4 np4

Dieser Output wird nur angezeigt wenn das entsprechende Gerät, auf welchem dieser Befehl ausgeführt wird auch einen "NPU" (Networking Processing Unit) enthält. Wenn es sich um ein Gerät mit integriertem NPU handelt, wie der SoC, wird kein Output geliefert.
|}

=== Was bedeuten die verschiedenen LED-Stati auf einer FortiGate? ===

Eine FortiGate verfügt am FrontPanel über verschiedene LED's wie zBsp High Availability, Power, Status usw. Diese können verschiedenen Stati anzeigen. Die Bedeutung der verschiedenen LED's können der folgenden Tabellen entnommen werden:

{| class="wikitable" style="width:800px"
!colspan="3" style="text-align:left; background:#89E871" |LED Status Code
|-
| style="width:150px" |
'''Label'''
| style="width:150px" |
'''Status'''
| '''Bedeutung'''
|-
|rowspan="2"| '''PWR '''
| style="background:#2EFE2E"| grün
| Power is ON
|-
| style="background:#A4A4A4"| Off
| Power is off
|-
|rowspan="3"| '''STA '''
| style="background:#2EFE2E"|grün
| Status ist Normal
|-
| style="background:#2EFE2E"| blinkend grün
|
* Die FortiGate bootet
* Wenn die FortiGate über eine Reset-Taste verfügt, bedeutet grün blinkend auch, dass die Reset-Taste verwendet wurde.
|-
| style="background:#FF0000"| rot
| Es liegt auf der FortiGate ein kritischer Alarm vor
|-
|rowspan="3" | '''ALARM '''
| style="background:#A4A4A4"| Off
| Kein Alarm oder die FortiGate hat einen minor Alarm
|-
| style="background:#eaa210"| orange(Amber)
| Die FortiGate hat einen Major Alarm
|-
| style="background:#FF0000"| rot
|
* Die FortiGate hat einen kritischen Alarm.
* Die STA LED wird auch rot leuchten.
|-
|rowspan="3" | '''HA '''
| style="background:#2EFE2E"| grün
| Die FortiGate wird in einem FGCP HA-Cluster betrieben.
|-
| style="background:#FF0000"| rot
|
Ein Failover ist eingetreten. Dies bedeutet in der Regel, dass eine der FotiGates eines HA-Clusters ausgefallen ist, die HA-Heartbeat Kommunikation zwischen den FortiGates im HA-Cluster ausgefallen ist oder diese unterbrochen wurde.
|-
| style="background:#A4A4A4"| Off
|
* Es ist kein HA Cluster konfiguriert
* Das HA LED ist nicht auf allen FortiGates vorhanden.
|-
|rowspan="3" | '''WIFI'''
| style="background:#2EFE2E"| grün
| Der Wireless Port ist aktiv
|-
| style="background:#2EFE2E"| blinkend grün
|
Das Wireless Interface sendet und empfängt Daten.
|-
| style="background:#A4A4A4"| Off
|
Das Wireless Interface ist down
|-
|}

{| class="wikitable" style="width:800px"
!colspan="3" style="text-align:left; background:#89E871" |LED Status Codes bei den Interfaces
|-
| style="width:150px" |
'''Port Typ'''
| style="width:150px" |
'''Status'''
| '''Bedeutung'''
|-
|rowspan="3"|
'''Ethernet Port 
Link / Aktivität'''
| style="background:#2EFE2E"| grün
| verbunden
|-
| style="background:#2EFE2E"| blinkend grün
| senden und empfangen von Daten
|-
| style="background:#A4A4A4"| Off
|
Keine Verbindung aktiv

|-
|rowspan="3" |
'''Ethernet Port 
Speed '''
| style="background:#2EFE2E"| grün
| verbunden mit 1 Gbps
|-
| style="background:#eaa210"| orange(Amber)
| verbunden mit 100 Mbps
|-
| style="background:#A4A4A4"| Off
|
Nicht verbunden oder mit 10 Mbps verbunden.

* Bei FortiGate Modellen mit nach vorne gerichteten Interfaces, befinden sich diese LEDs rechts des entsprechenden Port.
* Bei FortiGate Modellen mit den Interfaces an der Rückseite des Geräts, befinden sich diese LEDs in der unteren Reihe.
|-
|rowspan="3"| '''SFP Ports '''
| style="background:#2EFE2E"| grün
| verbunden
|-
| style="background:#2EFE2E"| blinkend grün
| senden und empfangen von Daten
|-
| style="background:#A4A4A4"| Off
| Keine Verbindung aktiv
|-
|}

'''Anordnung Link Status und Link Speed LED bei FortiGate Modellen mit nach vorne gerichteten Interfaces:'''
[[File:Fortinet-2725.jpg|750px|link=]]
'''Anordnung Link Status und Link Speed LED bei FortiGate Modellen mit nach hinten gerichteten Interfaces:'''
[[File:Fortinet-2726.jpg|750px|link=]]

Dokument:
* [[:Datei:FortiGate_LED_Specs.pdf|LED Specs FortiGate]]

=== Wie wird ein virtueller Switch komplett gelöscht? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Um einen virtuellen Switch komplett zu löschen, müssen sämtliche Einstellungen und Objekte, welche darauf referenzieren, zurückgebaut werden. Deshalb ist es am einfachsten, wenn man sich gerade am Anfang, bei der Initialkonfiguration Gedanken macht, ob man diesen virtuellen Switch verwenden möchte oder nicht. Um von einer Fortigate mit Werkseinstellung den virtuellen Switch zu löschen, muss sich via RS232 auf die Firewall verbunden werden, um dann wie folgt vorzugehen:

{| class="wikitable"
|- style="background:#89E871"
|'''1. Sämtliche Firewall Policies mit Referenzen auf den Switch werden gelöscht:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config firewall policy
fg-lab (policy) # show
config firewall policy
edit 1
set uuid eeaeeb02-1afc-51e8-4dbb-ab7cd6f3a2fe
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
fg-lab (policy) # delete 1
fg-lab (policy) # end
</pre>
Alternativ kann mit dem Befehl ''purge'' das ganze Regelwerk auf einmal gelöscht werden:
<pre>
fg-lab # config firewall policy
fg-lab (policy) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (policy) # end
</pre>
|- style="background:#89E871"
|'''2. Alle DHCP Server mit Referenzen werden entfernt:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system dhcp server
fg-lab (server) # show
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.1.99
set netmask 255.255.255.0
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.1.110
set end-ip 192.168.1.210
next
end
next
edit 2
set dns-service default
set default-gateway 10.253.255.254
set netmask 255.255.255.192
set interface "wqtn-sw.0"
config ip-range
edit 1
set start-ip 10.253.255.193
set end-ip 10.253.255.253
next
end
set timezone-option default
next
end
fg-lab (server) # delete 1
fg-lab (server) # end
</pre>
Alternativ kann auch mit dem Befehl ''purge'' jeder DHCP Server aufeinmal gelöscht werden:
<pre>
fg-lab # config system dhcp server
fg-lab (server) # purge
This operation will clear all table!
Do you want to continue? (y/n)y
fg-lab (server) # end
</pre>
|- style="background:#89E871"
|'''3. Das Interface wird zurückgebaut:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system interface
fg-lab (interface) # edit internal
fg-lab (internal) # show
config system interface
edit "internal"
set vdom "root"
set ip 192.168.1.99 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set type switch
set device-identification enable
set role lan
set snmp-index 7
next
end
fg-lab (internal) # set ip 0.0.0.0 0.0.0.0
fg-lab (internal) # next
</pre>
|- style="background:#89E871"
|'''4. Nun kann der Switch zurückgebaut werden:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
edit "lan"
set physical-switch "sw0"
config port
edit "lan1"
next
edit "lan2"
next
edit "lan3"
next
edit "lan4"
next
edit "lan5"
next
end
next
end
fg-lab (port) # delete lan1
fg-lab (port) # delete lan2
fg-lab (port) # delete lan3
fg-lab (port) # delete lan4
fg-lab (port) # delete lan5
WARNING: Virtual switch requires at least 1 port. This virtual switch currently has 0 port.But, this message can be ignored if this virtual switch will be set to 802.1x slave mode later.
Do you want to continue? (y/n)y
fg-lab (port) # end
</pre>
Bei einem FortiWIFI Modell muss auch die Bridge mit dem WLAN-Port entfernt werden:
<pre>
fg-lab # config system switch-interface
fg-lab (switch-interface) # show
config system switch-interface
edit "internal"
set vdom "root"
set member "wifi" "lan"
next
end
fg-lab (switch-interface) # delete internal
</pre>
|- style="background:#89E871"
|'''5. Jetzt kann der virtuelle Switch komplett gelöscht werden:'''
|-
| style="width:850px" ;|
<pre>
fg-lab # config system virtual-switch
fg-lab (virtual-switch) # show
config system virtual-switch
edit "lan"
set physical-switch "sw0"
next
end
fg-lab (virtual-switch) # delete lan
</pre>
|-
|}
Nun können sämtliche Ports auf der Firewall individuell verwendet werden.

=== Wie kann ich die Tempratur der CPU ermitteln? ===

Um die Tempratur der CPU zu erfahren, kann im Dashboard ein Sensor Widget angezeigt werden. Es kann folgendermassen vorgegangen werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Unter Dashboard -> Main auf den Hauptbildschirm gehen
# Mit der Maus ganz nach unten rechts in die Ecke fahren, bis das kleine Zahnrad erscheint.
# Zahnrad anklicken und auf Add Widget klicken.

[[file:Fortinet-1974.jpg|link=]]
|-
|
# Die Tempratur Anzeige findet man unter dem Titel System bei Sensor Information
# Danach mit Close wird das Widget im Main Dashboard hinzugefügt.

[[file:Fortinet-1975.jpg|link=]]
|-
|
# Im Main Daschboard kann jetzt das Widget Sensor Information gefunden werden
# Es wird der allgemeine Tempratur Status angezeigt und der Status des Lüfters (Fan Speed).
# Um detailierte Angaben zu bekommen, auf den Status klicken

[[file:Fortinet-1976.jpg|link=]]
|-
|
# Jetzt kann auf Show sensor details geklickt werden

[[file:Fortinet-1977.jpg|link=]]
|-
|
# Es erscheint eine Liste mit allen Tempratur anzeigen, welche vorhanden sind.
# Es kann oben rechts zwischen Grad Celsius oder Farenheit eingestellt werden.

[[file:Fortinet-1978.jpg|link=]]
|-
|}
Über die CLI stehen zwei Befehle zur Verfügung, mit welchen die Temperaturen und Alarme auf der FortiGate überprüft werden können. Mit diesen Befehlen können mehr Informationen ermittelt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# execute sensor list
</pre>
Wenn die FortiGate im VDOM Modus betrieben wird muss in die globale Konfiguration gewechselt werden:
<pre>
# config global
# execute sensor list
</pre>

Es werden die Sensoren und Messwerte von jedem Komponenten aufgeführt. Dabei wird der aktuelle Wert, der Schwellwert und der Alarumstatus angezeigt.
* Flag = 0 : Die Komponenten arbeiten korrekt.
* Flag = 1 : Die Komponenten arbeiten nicht richtig.
|- style="background:#89E871"
| '''Beispiel auf einer FortiGate 300D:'''
|-
|
<pre>
# execute sensor list
1 +3.3V alarm=0 value=3.3018 threshold_status=0
2 +5V alarm=0 value=5.048 threshold_status=0
3 +12V alarm=0 value=12.136 threshold_status=0
4 CPU VCCP alarm=0 value=1.0295 threshold_status=0
5 CPU VTT alarm=0 value=1.0491 threshold_status=0
6 CPU PVSA alarm=0 value=0.9413 threshold_status=0
7 P1V8 alarm=0 value=1.7743 threshold_status=0
8 P1V5 alarm=0 value=1.4901 threshold_status=0
9 PCH +1.05V alarm=0 value=1.024 threshold_status=0
10 VCC 2V5 alarm=0 value=2.464 threshold_status=0
11 MAIN 12V alarm=0 value=11.904 threshold_status=0
12 VCC 1V15 alarm=0 value=1.136 threshold_status=0
13 DDR3 VTT alarm=0 value=0.72 threshold_status=0
14 RPS 12V alarm=1 value=0 threshold_status=0x7
15 NCT +3.3V alarm=0 value=3.264 threshold_status=0
16 NCT VBAT alarm=0 value=3.264 threshold_status=0
17 NCT +3.3VSB alarm=0 value=3.216 threshold_status=0
18 NCT VTT alarm=0 value=1.04 threshold_status=0
19 DTS CPU alarm=0 value=63 threshold_status=0
20 CPU Core 0 alarm=0 value=63 threshold_status=0
21 CPU Core 1 alarm=0 value=63 threshold_status=0
22 TD1 alarm=0 value=51 threshold_status=0
23 TD2 alarm=0 value=39 threshold_status=0
24 FAN_TMP_3 alarm=0 value=51 threshold_status=0
25 LM75 U72 alarm=0 value=46 threshold_status=0
26 LM75 U65 alarm=0 value=46 threshold_status=0
27 LM75 U62 alarm=0 value=49 threshold_status=0
28 FAN1 alarm=0 value=6500 threshold_status=0
29 FAN2 alarm=0 value=6400 threshold_status=0
30 FAN3 alarm=0 value=6300 threshold_status=0
</pre>

<pre>
# execute sensor details
</pre>
Wenn die FortiGate im VDOM Modus betrieben wird muss in die globale Konfiguration gewechselt werden:
<pre>
# config global
# execute sensor details
</pre>

Mit diesem Befehl werden noch weitere Informationen, wie der niedrigste und höchste Schwellenwert der Sensoren angezeigt:

* ''upper_critical'' = höchster kritischer Wert
* ''upper_non_critical'' = höchster nicht kritischer Wert
* ''upper_non_recoverable'' = höchster nicht wieder herstellbarer Wert
* ''lower_non_critical'' = tiefster nicht kritischer Wert
* ''lower_critical'' = tiefster kritischer Wert
* ''lower_non_recoverable'' = tiefster nicht wieder herstellbarer Wert
|- style="background:#89E871"
| '''Beispiel auf einer FortiGate 300D:'''
|-
|
<pre>
# execute sensor detail
1 +3.3V alarm=0 value=3.3018 threshold_status=0
type=2/1
upper_non_recoverable=3.6906
upper_critical=3.6258
upper_non_critical=3.5124
lower_non_critical=3.0912
lower_critical=2.994
lower_non_recoverable=2.9292
2 +5V alarm=0 value=5.048 threshold_status=0
type=2/1
upper_non_recoverable=5.587
upper_critical=5.489
upper_non_critical=5.342
lower_non_critical=4.6805
lower_critical=4.5335
lower_non_recoverable=4.4355
3 +12V alarm=0 value=12.136 threshold_status=0
type=2/1
upper_non_recoverable=14.083
upper_critical=13.729
upper_non_critical=13.434
lower_non_critical=10.602
lower_critical=10.366
lower_non_recoverable=10.012
4 CPU VCCP alarm=0 value=1.0295 threshold_status=0
type=2/1
upper_non_recoverable=1.6959
upper_critical=1.6665
upper_non_critical=1.6175
lower_non_critical=0.2259
lower_critical=0.2161
lower_non_recoverable=0.2063
5 CPU VTT alarm=0 value=1.0491 threshold_status=0
type=2/1
upper_non_recoverable=1.1765
upper_critical=1.1569
upper_non_critical=1.1275
lower_non_critical=0.9315
lower_critical=0.9021
lower_non_recoverable=0.8825
6 CPU PVSA alarm=0 value=0.9413 threshold_status=0
type=2/1
upper_non_recoverable=1.0883
upper_critical=1.0687
upper_non_critical=1.0981
lower_non_critical=0.8237
lower_critical=0.7943
lower_non_recoverable=0.7747
7 P1V8 alarm=0 value=1.7743 threshold_status=0
type=2/1
upper_non_recoverable=2.0095
upper_critical=1.9703
upper_non_critical=1.9115
lower_non_critical=1.6959
lower_critical=1.6371
lower_non_recoverable=1.6077
8 P1V5 alarm=0 value=1.4901 threshold_status=0
type=2/1
upper_non_recoverable=1.6763
upper_critical=1.6469
upper_non_critical=1.5979
lower_non_critical=1.4117
lower_critical=1.3627
lower_non_recoverable=1.3333
9 PCH +1.05V alarm=0 value=1.024 threshold_status=0
type=2/1
upper_non_recoverable=1.168
upper_critical=1.152
upper_non_critical=1.12
lower_non_critical=0.944
lower_critical=0.912
lower_non_recoverable=0.896
10 VCC 2V5 alarm=0 value=2.464 threshold_status=0
type=2/1
upper_non_recoverable=2.88
upper_critical=2.816
upper_non_critical=2.784
lower_non_critical=2.24
lower_critical=2.208
lower_non_recoverable=2.144
11 MAIN 12V alarm=0 value=11.904 threshold_status=0
type=2/1
upper_non_recoverable=13.824
upper_critical=13.632
upper_non_critical=13.248
lower_non_critical=10.944
lower_critical=10.56
lower_non_recoverable=10.368
12 VCC 1V15 alarm=0 value=1.136 threshold_status=0
type=2/1
upper_non_recoverable=1.232
upper_critical=1.2
upper_non_critical=1.168
lower_non_critical=1.04
lower_critical=1.008
lower_non_recoverable=0.992
13 DDR3 VTT alarm=0 value=0.72 threshold_status=0
type=2/1
upper_non_recoverable=0.848
upper_critical=0.832
upper_non_critical=0.8
lower_non_critical=0.704
lower_critical=0.688
lower_non_recoverable=0.672
14 RPS 12V alarm=1 value=0 threshold_status=0x7
type=2/1
upper_non_recoverable=13.824
upper_critical=13.632
upper_non_critical=13.248
lower_non_critical=10.944
lower_critical=10.56
lower_non_recoverable=10.368
15 NCT +3.3V alarm=0 value=3.264 threshold_status=0
type=2/1
upper_non_recoverable=3.696
upper_critical=3.648
upper_non_critical=3.552
lower_non_critical=3.12
lower_critical=2.976
lower_non_recoverable=2.928
16 NCT VBAT alarm=0 value=3.264 threshold_status=0
type=2/1
upper_non_recoverable=3.696
upper_critical=3.648
upper_non_critical=3.552
lower_non_critical=3.12
lower_critical=2.976
lower_non_recoverable=2.928
17 NCT +3.3VSB alarm=0 value=3.216 threshold_status=0
type=2/1
upper_non_recoverable=3.696
upper_critical=3.648
upper_non_critical=3.552
lower_non_critical=3.12
lower_critical=2.976
lower_non_recoverable=2.928
18 NCT VTT alarm=0 value=1.04 threshold_status=0
type=2/1
upper_non_recoverable=1.168
upper_critical=1.152
upper_non_critical=1.12
lower_non_critical=0.944
lower_critical=0.912
lower_non_recoverable=0.896
19 DTS CPU alarm=0 value=64 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
20 CPU Core 0 alarm=0 value=65 threshold_status=0
type=1/1
upper_non_recoverable=92
upper_critical=91
upper_non_critical=86
21 CPU Core 1 alarm=0 value=64 threshold_status=0
type=1/1
upper_non_recoverable=92
upper_critical=91
upper_non_critical=86
22 TD1 alarm=0 value=52 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
23 TD2 alarm=0 value=39 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
24 FAN_TMP_3 alarm=0 value=51 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
25 LM75 U72 alarm=0 value=46 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
26 LM75 U65 alarm=0 value=46 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
27 LM75 U62 alarm=0 value=50 threshold_status=0
type=1/1
upper_non_recoverable=110
upper_critical=105
upper_non_critical=100
28 FAN1 alarm=0 value=5700 threshold_status=0
type=4/1
upper_non_recoverable=23000
upper_critical=22000
upper_non_critical=21000
lower_non_critical=300
lower_critical=200
lower_non_recoverable=100
29 FAN2 alarm=0 value=5800 threshold_status=0
type=4/1
upper_non_recoverable=23000
upper_critical=22000
upper_non_critical=21000
lower_non_critical=300
lower_critical=200
lower_non_recoverable=100
30 FAN3 alarm=0 value=5600 threshold_status=0
type=4/1
upper_non_recoverable=23000
upper_critical=22000
upper_non_critical=21000
lower_non_critical=300
lower_critical=200
lower_non_recoverable=100
</pre>
|-
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Falls die FortiGate über keinen Temperatursensor verfügt, wird in der CLI beim eingeben des Befehls eine Fehlermeldung erscheinen: 
<pre>
# execute sensor list
command parse error before 'sensor'
Command fail. Return code -61
</pre>
|-
|}

== Disk ==

=== Wie kann ich auf einer FortiGate, die auf der Disk enthaltenen Daten (inkl. Boot Device) vollumfänglich (low level) löschen? ===

Es gibt die Möglichkeit die internal Disk und/oder den "System Boot Device" über "low level" zu formatieren. Dies kommt dann zum Zuge, wenn ein Device entsorgt wird oder dem Hersteller wegen eines RMA Falls retourniert wird. So wird gewährleistet, dass sämtliche Daten auf der Disk gelöscht werden. Bei der "low level" Formatierung werden die Spuren und Sektoren der "Disk", respektive des "System Boot Device's" mit zufälligen Daten 3mal überschrieben. Mit dieser Methode wird gesorgt, dass die vorhandenen Daten komplett gelöscht werden. Den Vorgang startet man über folgenden CLI Befehl:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
# execute erase-disk [SYSTEM | Internal]
</pre>
|-
|}

Wenn ein Device aus Gründen der "Security" bei einem RMA Austausch nicht dem Hersteller zurückgesendet werden kann, obwohl die Möglichkeit einer "low level" Formatierung zur Verfügung steht, bietet Fortinet innerhalb des "FortiCare" einen speziellen Vertrag an, welcher es ermöglicht bei einem RMA Austausch das Device selber zu entsorgen, anstelle dies dem Hersteller zurück zu senden. Dieser Service wird "FortiCare RMA Secure Service" genannt. Weitere Informationen sind folgendem Artikel zu entnehmen:

[[Fortinet:Support-RMA#Gibt_es_von_Fortinet_einen_.22FortiCare_Secure_RMA_Service.22.3F]]

=== Wie kann ich die Disk (Flash, SSD) eines FortiGate Device testen um zu überprüfen, ob diese fehlerhaft ist? ===

Anhand des Befehls "diagnose disktest" kann auf einer FortiGate die Disk getestet werden. Dazu sollte berücksichtigt werden, dass dieser Test in einem Maintenance-Fenster durchgeführt wird und nicht bei hoher Last. Um diesen Test zu benutzen muss die entsprechende Disk ausgewählt werden. Die Disk's können mit folgendem Behfel aufgelistet werden:

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Der Test kann seine Zeit dauern dh. bei einer 60D ohne zusätzlichen Optionen dh. no Limit, läuft der Test für 7728M ca 45 Minuten!
Dies gilt für "Round 1" denn sobald diese beendet ist beginnt der Test erneut dh. "Round 2". Der Test kann anhand "Ctrl + C"
abgebrochen werden. Wenn dies durchgeführt wird erscheint folgendes:
<pre>"User interrupt! Restoring data back to disk....".</pre>
|-
|}

Wie schon erwähnt muss für einen Test die entsprechende Disk zuerst ausgewählt werden. Daraus ergibt sich folgendes Vorgehen:

{| class="wikitable"
|- style="background:#89E871"
| Liste die vorhandenen Device's auf:
|-
| style="width:850px" ;|
<pre>
# diagnose disktest device ?
1 /dev/sda, size 3864MB, boot device
2 /dev/sdb, size 7728MB
</pre>
|- style="background:#89E871"
| Selektieren die gewünschte Disk zB /dev/sdb dh. "2":
|-
| style="width:850px" ;|
<pre>
# diagnose disktest device 2
Current Test Device: /dev/sdb
</pre>
|- style="background:#89E871"
| Setze für den Test verschiedene Optionen:
|-
| style="width:850px" ;|
<pre>
# diagnose disktest [block | time | size]

Die Optionen haben folgende Bedeutung:

block Die Blocksize für jede Lese- sowie Schreiboperation.
timeDie Limite der Testzeit für jeden Zyklus. Standard: "keine Limite".
sizeDie Limite der Testgrösse für jeden Zyklus. Standard: "keine Limite".
</pre>
|- style="background:#89E871"
| Wenn das gewünschte Device gesetzt/gewählt wurde/ist, sowie falls notwendig die Optionen konfiguriert wurden, führe den Test aus:
|-
| style="width:850px" ;|
<pre>
# diagnose disktest run

Round 1 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec) Size(MB) Read(MB/s) Write(MB/s)
0.00(0.00%): .................................................. 15.0 8.6
76.0 200(2.59%): .................................................. 15.1 8.9
150.2 400(5.18%): .................................................. 15.0 9.0
224.3 600(7.76%): .................................................. 15.0 8.9
298.8 800(10.35%): .................................................. 15.1 8.9
372.9 1000(12.94%): .................................................. 15.1 9.0
446.9 1200(15.53%): .................................................. 15.1 9.0
520.7 1400(18.12%): .................................................. 15.2 9.0
594.4 1600(20.70%): .................................................. 15.1 9.0
668.4 1800(23.29%): .................................................. 15.2 9.0
742.1 2000(25.88%): .................................................. 15.3 9.0
815.8 2200(28.47%): .................................................. 15.3 9.0
889.5 2400(31.06%): .................................................. 15.3 8.9
963.1 2600(33.64%): .................................................. 15.4 9.0
1036.7 2800(36.23%): .................................................. 15.3 9.0
1110.3 3000(38.82%): .................................................. 15.3 9.0
1183.9 3200(41.41%): .................................................. 15.3 9.0
1257.6 3400(44.00%): .................................................. 15.3 9.0
1331.2 3600(46.58%): .................................................. 15.3 9.0
1404.7 3800(49.17%): .................................................. 15.3 9.0
1478.3 4000(51.76%): .................................................. 15.3 9.0
1551.9 4200(54.35%): .................................................. 15.2 8.9
1625.8 4400(56.94%): .................................................. 14.5 8.6
1702.5 4600(59.52%): .................................................. 15.0 8.8
1777.3 4800(62.11%): .................................................. 15.2 8.9
1851.6 5000(64.70%): .................................................. 15.1 8.9
1925.9 5200(67.29%): .................................................. 15.1 8.9
2000.3 5400(69.88%): .................................................. 15.1 8.9
2074.7 5600(72.46%): .................................................. 15.1 8.9
2148.9 5800(75.05%): .................................................. 15.2 8.9
2223.2 6000(77.64%): .................................................. 15.2 8.8
2297.5 6200(80.23%): .................................................. 15.1 8.9
2371.9 6400(82.82%): .................................................. 15.2 8.9
2446.2 6600(85.40%): .................................................. 15.1 8.9
2520.5 6800(87.99%): .................................................. 15.3 8.9
2594.6 7000(90.58%): .................................................. 14.6 8.6
2671.4 7200(93.17%): .................................................. 15.1 8.4
2748.0 7400(95.76%): .................................................. 15.3 5.4
2851.2 7600(98.34%): ................................
Test Result: Passed
Tested size: 7728MB (100.00% Coverage of whole disk)
Time used: 2901.5 sec
Read Speed: 15.2MB/s
Write Speed: 8.7MB/s
Round 1 Finished!

Round 2 started.
Current Test Device: /dev/sdb
Total size: 7728M
Current Test Block: 4M.
Current Time Limit: No limit
Current Size Limit: No limit
Time(Sec) Size(MB) Read(MB/s) Write(MB/s)
0.00(0.00%): .................................................. 14.7 8.4
77.9 200(2.59%): .............User interrupt! Restoring data back to disk...

Test Result: Interrupted
Tested size: 256MB (3.31% Coverage of whole disk)
Time used: 99.3 sec
Read Speed: 14.7MB/s
Write Speed: 8.4MB/s
Round 2 Finished!
</pre>
|-
|}

=== Wird bei einem "unclean shutdown" auf einem FortiGate Device beim Systemstart ein "filesystem check" durchgeführt? ===

Ab der Version 5.2.x wurde diese Funktion integriert sowie zusätzlich die Möglichkeit die Disk explizit manuell zu testen. Weitere Informationen wie man einen "expliziten" Disk Test manuell zeigt folgender Artikel:

[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_die_Disk_.28Flash.2C_SSD.29_eines_FortiGate_Device_testen_um_zu_.C3.BCberpr.C3.BCfen_ob_diese_Fehler_enth.C3.A4lt.3F]]

Wie erwähnt wurde für ein "unclean shutdown" (zBsp bei Stromunterbruch) im FortiOS 5.2.x die Funktion eingebaut, dass nach einem "unclean shutdwown" während dem Start-Prozess dies erkannt, und automatisch ein "filesystem check" ausgeführt wird. Diese wird "nicht" anhand eines "expliziten" Disk Tst aufgeführt sondern ähnelt einem "fsck" welcher auf einem Linux System ausgeführt wird. In diesem Vorgang wird durch das System bemerkt dass ein "unclean shutdown" stattgefunden hat. Dies wird ebenfalls indiziert in dem beim Start auf der Console folgendes erscheint:

System is starting...
Starting system maintenance...
scanning /dev/sda2... (100%)

In vorhergehenden Versionen des FortiOS dh. zBsp 5.0 wurde dieser "filesystem check" beim Start des Devices durchgeführt. Solch ein "filesystem check" kann einige Zeit in Anspruch nehmen und deshalb wurde die Vorgehensweise ab der FortiOS Version 5.2.3 geändert. Dies bedeutet: Wenn ein "unclean shutdown" stattfindet (ab FortiOS Version 5.2.3), wird kein "filesystem check" mehr direkt beim Neustart des Device ausgeführt sondern nur ein "system maintenace" indiziert. Sobald sich der Administrator auf dem Web Mgmt. Interface einloggt wird ein entsprechender Dialog angezeigt der durch den "unclean shutdown" ausgelöst wurde:

[[file:Fortinet-1609.jpg|link=]]

Durch diesen Dialog hat der Administrator die Möglichkeit den "filesystem check" auszuführen oder diesen auf einen späteren Zeitpunkt zu verschieben. Wird der "filesystem check" nach dem einloggen des Administrators ausgeführt, so erfolgt ein Neustart des Devices und dieser "filesystem check" wird beim Neustart ausgeführt. Wie schon erwähnt kann dieser "filesystem check" durchaus mehrere Minuten in Anspruch nehmen und der Vorgang sollte auf keinen Fall unterbrochen werden! Wird diese "filesystem check" Meldung beim einloggen auf das Web Mgmt. Interface anhand "Remind me later" auf einen späteren Zeitpunkt verschoben, wird die Meldung nach jedem einloggen angezeigt bis dieser "filesystem check" ausgeführt wird!

== PowerSupply ==

=== Kann man für FortiGate's seperate spare und / oder redundante PowerSupply (RPS) beziehen? ===

Für die verschiedenen FortiGate Devices stellt Fortinet seperate "PowerSupplies" zur Verfügung. Für grössere Devices stehen zusätzlich für die Redundanz "RPS Devices" (Redundand PowerSupply) zur Verfügung. Welche Geräte kompatibel sind zu den seperaten "RPS Devices" können nachfolgendem Artikel entnommen werden:

[[Fortinet:ProduktInfo#FortiRPS]]

Nachfolgende Tabelle zeigt für welches FortiGate Device welches sperat zu beziehende "PowerSupply" bestellt werden kann:

[[file:Fortinet-1081.jpg|550px|link=]]
[[file:Fortinet-1082.jpg|550px|link=]]
[[file:Fortinet-1885.jpg|550px|link=]]
[[file:Fortinet-1886.jpg|550px|link=]]

Regulatory Doc [[Datei:Regulatory-Compliance-Document SP-FG600C-PS_Rev 1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document SP-FG60C-PDC_Rev 1.01.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document SP-FG80-PDC_Rev 1.pdf]]

Nachfolgend einige erfasste ALSO Schweiz Artikel betreffend "PowerSupply":

'''ALSO Art Nr.''' '''Hersteller SKU''' '''Beschreibung'''
2694237 SP-FG20C-PA-EU AC power adaptor with EU power plug for FG/FWF-20C series, FG/FWF-30D
2707193 SP-FG30E-PA-EU AC power adaptor with EU power plug for FG-50E, FG-51E, FWF-50E, FWF-51E, FG-30E, FWF-30E
2691555 SP-FG80-PDC AC power adaptor - AC power adaptor for FG/FWF-80C/CM
2690832 SP-FG60C-PDC AC power adaptor - AC power adaptor for FG/FWF-40C, FG/FWF-60C, FG/FWF-60D, FG-70D, FG/FWF-90D
2692305 SP-FG600C-PS AC power supply - AC power supply for FG-600C, FG-600D, FG-800C, and FG-1000C
2698983 SP-FG1240B-PS AC power supply - AC power supply for FG-1200D, FG-1240B, FG-1500D, FG-3040B and FG-3140B

Ebenso stehen für die FortiAP, wie auch für die FortiAP-S "PowerSupplies" zur Verfügung. Weitere Informationen dazu siehe nachstehenden Artikel:

[[FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]
[[FortiAP-S:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_FortiAP-S_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]

== SFP Ports ==

=== Kann ich für die SFP Ports auf einer FortiGate ebenfalls Fremdprodukte, wie Cisco oder Huawei einsetzen? ===

Dies ist möglich, jedoch empfehlen wir dies vorgängig ausgiebig zu testen! Von unserer Seite her haben wir Tests sowie Feedback das folgende Transceiver einwandfrei funktionieren:

'''Copper GigaBit 10/100/1000'''

GLC-T=746320861579 Cisco Catalyst GigaEthernet SFP Modul 1000Base T
02314171 Huawei Electrical Transceiver SFP Module 1000Base T

'''NOTE''' Durch Fortinet werden ebenfalls nicht eigene Transceiver eingesetzt sondern von Fremdherstellern dh. wird ein Transceiver
über Fortinet bestellt, wird ein Transceiver zBsp von Huawei geliefert! Weitere Informationen betreffend "offizielle" SFP/SFP+
Module von Fortinet, sowie den Gebrauch von "nicht offiziellen" siehe folgender Artikel:

[[FortiGate-5.4-5.6:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F]]

=== Welche FortiGate Devices unterstützen SFP's und bei welchen FortiGate Devices werden SFP's mitgeliefert? ===

Nachfolgende Tabelle zeigt welche FortiGate Devices wieviele SFP's unterstützen und bei welchem FortiGate Device bereits SFP Module mitgeliefert werden:

'''NOTE''' NIL = Not Included!

[[file:Fortinet-1085.jpg|550px|link=]]
[[file:Fortinet-1086.jpg|550px|link=]]
[[file:Fortinet-2075.jpg|550px|link=]]
[[file:Fortinet-1888.jpg|550px|link=]]

Es können für die FortiGate Devices auch Fremdprodukte als SFP's eingesetzt werden, jedoch gibt es keine Gewährleistung dass diese einwandfrei funktionieren. Weitere Infos siehe nachfolgender Artikel:

[[FortiGate-5.4-5.6:FAQ#Kann_ich_f.C3.BCr_die_SFP_Ports_auf_einer_FortiGate_ebenfalls_Fremdprodukte_wie_Cisco_oder_Huawai_einsetzen.3F]])

'''NOTE''' Des Weiteren ist nachfolgendes Dokument zu beachten, wenn keine "offiziellen" Tranceiver von Fortinet eingesetzt
werden (speziell Seite 2 "3rd Party Transceivers Support"):

[[Datei:Tech_Note-Transceivers_FAQs-201407-R3.pdf]]

Basierend auf den "offiziellen" Tranceiver von Fortinet gemäss Preisliste stehen folgende SFP/SFP+ Module zur Verfügung:

Transceiver '''LX, Long Range'''; all FortiGate models with SFP interfaces ALSO SKU 2690418 (Hersteller SKU FG-TRAN-LX)
Transceiver '''SX, Short Range'''; all FortiGate models with SFP interfaces ALSO SKU 2690421 (Hersteller SKU FG-TRAN-SX)
Transceiver '''Base-T''' (Copper); all FortiGate models with SFP interfaces (supports 10/100/1000) ALSO SKU 2690420 (Hersteller SKU FG-TRAN-GC)

10-Gig transceiver, '''short range SFP+'''; all FortiGate models with SFP+ interfaces ALSO SKU 2697310 (Hersteller SKU FG-TRAN-SFP+SR)
10-Gig transceiver, '''short range XFP'''; all FortiGate models with XFP interfaces ALSO SKU 2690412 (Hersteller SKU FG-TRAN-XFPSR)
10-Gig transceiver, '''SFP+, Long Range'''; all FortiGate models with SFP+ interfaces ALSO SKU 2690413 (Hersteller SKU FG-TRAN-SFP+LR)
10-Gig transceiver, '''XFP, Long Range'''; all FortiGate models with XFP interfaces ALSO SKU 2690414 (Hersteller SKU FG-TRAN-XFPLR)

40-Gig transceiver, '''QSFP+, short range'''; all FortiGate models with QSFP+ interfaces ALSO SKU 2694715 (Hersteller SKU FG-TRAN-QSFP+SR)
40-Gig transceiver, '''QSFP+, long range'''; all FortiGate models with QSFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-QSFP+LR)

100-Gig transceiver, '''CFP2, short Range'''; all FortiGate models with CFP2 interfaces (10 Channel parallel fiber) ALSO SKU auf Anfrage (Hersteller SKU FG-TRAN-CFP2-SR10)
100-Gig transceiver, '''CFP2, long Range'''; all FortiGate models with CFP2 interfaces (only singlemode) ALSO SKU 2707368 (Hersteller SKU FG-TRAN-CFP2-LR4)

Für eine direkte Verbindung zweier Fortigates über ein "direct attach cable" steht folgender Artikel zu Verfügung:
10-Gig transceiver, '''SFP+, 10m direct attach cable'''; all FortiGate models with SFP+ and SFP/SFP+ interfaces ALSO SKU auf Anfrage (Hersteller SKU SP-Cable-ADASFP+)
Eine detaillierte Beschreibung der Tranceivereigenschaften können folgendem Dokument entnommen werden:
* [[Datei:FortiTransceivers-Datasheet.pdf]]

=== Was sind die genauen Spezifikationen der SFP's Module welche von Fortinet für die FortiGate Devices geliefert werden? ===

Im nachfolgenden Artikel wird beschrieben ob ein SFP/SFP+ Module zu einer FortiGate mitgeliefert wird, und welche SFP/SFP+ Module offiziell zu den FortiGate's zur Verfügung stehen:

[[FortiGate-5.4-5.6:FAQ#Welche_FortiGate_Device.27s_unterst.C3.BCtzen_SFP.27s_und_bei_welchen_FortiGate_Devices_werden_SFP.27s_mitgeliefert.3F]]

In der nachfolgenden Tabelle werden die technischen Spezifikationen der SFP Module aufgelistet welche von Fortinet für die FortiGate Devices geliefert werden:

[[file:Fortinet-1087.jpg|link=]]

'''NOTE''' Die Informationen stammen aus einem Fortinet "Knowledgebase Artikel" über welchen auch weitere Informationen verfügbar sind:

http://kb.fortinet.com/kb/dynamickc.do?cmd=show&forward=nonthreadedKC&docType=kc&externalId=13823&sliceId=1

'''Transceivers'''
[[file:Fortinet-1129.jpg|link=]]
'''Breackout Cables'''
[[file:Fortinet-1887.jpg|link=]]

Nachfolgend das offizielle "Regulatory Compliance Document" betreffend SFP SX Transceiver:

Regulatory Doc [[Datei:Regulatory-Compliance-Document_FG-TRAN-SX_Rev_1.03.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document_FG-TRAN-CFP2-LR4_Rev_1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document_FG-TRAN-CFP2-SR10_Rev_1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-GC_Rev 1.02.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-GC_Rev 2.0.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-LX_Rev 2.0.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-QSFP+-LR Rev 1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-QSFP+-SR Rev 1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-SFF_Rev 1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-SFP+-LR Rev 2.0.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-SFP+-SR Rev 2.0.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-SFP+-SX Rev 1.02.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-XFPLR Rev 1.00.pdf]]
Regulatory Doc [[Datei:Regulatory-Compliance-Document FG-TRAN-XFPSR Rev 1.00.pdf]]

=== Wie kann ich ein SFP Module / Tranceiver für ein FortiGate Device überprüfen? ===

Bis anhin war es nicht möglich über ein FortiGate Device dh. via ein FortiOS ein SFP Module/Tranceiver zu überprüfen dh. zBsp ob dieser korrekt erkannt wurde. Neu, unter FortiOS 5.4 ist dies anhand nachfolgendem Befehl möglich für Devices der FortiGate D-Serie, sowie FGT-1000D oder grösser und für SFP und QSFP Module/Transceiver. Handelt es sich um ein SFP/QSFP Fiber Module/Tranceiver kann ebenfalls die Temperatur, Spannung sowie Optical Power abgefragt werden. Wird ein Fremdprodukt als SFP/QSFP Module/Transceiver eingesetzt, sollte dies kurz anhand des nachfolgenden Befehls überprüft werden:

# get system interface transceiver
Interface port9: SFP/SFP+
Vendor Name: Axcen Photonics
Part No. : AXXE-5886-05B1
Serial No. : AX14170008967
Interface port10: SFP or QSFP transceiver is not detected.
Interface port11: SFP/SFP+
Vendor Name: FIBERXON INC.
Part No. : FTM-8012C-SL
Serial No. : A8660061719307
Optical Optical Optical
SFP/SFP+ Temperature Voltage Tx Bias Tx Power Rx Power
Interface (Celsius) (Volts) (mA) (dBm) (dBm)
------------ ----------- --------- --------- --------- --------
port9 34.1 3.31 6.35 -1.9 -40.0 --
port11 N/A N/A N/A N/A N/A
++ : high alarm, + : high warning, - : low warning, -- : low alarm, ? : suspect.

=== Wieso werden Fortinet SFP Module als "unsupportet 3rd Party Module" im FortiOS 6.2.2 angezeigt? ===
Im FortiOS 6.2.2 werden SFP Transceiver, welche als orginal Fortinet Transeiver erworben wurden, zum Teil als "nicht supportet 3rd Party Module" angezeigt:

[[Datei:Fortinet-2595.jpg]]

Es handelt sich hierbei um einen BUG. Dieser sollte im FortiOS 6.2.3 behoben werden:

Diese Information haben wir durch ein L1 Supportticket vom TAC bekommen:
I have looked into this and found engineering ticket 563053 in where this exact behavior was discussed.
For the FG-TRAN-SFP+SR, these were shipped with different vendor names other than Fortinet.
Due to a bug in 6.2.2, these are now showing as third party devices - this has been identified and scheduled to be fixed in 6.2.3.

== SPU ==
=== Wo und wie wird meine SPU auf der FortiGate verwendet? ===
Auf der folgenden Tabelle kann ermittelt werden welcher Prozessor für welche Aufgabe zuständig ist:

{| class="wikitable" style="width:50%"
|-
! style="background-color: #89E871; text-align:left"| System Performanz
! style="background-color: #89E871; text-align:left"| Verantwortliche Komponente
|-
| Firwall Durchsatz
| NP Aceleration
|-
| Firwall Latenz
| NP Aceleration
|-
| Firwall Durchsatz (Pakete per Sekunde)
| NP Aceleration
|-
| Gleichzeitige Sessions
| Memorie
|-
| IPsec VPN Durchsatz
| NP Aceleration
|-
| IPS Durchsatz
| CP + CPU (NTurbo)
|-
| SSL Inspektions Durchsatz
| CP + CPU

|-
| Applikationskontrolle Durchsatz
| CP + CPU (NTurbo)
|-
| NGFW Durchsatz
| CP + CPU (NTurbo)

|-
| Threat Protection Durchsatz
| CP + CPU (NTurbo)
|-
|}

== FortiOS ==
== FortiGuard (FDDS) ==

=== Wieso bekomme ich im WebGUI von FortiOS 6.4 die Meldung ''Unable to connect to FortiGuard Servers''? ===
[[File:FortiOS64.png|50px|link=]]

Im WebGUI kann folgende Meldung erscheinen: ''Unable to connect to FortiGuard Servers''

[[Datei:fortinet-2809.jpg|550px|link=]]

Fortinet vermutet, dass dieses Problem durch eine Einstellung verursacht wird, welche mit FortiOS 6.2 eingeführt wurde.

Folgendermassen kann man versuchen diese Meldung zu beheben:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration via CLI:'''
|-
|
config system fortiguard
set fortiguard-anycast disable
set protocol udp
set port 8888
end
|}

Nach ein paar Minuten ist die Meldung weg:
[[Datei:fortinet-2810.jpg|550px|link=]]
----
Weitere Informationen findet man in folgendem Artikel:
https://docs.fortinet.com/document/fortigate/6.2.0/new-features/656177/fortiguard-third-party-ssl-validation-and-anycast-support

=== Wie kann ich auf einer FortiGate einen FortiManager für FortiGuard konfigurieren? ===
Wenn eine FortiGate so konfiguriert werden soll, dass diese die Updates der FortiGuard über einen FortiManager durchführen soll, so kann dies via CLI konfiguriert werden. Wenn ein FortiGate Device ausschliesslich einen FortiManager für den FortiGuard Server nutzen soll, so kann dies wie folgt konfiguriert werden:
# config system central-management
# config server-list
# edit [vergebe einen entsprechenden Integer zBsp "1"]
# set server-type update rating
# set server-address [IPv4 Adresse des FortiManagers für FortiGuard]
# next
# end
# end
Somit kann zBsp auch ein dezidierter FortiManager konfiguriert werden, welcher nur für FortiGuard zur Verfügung steht und ein zweiter FortiManager welcher das Management der FortiGate übernimmt:
# config system central-management
# set type fortimanager
# set fmg [IPv4 Adresse des FortiManagers für das Device Management]
# config server-list
# edit [vergebe einen entsprechenden Integer zBsp "1"]
# set server-type update rating
# set server-address [IPv4 Adresse des FortiManagers für FortiGuard]
# next
# end
# end

== FortiCloud==
== FortiSandbox ==
=== Wieviele Dateien kann ich pro Tag in die FortiSandbox Cloud hochladen? ===
Wenn man die AntiVirus Lizenz, und mindestens das FortiOS 6.0.1 auf der FortiGate installiert hat, kann die FortiCloud Sandbox genutzt werden.

Folgende Limitierungen gibt es von der Anzahl Files welche pro Tag in die Cloud hochgeladen werden können. Dabei spielt ist die Grösse der FortiGate massgebend:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Limiten für das hochladen auf die FortiCloud Sandbox:'''
|-
|
[[File:Fortinet-2665.jpg|750px|link=]]
''Referenz: [https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/0da6cf67-1e78-11e9-b86b-00505692583a/FortiSandbox-Cloud-Service-Description.pdf|SERVICE DESCRIPTION FORTISANDBOX CLOUD]''
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das WebGui der FortiGate kann im Dashboard die aktuelle Quote angezeigt werden: (Beispiel hier einer FortiGate 60F):
[[File:Fortinet-2666.jpg|550px|link=]]
|}

== FortiExplorer ==

== USB Port ==
=== Was ist beim benutzen eines USB-Sticks an einer FortiGate zu berücksichtigen? ===

Wenn ein USB-Stick über eine FortiGate formatiert werden soll, so wird dieser im "FAT" Format formatiert! Um den USB Stick über das FortiOS zu formatiert wird folgende Vorgehensweise über die CLI angewendet:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration via CLI:'''
|-
|
<pre>
# execute usb-disk format
This operation will ERASE all data in USB disk!
Do you want to continue? (y/n)'''y'''

Format USB disk /dev/sdc1 ...
Create file system on /dev/sdc1 ...
</pre>
|}

Danach kann der USB-Stick genutzt werden um zBsp ein Forti-Backup auf den USB-Stick zu spielen. Möchte man den USB-Stick vorbereiten, resp. nicht über das FortiOS formatieren, sondern zBsp unter Windows 10, so kann folgendes ausgeführt werden:

# Verbinde den USB-Stick mit der Workstation und verifiziere den zugewiesenen Laufwerksbuchstaben!
# Jetzt eine DOS-Box öffnen (unter Windows 10 = Windows durchsuchen > cmd )
# Danach gebe in der DOS-Box folgendes ein:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''DOS/Shell CMD:'''
|-
|
<pre>
format [Laufwerks Name zBsp "F"]: /FS:FAT /V:[Name des USB-Sticks/Laufwerk zBsp "FortiGate"]
legen Sie eine neue Diskette in Laufwerk D: ein,
und drücken Sie die EINGABETASTE.
Der Typ des Dateisystems ist EXFAT.
Das neue Dateisystem ist FAT.
Überprüfung von 1009.4 MB
Die Dateizuordnungstabelle (FAT) wird initialisiert...
Formatieren beendet.
1009.1 MB Speicherplatz auf dem Datenträger insgesamt.
1009.1 MB sind verfügbar.

16'384 Bytes in jeder Zuordnungseinheit
64'585 Zuordnungseinheiten auf dem Datenträger verfügbar

16 Bits in jedem FAT-Datensatz.

Volumeseriennummer : 4E6E-9DDF
</pre>
|}

=== Kann ich ein "Image"/ eine Konfiguration über einen USB-Stick automatisiert auf eine FortiGate aufspielen? ===

Eine Automatisierung einer Installation einer FortiGate mit einer entsprechenden Konfiguration lässt sich über einen USB-Stick komplett automatisieren.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Menu ''System > Settings > USB Auto-Install 
# ''Detect configuration'' Name der Konfig.-Datei im ''.conf'' Format angeben.
# ''Detect firmware'' Name der Image Datei im ''.out'' Format angeben.
[[File:Fortinet-2661.jpg|550px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system auto-install
# set auto-install-config [enable oder disable]
# set auto-install-image [enable oder disable]
# set default-config-file [File Name]
# set default-image-file [File Name]
# end
</pre>
|-
|}
Die Voraussetzung, dass über einen USB-Stick diese "USB Auto-Install" Funktion genutzt werden kann, ist ein korrekt formatierter USB-Stick. Weitere Informationen dazu siehe nachfolgender Artikel: [[FortiGate:FAQ#Was_ist_beim_Ben.C3.BCtzen_eines_USB_Sticks_an_einer_Fortigate_zu_ber.C3.BCcksichtigen.3F| USB Stick Formatieren]]
Wenn die Funktion des "USB Auto-Install" für das "Image" und/oder "config" File aktiviert, und der USB-Stick entsprechend korrekt formatiert wurde kann in das Root-Verzeichnis des USB-Sticks ein entsprechendes "image" eines FortiOS, wie auch die Konfiguration einer FortiGate, basierend auf dem "image" des FortiOS auf den USB-Stick abgespeichert werden. Dabei müssen die File-Namen des "image", sowie der Konfiguration übereinstimmen mit der Konfiguration resp. Definition des "default-image-file" sowie des "default-config-file"! Wenn nun der USB-Stick an die FortiGate angeschlossen ist, und die FortiGate eingeschaltet oder neu gestartet wird, wird folgendes durchgeführt:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''1ter Neustart:'''
|-
|
Die Funktion "USB Auto-Install" überprüft ob in der aktiven Partition das FortiOS gemäss dem "image" File auf dem USB-Stick installiert ist! Ist dies nicht der Fall wird in der nicht aktiven Partition das FortiOS anhand des "image" Files auf dem USB-Stick installiert! Nach der Installation wird ein Neustart ausgeführt. Ist die aktive Partition mit dem "image" File auf dem USB-Stick identisch, wird eine 2te Neustart-Überprüfung ausgeführt!
|- style="background:#89E871"
| '''2ter Neustart:'''
|-
|
Nach der Installation des "images" auf dem USB-Stick, oder bei Übereinstimmung der aktiven Partition mit dem "image" wird geprüft ob die Konfiguration in der aktiven Partition mit dem Konfigurtions-File auf dem USB-Stick übereinstimmt. Ist dies nicht der Fall, wird ein Restore anhand des Konfigurationsfiles auf dem USB-Stick ausgeführt. Ist die Konfiguration auf dem USB-Stick gleich wie jene auf der aktiven Partition wird keine Änderung durchgeführt und der Neustart regulär fortgesetzt!
|}
Es empfiehlt sich den Vorgang bei einem Test über den Konsolen-Port (RS232) mitzuverfolgen, damit allfällige Fehlermeldungen über die Konsole mitverfolgt werden können. Mit dieser Funktion kann so die FortiGate mit einem entsprechenden "image", sowie mit einer eigenen Konfiguration komplett automatisiert werden. Dabei ist jedoch folgendes zu berücksichtigen: Durch die Funktion "USB Auto-Install" wird die FortiGate nicht von Grundauf neu installiert. Dies bedeutet dass der "boot device" nicht neu formatiert etc. wird wie wenn die FortiGate von Grundauf neu installiert (staging) wird (siehe nachfolgenden Artikel): [[FortiGate:FAQ#Wie_wird_eine_FortiGate_von_Grundauf_mit_einem_entsprechenden_FortiOS_installiert_.28staging.29.3F|FortiGate neu Staggen]]

=== Kann ich ein "image"/ eine Konfiguration über einen USB Stick automatisiert auf eine FortiGate aufspielen? ===

Eine Automatisierung einer Installation eines FortiGate Devices mit einer entsprechenden Konfiguration lässt sich über USB Stick komplett automatisieren.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Menu ''System > Settings > USB Auto-Install 
# ''Detect configuration'' Name der Konfig Datei im ''.conf'' Format angeben.
# ''Detect firmware'' Name der Image Datei im ''.out'' Format angeben.
[[File:Fortinet-2661.jpg|550px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system auto-install
# set auto-install-config [enable oder disable]
# set auto-install-image [enable oder disable]
# set default-config-file [File Name]
# set default-image-file [File Name]
# end
</pre>
|-
|}
Die Voraussetzung, damit über einen USB Stick diese "USB Auto-Install" Funktion genutzt werden kann, ist ein korrekt formatierter USB Stick. Weitere Informationen dazu siehe nachfolgender Artikel: [[FortiGate:FAQ#Was_ist_beim_Ben.C3.BCtzen_eines_USB_Sticks_an_einer_Fortigate_zu_ber.C3.BCcksichtigen.3F| USB Stick Formatieren]]
Wenn die Funktion des "USB Auto-Install" für das "image" und/oder "config" File aktiviert, und der USB Stick entsprechend korrekt formatiert wurde kann in das Root-Verzeichnis des USB Sticks ein entsprechendes "image" eines FortiOS, wie auch die Konfiguration eines FortiGate Devices, basierend auf dem "image" des FortiOS auf den USB Stick abgespeichert werden. Dabei müssen die Filenamen des "image", sowie der Konfiguration übereinstimmen mit der Konfiguration resp. Definition des "default-image-file" sowie des "default-config-file"! Wenn nun der USB Stick an die FortiGate angeschlossen, und das FortiGate Device eingeschaltet oder neu gestartet wird, wird folgendes durchgeführt:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''1ter Neustart:'''
|-
|
Die Funktion "USB Auto-Install" überprüft ob in der aktiven Partition das FortiOS gemäss dem "image" File auf dem USB Stick installiert ist! Ist dies nicht der Fall wird in der nicht aktiven Partition das FortiOS anhand des "image" Files auf dem USB Stick installiert! Nach der Installation wird ein Neustart ausgeführt. Ist die aktive Partition mit dem "image" File auf dem USB Stick identisch, wird eine 2te Neustart-Überprüfung ausgeführt!
|- style="background:#89E871"
| '''2ter Neustart:'''
|-
|
Nach der Installation des "images" auf dem USB Sticks, oder bei Übereinstimmung der aktiven Partition mit dem "image" wird geprüft ob die Konfiguration in der aktiven Partition mit dem Konfigurtionsfileauf dem USB Stick übereinstimmt. Ist dies nicht der Fall, wird ein Restore anhand des Konfigurationsfiles auf dem USB Stick ausgeführt. Ist die Konfiguration auf dem USB Stick gleich wie jene auf der aktiven Partition wird keine Aenderung durchgeführt und der Neustart regulär fortgesetzt!
|}
Es empfiehlt sich den Vorgang bei einem Test über den Console Port (RS232) mitzuverfolgen damit allfällige Fehlermeldungen über die Console mitverfolgt werden können. Mit dieser Funktion kann somit ein FortiGate Device mit einem entsprechenden "image", sowie mit einer eigenen Konfiguration komplett automatisiert werden. Dabei ist jedoch folgendes zu berücksichtigen: Durch die Funktion "USB Auto-Install" wird ein FortiGate Device nicht von Grundauf neu installiert dh. zBsp der "boot device" wird nicht neu formatiert usw. wie wenn ein FortiGate Device von Grundauf neu installiert (staging) wird (siehe nachfolgenden Artikel): [[FortiGate:FAQ#Wie_wird_eine_FortiGate_von_Grundauf_mit_einem_entsprechenden_FortiOS_installiert_.28staging.29.3F|FortiGate neu Staggen]]

== Konsolen Port ==
=== Was für ein Kabel wird für den Konsolen-Anschluss (RS-232) benötigt? ===
Eine Fortigate Firewall kann über den Konsolen-Port, SSH oder HTTPS administriert werden. Für das initiale Setup, wie auch bei der Störungssuche ist der Konsolen-Port die beste Wahl. Der Konsolen-Port auf der FortiGate kommt in Form einer RS232 Schnittstelle daher. Problematisch ist, dass die heutigen Workstations / Laptops nicht mehr über einen RS232 Anschluss verfügen. Als Workaround gibt es Adapterkabel von USB auf RS232. Folgende Adapter bietet ALSO im Sortiment an:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''USB-Stecker Typ A'''
|-
|
LINDY USB RS232 Converter w/ COM Port Retention RS-232 Port 
Transfer Rate: up to 230 kBit/s 
Chipset: FTDI 
Hersteller Artikel-Nr.: 42686 
ALSO Artikel-Nr.: 2909413 
EAN-Code: 4002888426862 
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=2909413 
|- style="background:#89E871"
|'''USB Stecker Typ C'''
|-
|
LINDY USB Type C Serial Converter 
Hersteller Artikel-Nr.: 43248 
ALSO Artikel.Nr.: 3023950 
EAN-Code: 4002888432481 
Link: https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=3023950 
Treiber:[[Datei:PL2303_Prolific_DriverInstaller_v1190.zip]]
|}

Bei beiden Adaptern wird '''kein''' RS232-to-RJ45 Kabel mitgeliefert. Dies kann unter folgender ALSO-Artikel-Nr. bezogen werden: [https://www.also.ch/ec/cms5/6110/ProductDetailData.do?prodId=2692654 2692654]

Nachfolgendes Dokument zeigt wie auf einem MacOSx, basierend auf diesem "USB to RS232 Converter" Adapter konfiguriert wird inklusive der Konfiguration eines TFTP Servers. Dieses Dokument wurde durch einen Kunden zur Verfügung gestellt:

[[Datei:RS232-USB-Converter-TFTP-Server-Konfig-MacOSx.pdf]]

Weitere Informationen zur genauen Pinbelegung betreffend Fortinet Appliance und dem seriellen Konsolen-Port siehe nachfolgenden Artikel:

[[FortiGate-6.0:FAQ#Wie_sieht_die_PIN-Belegung_der_Seriellen_Consolen_.28RS-232_.2F_DB9_.2F_RJ-45_.2F_AUX.29_auf_einem_FortiGate_Device_aus.3F]]

=== Wie sieht die Pinbelegung der seriellen Konsolen (RS-232 / DB9 / RJ-45 / AUX) auf der FortiGate aus? ===

Nachfolgend die technischen Informationen über die Pinbelegung der seriellen Konsole der Fortinet Produkte wie FortiGate, FortiAnalyzer, FortiManager sowie FortiMail. In den meisten Fällen haben die Geräte eine RJ45 Schnittstelle als Konsolen-Port. Ältere Modelle können auch über einen RS-232 DB9 Port verfügen. Es gibt auch Modelle mit einem AUX-Port. Die Geräte haben alle etwas gemeinsam: sie nutzen die gleiche Pinbelegung:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Pinbelegung RJ45'''
|-
|
[[file:Fortinet-1083-A.jpg|link=]]
|- style="background:#89E871"
|''' Pinbelegung RS232'''
|-
|
[[file:Fortinet-1083-B.jpg|link=]]
|-
|}

=== Kann ich auf einer FortiGate den seriellen Konsolen-Port (RS-232) deaktivieren? ===

Wenn man zum Beispiel verhindern möchte, dass auf ein Datacenter oder ähnlichem, via seriellen Konsole-Port unerlaubt zugegriffen wird, kann dies mit folgendem Befehl deaktiviert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system console
# set login disable
# end
</pre>
|-
|}
Es wird nur der "Konsolen-Port" deaktiviert und der "USB" Port muss, sofern erwünscht, separat deaktiviert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system console
# set fortiexplorer disable
# end
</pre>
|-
|}

== Web-GUI ==
=== Wie kann ich den Hostnamen auf der Web-GUI Login Page sichtbar machen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Wenn man sich über das Web-GUI auf die FortiGate verbindet, wird defaultmässig auf der Anmeldemaske der Hostname der Firewall nicht angezeigt.

Um den Hostname auf der Anmeldemaske zu aktivieren, muss dies über die CLI wie folgt aktiviert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set gui-display-hostname [enable | disable]
# end
</pre>
----
'''Das Resultat:'''
[[file:Fortinet-1614.jpg|link=]]
|}

=== Wie können Abhängigkeiten angezeigt werden? ===
Damit auf einer FortiGate Firewall Elemente gelöscht werden können, muss zuerst sichergestellt werden, dass keine weiteren Abhängigkeiten (dependencies) von anderen Elementen auf das zu löschende Objekt besteht. Diese Abhängigkeiten können wie folgt angezeigt werden:

'''Im GUI:''' 
Beispiele von Abhängigkeiten von einem Interface sind jeweils hier zu finden:

[[file:Fortinet-2256.png]]

'''Im CLI:''' 
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
fgt200-master # diagnose sys cmdb refcnt show system.interface.name port1
entry used by complex system.ha:monitor
entry used by table system.dhcp.server:id '3'
entry used by child table srcintf:name 'port1' of table firewall.policy:policyid '1'
</pre>
|}

== CLI ==
===Welche Platzhalter-Variabeln gibt es in der CLI?===
Die CLI unterstützt die folgenden Platzhalter-Variabeln. Bei den Variablennamen wird zwischen Gross- und Kleinschreibung unterschieden.

'''Liste der Platzhalter-Variabeln:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|
'''Variabel:'''
|
'''Beschreibung:'''
|-
|
''$USERFORM''
|
Die Management Zugriffs Methode (ssh, jsconsole usw.) und die IPv4-Adresse des Administrators, der das Element konfiguriert hat.
|-
|
''$USERNAME''
|
Der Accountname des Administrators, der das Element konfiguriert hat.
|-
|
''$SerialNum''
|
Die Serienummer des FortiGate Gerätes
|-
|}

Beispielsweise kann der Hostname des FortiGate Gerätes auf seine Seriennummer gesetzt werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set hostname $SerialNum
# end
</pre>
|}

=== Kann ich in der CLI meinen Output nach bestimmten Wörter filtern? ===

Wenn ich ein ''show'', ''get'' oder ''diagnose'' Befehl auf der CLI einsetze, bekomme ich oft einen sehr grossen und umfangreichen Ouptut. Daher ist es oft von Nutzen, nur den Output zu sehen, der für mich relevant ist und der Rest nicht angezeigt wird.
Im FortiOS kann mit dem ''grep'' Befehl der Output gefiltert werden. Der grep-Befehl basiert auf dem Standard-UNIX Grep Befehl, welcher für die Suche nach Textausgaben auf der Basis von regulären Ausdrücken verwendet wird.

Der folgende Befehl zeigt zum Beispiel die MAC-Adresse des internal5 Interfaces an:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
get hardware nic internal5 | grep Current_HWaddr
Current_HWaddr 90:6c:ac:a9:d7:47
</pre>
|}
Der folgende Befehl zeigt alle TCP Sessions an, inklusive Zeilennummer welche sich in der Session Liste befinden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# get system session list | grep -n tcp

5:tcp 3187 198.18.1.18:54740 146.4.73.70:54740 40.67.254.36:443 -
7:tcp 3544 198.18.1.208:54324 146.4.73.70:54324 40.67.254.36:443 -
10:tcp 3597 198.18.0.1:1065 - 198.18.0.12:514 -
13:tcp 3587 198.18.1.10:64704 146.4.73.70:64704 172.217.168.74:443 -
24:tcp 3593 198.18.1.63:46340 146.4.73.70:46340 52.5.144.164:443 -
27:tcp 9 198.18.0.200:53041 146.4.73.66:53041 172.16.0.1:8013 -
28:tcp 8 198.18.1.143:300 146.4.73.70:811 10.3.0.1:111 -
36:tcp 3597 198.18.1.166:50320 146.4.73.70:50320 54.156.181.70:443 -
51:tcp 3 198.18.0.200:53028 146.4.73.66:53028 172.16.0.1:8013 -
52:tcp 2 198.18.1.178:46020 146.4.73.70:46020 192.168.1.176:389 -
53:tcp 3573 198.18.0.200:52815 146.4.73.66:52815 185.60.216.53:443 -
55:tcp 2469 198.18.1.142:57170 146.4.73.70:57170 40.67.254.36:443 -
56:tcp 3596 198.18.0.1:1415 - 198.18.0.12:514 -
73:tcp 8 198.18.0.21:65394 146.4.73.66:65394 52.5.76.173:8347 -
74:tcp 3 198.18.0.11:38838 217.193.240.162:38838 96.45.33.86:443 -
76:tcp 7 198.18.0.1:14681 - 198.18.0.101:8000 -
81:tcp 3590 198.18.1.63:48378 146.4.73.70:48378 54.84.191.209:443 -
86:tcp 9 198.18.200.45:29948 146.4.73.68:29948 194.115.91.54:25 -
91:tcp 3595 198.18.1.163:55696 146.4.73.70:55696 192.146.155.80:443 -
92:tcp 3600 198.18.0.200:52835 - 198.18.0.1:22 -
102:tcp 8 198.18.0.9:34137 146.4.73.66:34137 198.18.6.10:139 -
105:tcp 5 198.18.0.200:53029 146.4.73.66:53029 172.16.0.1:8013 -
107:tcp 3490 198.18.0.200:52729 146.4.73.66:52729 40.67.251.132:443 -
118:tcp 3599 198.18.1.163:54718 146.4.73.70:54718 192.146.155.82:443 -
119:tcp 0 198.18.1.163:53038 146.4.73.70:53038 192.146.155.81:443 -
120:tcp 3513 198.18.1.18:56352 146.4.73.70:56352 40.79.67.176:443 -
126:tcp 3586 172.16.99.4:55785 146.4.73.71:55785 13.224.96.67:443 -
129:tcp 3599 172.16.99.4:57452 146.4.73.71:57452 172.217.168.46:443 -
144:tcp 3572 198.18.1.10:49867 146.4.73.70:49867 54.186.97.86:443 -
148:tcp 6 198.18.0.200:53034 146.4.73.66:53034 172.16.0.1:8013 -
150:tcp 3599 198.18.1.163:42980 146.4.73.70:42980 192.146.155.76:443 -
151:tcp 3598 198.18.0.1:24004 - 198.18.0.11:541 -
152:tcp 3595 198.18.0.1:1073 - 198.18.0.12:514 -
167:tcp 1 198.18.0.200:53017 146.4.73.66:53017 172.16.0.1:8013 -
169:tcp 3589 146.4.73.66:9421 - 154.45.1.53:514 -
173:tcp 3599 198.18.1.209:37791 146.4.73.70:37791 3.135.144.181:443 -
175:tcp 3583 198.18.1.224:57385 146.4.73.70:57385 13.59.223.49:443 -
176:tcp 3585 198.18.1.2:44996 146.4.73.70:44996 3.212.241.156:443 -
177:tcp 3595 198.18.0.1:1074 - 198.18.0.12:514 -
</pre>
|}

Der folgende Befehl zeigt alle Zeilen in der HTTP Replacement-Message an, die das Wort ''URL'' oder ''url'' enthalten:

<code> show system replacemsg http | grep -i url </code>

Weitere Optionen die verfügbar sind:
* -A <num> After (Nachher)
* -B <num> Before (Vorher)
* -C <num> Context (Kontext)

Die Option -f ist verfügbar, um kontextuelle Ausgaben zu unterstützen und die komplette Konfiguration anzuzeigen. Das folgende Beispiel zeigt den Unterschied, wenn ''-f'' verwendet wird und wenn ''-f'' nicht benutzt wird:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|show | grep ldap-group1 '''Ohne -f'''
|show | grep -f ldap-group1 '''Mit -f:'''
|-
|
<pre>
show | grep ldap-group1
edit "ldap-group1"
set groups "ldap-group1"
</pre>
|
<pre>
show | grep -f ldap-group1
config user group
edit "ldap-group1"
set member "pc40-LDAP"
next
end
config firewall policy
edit 2
set srcintf "port31"
set dstintf "port32"
set srcaddr "all"
set action accept
set identity-based enable
set nat enable
config identity-based-policy
edit 1
set schedule "always"
set groups "ldap-group1"
set dstaddr "all"
set service "ALL"
next
end
next
end
</pre>
|-
|}

===Wie kann ich ein Fragezeichen in regulären Ausdrücken über die CLI einfügen?===
[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Wenn man über die CLI ein Fragezeichen '''?''' eingibt, wird standartmässig das Hilfemenu aufgerufen und angezeigt.
Es kann vorkommen, dass man aber das Fragezeichen in einem regulären Ausdruck braucht.

Weil aber das Symbol des Fragezeichens für das Hilfemenu reserviert ist, wird es nicht möglich sein, das Fragezeichen in den Ausdrücken einzugeben, einzufügen oder zu kopieren.

Im folgenden Beispiel eines DLP Sensor wird das Fragezeichen ''?'' für den regexp Syntax benötigt:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
config dlp sensor
edit "default"
set comment "Default sensor."
config filter
edit 1
set proto smtp pop3 imap http-post
set filter-by regexp
set regexp "('?s:(\\d{10}.*))"
set action block
next
end
next
end
|}

'''Lösung:''' 
Damit man das Fragezeichen Symbol einfügen kann muss mit zBsp. einem Putty-Client gearbeitet werden.
# Putty öffnen
# Tastenkombination ''ctrl-V'' und dann ? eingeben

{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Mit der im WebGui verfügbaren CLI Console funktioniert diese Methode nicht!
|-
|}

'''Veranschauung:''' 
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Ich gebe in der CLI einfach das Fragezeichen '''?''' ein. Es wird automatisch das Hilfemenu angezeigt:
<pre>
#
config Configure object
get Get dynamic and system information
show Show configuration
diagnose Diagnose facility
execute Execute static commands
alias Execute alias commands
exit Exit the CLI
</pre>
----
Ich drücke zuerst ''ctrl+v'' und sehe danach in der CLI das Fragezeichen ohne dass das Hilfemenu aufgerufen wird:
<pre>
# ?
</pre>
|}


== Upgrade ==
=== Wo finde ich den Upgrade-Pfad um das FortiOS auf eine neue Version anzuheben? ===

Seit September 2018 hat Fortinet folgendes Tool zu Verfügung gestellt welches ein korrektes Update vereinfacht:

* https://docs2.fortinet.com/upgrade-tool

Alternativ kann der Upgrade-Pfad auf dem Supportportal im Download Center entnommen werden (support.fortinet.com). Leider ist dieser nur bis zur Startversion''' 5.2.9''' hinterlegt.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''FortiOS Download über das Supportportal:'''
|-
|
''support.fortinet.com -> DOWNLOAD -> FIRMWARE IMAGES''
[[file:Fortinet-20006.jpg|link=]]
|}

Wenn von einer früheren Version upgegradet werden soll, unterstützt folgender Link:

* http://cookbook.fortinet.com/sysadmins-notebook/supported-upgrade-paths-fortios/

=== Was muss ich beachten wenn ich auf das FortiOS 6.2.2 upgraden will? ===

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Vorsicht wenn eine FortiGate welche einen SoC3 verbaut hat und man auf die Version 6.2.2 upgraden will. Es muss beachtet werden, dass die Authentifizierung mit dem Mobile Token für das SSL-VPN nicht mehr funktioniert.
|-
|}

Welche Geräte sind betroffen?
* FG-60E
* FG-60E-POE
* FG-61E
* FG-80E
* FG-80E-POE
* FG-81E
* FG-81E-POE
* FG-100E
* FG-100EF
* FG-101E
* FG-140E
* FWF-60E
* FWF-61E

Diese Information kann aus den Release Notes von OS 6.2.2 entnommen werden:
https://docs.fortinet.com/document/fortigate/6.2.2/fortios-release-notes/501077/mobile-token-authentication
Über ein Fortinet Support Ticket haben wir noch folgendes in Erfahrung bringen können: 
Dieses Problem wurde im 6.2.3 gelöst.

'''Empfohlener Workaround:''' 
Versuchen sie sich mit dem SSL-VPN zu verbinden. Beim Passwort-Feld das Passwort eingeben und danach ohne Leerzeichen gleich den Tokencode eingeben. (Passwort und TokenCode bilden eine Zeichenkette)
Achtung, es muss nicht sein das dies zu 100% funktioniert. Es wurde im Ticket ausdrücklich auf '''versuchen''' verwiesen für diesen Workaround.

== Backup / Restore ==
=== Wie kann ich das Konfigurationsfile von der FortiGate backupen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 

"Backup ist nur für Feiglinge". Dieser Spruch hört oder liest man oft, doch wenn die FortiGate ersetzt werden muss ist man froh wenn man ein aktuelles Backup der Konfiguration besitzt. Es empfiehlt sich vor und nach jeder Konfigurationsänderung ein Backup zu erstellen. So ist es jederzeit möglich, wieder auf den ursprünglichen Stand zurück zu kehren.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Header Rechts auf den Admin User das Menu öffnen
# Configuration anwählen
# Backup anwählen

[[Datei:Fortinet-2629.jpg]]

Das Backup kann mittels "Backup to" auf den lokalen PC, oder falls ein USB Stick an der FortiGate eingesteckt ist auch diesen als Speicherziel wählen. Die Option Encryption ist dafür da, dass man das Backup File verschlüsselt abspeichern kann. Das Passwort, welches man definieren muss, darf nicht verloren gehen. Wenn das Passwort nicht mehr bekannt ist, gibt es keine Möglichkeit dieses Backupfile wieder in die FortiGate einzulesen. Auch über ein Support Ticket wird dies unmöglich sein.
Wenn man das Backup verschlüsselt ablegt, ist es nicht mehr möglich die Konfiguration im Texteditor zu lesen oder zu bearbeiten.
[[Datei:Fortinet-2630.jpg]]
Es kann definiert werden, wohin das Backup File abgespeichert werden soll. Es wird eine Datei mit der Endung .conf abgelegt. Diese Datei kann im Texteditor bearbeitet werden. Somit können gewisse Änderungen direkt im Backupfile vorgenommen werden. Man kann dies dann wieder als .conf Datei abspeichern und sie in die FortiGate einlesen.
[[Datei:Fortinet-2631.jpg]]

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Über die CLI gibt es noch weitere Orte auf welche das Backup abgespeichert werden kann. Zum Beispiel ist es möglich, das Backup auf einen FTP oder TFTP Server zu speichern. 
Der grundlegende Befehlt um eine Backup durchzuführen ist <code> execute backup config <Location> </code> 
Wenn man ein '''?''' nach config eingibt, werden alle möglichen Speicherorte angezeigt:
<pre>
# execute backup config ?
flash Backup config file to flash.
ftp Backup config file to ftp server.
management-station Backup config file to management station.
tftp Backup config file to TFTP server.
usb Backup config file to USB disk.
usb-mode Backup config file for USB mode.
</pre>

Um ein Backup auf einen FTP Server zu speichern kann wie folgt vorgegangen werden:
<pre>
execute backup config ftp <File_Name> <FTP_Server_IP> [<Port>] [<Usermame>] [<Passwort>]
</pre>
|-
|}

== Firmware ==
=== Wo finde ich die Release Notes für FortiOS 6.0? ===
[[File:fortiOS60.png|25px|link=]]

Die aktuellen Release Notes für das FortiOS 6.0 kann der folgenden Tabelle entnommen werden:

{| class="wikitable"
|- style="background:#89E871"
|''' FortiOS 6.0 Release Notes '''
|-
| style="width:850px" ;|
* [[:Datei:FortiOS-Release-Notes-Version-6.0.0.pdf|FortiOS - Release Notes Version 6.0.0]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.1.pdf|FortiOS - Release Notes Version 6.0.1]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.2.pdf|FortiOS - Release Notes Version 6.0.2]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.3.pdf|FortiOS - Release Notes Version 6.0.3]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.4.pdf|FortiOS - Release Notes Version 6.0.4]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.5.pdf|FortiOS - Release Notes Version 6.0.5]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.6.pdf|FortiOS - Release Notes Version 6.0.6]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.7.pdf|FortiOS - Release Notes Version 6.0.7]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.8.pdf|FortiOS - Release Notes Version 6.0.8]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.9.pdf|FortiOS - Release Notes Version 6.0.9]]
* [[:Datei:FortiOS-Release-Notes-Version-6.0.10.pdf|FortiOS - Release Notes Version 6.0.10]]
* [[File:new.png|30px|link=]] [[:Datei:FortiOS-Release-Notes-Version-6.0.11.pdf|FortiOS - Release Notes Version 6.0.11]] --> [https://docs.fortinet.com/document/fortigate/6.0.11/fortios-release-notes/760203/introduction| Link Release Notes 6.0.11]
|}

Die aktuellen Release Notes, welche von Fortinet direkt gepflegt & geupdatet werden sind auf der Docs-Seite aufgeführt:
* https://docs.fortinet.com/product/fortigate/6.0

=== Wo finde ich die Release Notes für FortiOS 6.2? ===
[[File:fortiOS62.png|25px|link=]]

Die aktuellen Release Notes für das FortiOS 6.2 kann der folgenden Tabelle entnommen werden:

{| class="wikitable"
|- style="background:#89E871"
|''' FortiOS 6.2 Release Notes '''
|-
| style="width:850px" ;|
* [[:Datei:FortiOS-Release-Notes-Version-6.2.0.pdf|FortiOS - Release Notes Version 6.2.0]]
* [[:Datei:FortiOS-Release-Notes-Version-6.2.1.pdf|FortiOS - Release Notes Version 6.2.1]]
* [[:Datei:FortiOS-Release-Notes-Version-6.2.2.pdf|FortiOS - Release Notes Version 6.2.2]]
* [[:Datei:FortiOS-Release-Notes-Version-6.2.3.pdf|FortiOS - Release Notes Version 6.2.3]]
* [[:Datei:FortiOS-Release-Notes-Version-6.2.4.pdf|FortiOS - Release Notes Version 6.2.4]]
* [[File:new.png|30px|link=]] [[:Datei:FortiOS-Release-Notes-Version-6.2.5.pdf|FortiOS - Release Notes Version 6.2.5]] --> [https://docs.fortinet.com/document/fortigate/6.2.5/fortios-release-notes/760203/introduction-and-supported-models| Link Release Notes 6.2.5]

|}

Die aktuellen Release Notes, welche von Fortinet direkt gepflegt & geupdatet werden sind auf der https://docs.fortinet.com Seite: aufgeführt:
* https://docs.fortinet.com/product/fortigate/6.2


=== Wo finde ich die Release Notes für FortiOS 6.4? ===
[[File:fortiOS64.png|25px|link=]]

Die aktuellen Release Notes für das FortiOS 6.4 kann der folgenden Tabelle entnommen werden:

{| class="wikitable"
|- style="background:#89E871"
|''' FortiOS 6.4 Release Notes '''
|-
| style="width:850px" ;|
* [[:Datei:FortiOS-Release-Notes-Version-6.4.0.pdf|FortiOS - Release Notes Version 6.4.0]] --> [http://docs.fortinet.com/document/fortigate/6.4.0/fortios-release-notes/760203/introduction-and-supported-models| Link Release Notes 6.4.0]
* [[:Datei:FortiOS-Release-Notes-Version-6.4.1.pdf|FortiOS - Release Notes Version 6.4.1]] --> [http://docs.fortinet.com/document/fortigate/6.4.1/fortios-release-notes/760203/introduction-and-supported-models| Link Release Notes 6.4.1]
* [[File:new.png|30px|link=]] [[:Datei:FortiOS-Release-Notes-Version-6.4.2.pdf|FortiOS - Release Notes Version 6.4.2]] --> [http://docs.fortinet.com/document/fortigate/6.4.2/fortios-release-notes/760203/introduction-and-supported-models| Link Release Notes 6.4.2]

|}



Die aktuellen Release Notes, welche auch immer gepflegt werden, findet man auf der https://docs.fortinet.com Seite:

* https://docs.fortinet.com/product/fortigate/6.4

=== Unterstützt meine FortiGate eine bestimmte FortiOS Version? ===
In den folgenden Tabellen kann entnommen werden, ab wann eine bestimmte FortiGate nicht mehr mit einer FortiOS GA Version funktioniert. Bevor man eine neue GA Version auf einer FortiGate installiert, sollte man in den Release Notes prüfen, ob die entsprechende Version auch für dieses Gerät vorhanden ist. Alle nachfolgenden Angaben wurden der Fortinet Support Seite entnommen und sind ohne Gewähr.

https://support.fortinet.com/Information/ProductLifeCycle.aspx

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version '''5.4''' nicht:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
|
'''FortiGate Modelle die 5.4 nicht unterstützen:'''
|-
|
* 20C
* 40C
* 60C
* 60C-SFP
* 60C-POE
* 60D-3G4G-VZW*
* Rugged-100C
* 110C
* 111C
* 140D-POE-T1
* 200B
* 200B-LENC
* 200B-POE
* 300C
* 300C-LENC
* 310B
* 310B-DC
* 310B-LENC
* 311B
* 620B
* 620B-DC
* 620B-LENC
* 621B
* 1240B
* 1240B-DC
* 3016B
* 3040B
* 3040B-LENC
* 3140B
* 3140B-LENC
* 3810A
* 3810A-DC
* 3810A-E4
* 3810A-LENC
* 3950B
* 3950B-LENC
* 3951B
* 3951B-DC
* 5001A
* 5001A-DW
* 5001A-DW-LENC
* 5001A-SW
* 5001B
* 5101C
* 5101C-LENC
|-
| style="background:#89E871" |
''' FortiGate-WIFI Modelle die 5.4 nicht unterstützen:'''
|-
|
* 20C
* 40C
* 60C
* 60CM-3G4G-B
* 60CX-ADSL-A
* 60D-3G4G-VZW
|}
''Der Zugang zum Fortinet-Kundendienst für Support zu 5.2 ist für diese Hardware-Modelle bis zur erlangung des Hardware-End-of-Support-Datums möglich.''

----

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version '''6.0''' nicht:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
|
'''FortiGate Modelle die 6.0 nicht unterstützen:'''
|-
|
* 80C
* 80CM
* 91E
* 600C
* 800C
* 1000C
* 5001C
* 3600C
* 3240C
|-
| style="background:#89E871" |
''' FortiGate-WIFI Modelle die 6.0 nicht unterstützen:'''
|-
|
* 80CM
* 81CM
|}
Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version '''6.2''' nicht:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
|
'''FortiGate Modelle die 6.2 nicht unterstützen:'''
|-
|
* 30D
* 30D-POE
* 60D
* 60D-POE
* FG-70D
* 70D-POE
* 90D
* 90D-POE
* 94D-POE
* 98D-POE
* 200D
* 200D-POE
* 240D
* 240D-POE
* 280D-POE
|-
| style="background:#89E871" |
''' FortiGate-WIFI Modelle die 6.2 nicht unterstützen:'''
|-
|
* 30D
* 30D-POE
* 60D
* 60D-POE
* 90D
* 90D-POE
* 92D
|-
| style="background:#89E871" |
''' FortiGate Rugged Modelle die 6.2 nicht unterstützen:'''
|-
|
* 60D
|}

----

Die unten aufgeführten Hardware-Modelle unterstützen die FortiOS-Version '''6.4''' nicht:

{| class="wikitable" style="width:750px"
|- style="background:#89E871"
|
'''FortiGate Modelle die 6.4 nicht unterstützen:'''
|-
|
* 30E
* 30E-3G4G
* 50E
* 51E
* 52E
* 80D
* 92D
* 100D
* 140D
* 140D-POE
|-
| style="background:#89E871" |
''' FortiGate-WIFI Modelle die 6.4 nicht unterstützen:'''
|-
|
* 30E
* 30E-3G4G
* 50E
* 50E-2R
* 51E
|-
| style="background:#89E871" |
''' FortiGate Rugged Modelle die 6.4 nicht unterstützen:'''
|-
|
* 30D
* 35D
|}

=== Wann geht eine FortiOS Version "End of Support" - wo wird dies ausgewiesen, resp. wo kann ich dies nachschauen? ===

Um zu wissen ob auf der vorhandenen OS-Version der FortiGate noch Support-Anspruch besteht / noch unterstützt wird, kann dies am einfachsten auf dem Partner-Portal, welches immer geupdated wird, überprüft werden. Im Partner-Portal ist dies hier zu finden: 
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
https://support.fortinet.com/Information/ProductLifeCycle.aspx
|-
|}

So wird zum Beispiel das FortiOS 6.0 im September 2023 "End of Support" gehen.

'''Der Life Cycle vom FortiOS ist wie folgt definiert:'''

[[file:Fortinet-1866.jpg|link=]]

Die GA-Phase dauert 36 Monate, danach geht das FortiOS automatisch in den Status "End of Engineering Support". Nach weiteren 18 Monaten geht das FortiOS "End of Support". Sobald das FortiOS in diesem Stadium ist, gibt es seitens Fortinet keinen technischen Support. Dies bedeutet, dass Tickets erst bearbeitet werden, wenn die FortiGate auf einen aktuellen Software Stand angehoben wurde. Der ganze Life Cycle einer FortiOS Generation dauert entspechend 54 Monate.

Mehr zum TAC Support : [[Fortinet:Support-Case#Was_wird_vom_Technischen_Fortinet_Support_.28TAC.29_nicht_unterst.C3.BCtzt.3F]]

In der nachstehenden Tabelle sind die Daten welche der offiziellen Fortinet Supportseite entnommen wurden:

{| class="wikitable"
! Software Version || Release Date (GA) || End of Engineering Support Date (EOES) || End of Support Date (EOS)
|-
|style="background-color: #f8e7ea;" | 3.3 ||style="background-color: #f8e7ea;" | 02.10.2006 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''02.10.2009'''
|-
|style="background-color: #f8e7ea;" | 3.4 ||style="background-color: #f8e7ea;" | 29.12.2006 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''29.12.2009'''
|-
|style="background-color: #f8e7ea;" | 3.5 ||style="background-color: #f8e7ea;" | 03.07.2007 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''07.03.2010'''
|-
|style="background-color: #f8e7ea;" | 3.6 ||style="background-color: #f8e7ea;" | 04.02.2008 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''04.02.2011'''
|-
|style="background-color: #f8e7ea;" | 3.7 ||style="background-color: #f8e7ea;" | 08.07.2008 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''18.07.2011'''
|-
|style="background-color: #f8e7ea;" | 4.0 ||style="background-color: #f8e7ea;" | 24.02.2009 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''24.02.2012'''
|-
|style="background-color: #f8e7ea;" | 4.1 ||style="background-color: #f8e7ea;" | 24.08.2009 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''24.08.2012'''
|-
|style="background-color: #f8e7ea;" | 4.2 ||style="background-color: #f8e7ea;" | 01.04.2010 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''01.04.2013'''
|-
|style="background-color: #f8e7ea;" | 4.3 ||style="background-color: #f8e7ea;" | 19.03.2011 ||style="background-color: #f8e7ea;" | - ||style="background-color: #f8e7ea;" | '''19.03.2014(1)'''
|-
|style="background-color: #f8e7ea;" | 5.0 ||style="background-color: #f8e7ea;" | 01.11.2012 ||style="background-color: #f8e7ea;" | 01.11.2015 ||style="background-color: #f8e7ea;" | '''01.05.2017'''
|-
|style="background-color: #f8e7ea;" | 5.2 ||style="background-color: #f8e7ea;" | 13.06.2014 ||style="background-color: #f8e7ea;" | 13.06.2017 ||style="background-color: #f8e7ea;" | '''13.12.2018'''
|-
|style="background-color: #f8e7ea;" | 5.4 ||style="background-color: #f8e7ea;" | 21.12.2015 ||style="background-color: #f8e7ea;" | 21.12.2018 ||style="background-color: #f8e7ea;" | '''21.6.2020'''
|-
|style="background-color: #f7d59c;" | 5.6 ||style="background-color: #f7d59c;" | 2017-03-30 ||style="background-color: #f7d59c;" | 2020-03-30 ||style="background-color: #f7d59c;" | 30.9.2021
|-
|6.0 || 29.03.2018 || 29.03.2021 || 29.09.2022
|-
|6.2 || 28.03.2019 || 28.03.2022 || 28.09.2023
|-
|6.4 || 31.03.2020 || 31.03.2023 || 30.09.2024
|}

'' (1) Das v4.0MR3 End of Support Date für Hardware, welche FortiOS Version 5.0 unterstützt, ist 2014-03-19. (Zusätzlich, und nach eigenem Ermessen, wird Fortinet den Kunden bei der Umstellung auf 5.0 in begrenztem Umfang beratend zur Seite stehen. Der beratende Support beschränkt sich auf technischen Support, Konfigurationshilfe, allgemeine Fragen und die Einreichung von Fehlerberichten. ''

''Quelle: https://support.fortinet.com/Information/ProductLifeCycle.aspx''

=== Wie wird eine FortiGate von Grund auf mit einem entsprechenden FortiOS installiert (staging)? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Wenn ein FortiGate Device von Fortinet ausgeliefert wird, kann dieses Device auf irgend einem FortiOS basieren! Grundsätzlich werden immer die neusten FortiOS Versionen durch Fortinet vorinstalliert. Wenn es sich um ein neu lanciertes Modell eines FortiGate Devices handelt, basiert dies oft auf einem sogenannten "Branche Release". Ein "Branche Release" ist eine Vorabversion eines "GA" Releases (General Availibility). Aus diesem Grund empfehlen wird bei jedem FortiGate Device ein "staging" mit einem FortiOS nach Wahl durchzuführen. Dabei spielt es keine Rolle welches FortiOS oder welche Konfiguration auf der FortiGate existiert oder vorhanden ist, da durch ein "staging" die FortiGate von Grundauf neu installiert wird und sämtliche Konfiguration und das bestehende FortiOS dabei verloren gehen. Somit sollte jedes FortiGate Device nach diesem Vorgehen aufgesetzt werden. Zwingende Voraussetzung für ein "staging" ist eine korrekte Verbindung von der entsprechenden Workstation zum "Consolen Port" (RS232) des FortiGate Devices. Dies bedeutet:

{| class="wikitable"
|- style="background:#89E871"
| '''Parameter für RS232 Verbindung'''
|-
| style="width:34.375em" ;|
8 bits
no parity
1 stop bit
9600 baud (the FortiGate-300 uses 115,000 baud)
Flow Control = None
|-
|}

Die heutigen Laptop/Workstation verfügen in den seltensten Fällen einen "RS-232" Port. Dies bedeutet dass mit einem entsprechenden Device, zBsp "USB Konverter" gearbeitet werden muss. Wir empfehlen den "EX-1301-2" USB Konverter welcher sich durch eine hohe Kompatibilität auszeichnet. Weitere detaillierte Informationen betreffend "Konsolen Port" resp. RS-232 Console findet man im folgenden Artikel:

[[FortiGate-6.0:FAQ#Was_f.C3.BCr_ein_Kabel_.28Konverter.29_ben.C3.B6tige_ich_f.C3.BCr_den_Konsolen_Anschluss_.28Seriell_RS-232.29_auf_einer_FortiGate.3F]]

Beim "staging" Prozess überträgt das BIOS des FortiGate Devices das entsprechende FortiOS welches von einem TFTP Server auf die FortiGate um dies nachträglich zu installieren. Aus diesem Grund muss auf der entsprechende Workstation, welche mit dem FortiGate Device verbunden ist ein TFTP Server installiert werden. Wir empfehlen folgenden TFTP Server welcher kostenlos erhältlich ist:

http://www.solarwinds.com/downloads/ (Abschnitt: Free Trial Downloads > TFTP Server & SFTP/SCP Server > DOWNLOAD FREE Tool > Free TFTP Server > DOWNLOAD NOW)
https://www.solarwinds.com/free-tools/free-tftp-server (Direkter Link)

Für den "Solarwinds TFTP Server" muss eine Standard-Installation durchgeführt werden. Nach der Installation steht im Startmenü "SolarWinds TFTP Server" zur Verfügung und unter dem Menu-Punkt "TFTP Server". Starte den TFTP Server anhand dieses Menu-Eintrages. Danach wähle:

File > Configure > Start

Der TFTP Server wird gestartet und dies wird auch unter der Position "Status" als "Started" angezeigt. Nun bestätige durch "OK" das "Configure" Fenster und sobald dies geschieht "initial" wird der TFTP Server gestoppt. Der Grund hierfür ist der folgender: Beim ersten Start des TFTP Servers wird das "TFTP Server Root Directory" angelegt und der Server stoppt. Standardmässig befindet sich das "TFTP Server Root Directory unter folgendem Verzeichnis "C:\TFTP-Root". Kontrolliere kurz ob dieses Verzeichnis angelegt wurde und starte den TFTP Server mehrmals und kontrolliere dessen Status:

File > Configure > Start [Kontrolliere den Status "Started"]

Nun muss in das "TFTP Server Root Direktory" das entsprechende FortiOS Image kopiert werden. Benenne dieses Image um in "image.out". Als nächsten Schritt konfiguriere die Netzwerkkarte der entsprechende Workstation welche mit dem FortiGate Device über "Consolen Port" verbunden ist mit folgender IPv4-Adresse / Subnet Maske und deaktiviere sämtlichen anderen Netzwerkkarten wie zBsp jenes für das WLAN:

192.168.1.100
255.255.255.0

'''NOTE''' Die IPv4-Adresse des TFTP Servers resp. der Netzwerkkarte der entsprechenden Workstation kann für die verschiedenen
Modelle des FortiGate Devices variieren. Beim "staging" Prozess kann diese jedoch eruiert werden!

Die Konfiguration der Netzwerkkarte benötigt keinen "Default Gateway" und auch keinen DNS Server. Achte darauf, dass auf der entsprechenden Workstation sämtliche Firewall, Endpoint Security usw. deaktiviert wurden damit die Anfrage des FortiGate Devices für die Übertragung des FortiOS Image zum TFTP Server zugelassen wird. Aus diesen Ausführung ergibt sich folgende Konstellation:

_____________________________
| RS232 Verbindung |
Consolen Port | |
___________|___ | RS-232 Anschluss
| | ____|_______________
| FortiGate 50E | 192.168.1.100/24 | |
|_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server Status "Started"
| | NIC |____________________| --> FortiOS als "image.out" im C:\TFTP-Root
WAN1 | | --> Fireweall, Endpoint Security deaktiviert!
|_____________________|

'''NOTE''' Als Verbindung von WAN1 zur Netzwerkkarte der entsprechenden Workstation benutze ein normales RJ-45 Kabel. Der entsprechende
Netzwerk-Port in unserem Beispiel ("WAN1") ist abhängig des FortiGate Devices. Der entsprechend zu nutzende Port wird während
dem "staging" Prozess aufgelistet!

Nun muss das FortiGate Device neu gestartet werden (execute restart) oder ein "power-on" ausgeführt werden. Sobald die FortiGate startet muss auf folgende Meldung geachtet werden um den Start-Prozess abzubrechen und so in dass BIOS der FortiGate zu gelangen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
Please wait for OS to boot, or press any key to display configuration menu..

FortiGate-50E (12:55-08.13.2015)
Ver:05000011
Serial number: FGT50E3U15000635
CPU(00): 1600MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... egiga1
'''Please wait for OS to boot, or press any key to display configuration menu..'''
|-
|}
Wenn der Start-Prozess mit "press any key...." abgebrochen wurde wird folgendes Menü angzeigt:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
[C]: Configure TFTP parameters.
[R]: Review TFTP parameters.
[T]: Initiate TFTP firmware transfer.
[F]: Format boot device.
[I]: System information.
[B]: Boot with backup firmware and set as default.
[Q]: Quit menu and continue to boot.
[H]: Display this list of options.
|-
|}

Nun kann für den TFTP "staging" Prozess anhand "[R]: Review TFTP parameters." die vorgegebenen Konfiguration eingesehen werden. Möchte man diese Konfiguration verändern kann dies anhand "[C]: Configure TFTP parameters." durchgeführt werden. Dabei ist zu beachten das diese Veränderung "persistens" ist und zukünftig für jeden "staging" Prozess betreffend TFTP Parameter für dieses FortiGate Device gilt:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
Enter C,R,T,F,I,B,Q,or H: '''R'''

Image download port: WAN1
DHCP status: Disabled
Local VLAN ID: <NULL>
Local IP address: 192.168.1.188
Local subnet mask: 255.255.255.0
Local gateway: 192.168.1.254
TFTP server IP address: 192.168.1.100
Firmware file name: image.out
|-
|}
Führe folgende Kontrolle betreffend der Konfiguration des "staging" Prozesses durch:
* Ist das RJ-45 Kabel am korrekten Netzwerk-Port der FortiGate angeschlossen (Beispiel: WAN1)
* Wurde die korrekte IPv4-Adresse, wie auch die Subent Maske auf der Netzwerkkarte der entsprechenden Workstation konfiguriert
* Ist der TFTP Server gestartet und befindet sich im "TFTP Server Root Directory" (C:\TFTP-Root) das entsprechende Image des FortiOS als File "image.out"
Als nächsten Schritt muss der "boot device" neu formatiert werden. Dabei wird die Boot-Partition gelöscht und neu angelegt. Sämtliche vorhandenen Daten/Informainen gehen dabei verloren. Wähle die Position "[F]: Format boot device.":
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
Enter C,R,T,F,I,B,Q,or H: '''F'''
It will erase data in boot device. Continue? [yes/no]: '''yes'''
Formatting............................ Done.
|-
|}
Nun, um den "staging" Prozess zu starten führe den Punkt "[T]: Initiate TFTP firmware transfer." aus:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
Enter C,R,T,F,I,B,Q,or H: '''T'''
|-
|}
Nun wird der "staging" Prozess durchgeführt. Achte dabei auf den "TFTP Server" resp. dessen Console in welcher der Transfer des Files bestätigt wird! Auf dem FortiGate Device wird eine korrekte Übertragung folgendermassen angezeigt:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
Please connect TFTP server to Ethernet port 'WAN1'.

MAC: 90:6c:ac:13:80:10

Connect to tftp server 192.168.1.100 ...

#############################################################
Image Received.
Checking image... OK
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? '''D'''

Wenn "D" für "default" ausgeführt wird, so wird das FortiOS in die Partition installiert und diese "active" gesetzt und somit beim nächsten Neustart des Devices verwendet. Wird "B" für "backup" gewählt, so wird die Partition nicht "active" gesetzt und beim nächsten Neustart nicht genutzt. Wenn "R" für "run" ausgeführt wird, so wird das FortiOS in den Memory Bereich installiert. Dies bedeutet dass nach einem Neustart des Devices diese Installation nicht mehr zur Verfügung da durch den ausgeführten Neustart der Memory Bereich gelöscht wird! Für ein "staging" speziell wenn der "boot device" Formatiert wird ist immer "D" zu wählen für "default".

Programming the boot device now.
....................................
.............................................................
.............................................................
...............................................................
...

Booting OS...

Reading boot image... 2800640 bytes.
Initializing firewall...

System is starting...

FGT50E3U15000635 login:
|-
|}
Das FortiOS ist nun grundsätzlich installiert. Als nächsten Schritt sollte die "disk" eines FortiGate Devices formatiert werden. Bei kleineren FortiGate Devices steht die "disk" für ein "Logging" nicht mehr zur Verfügung. Dennoch sollte die "disk" Formatiert werden da ein FortiOS für viele Funktionen diese "disk" benutzen wird, wie zBsp DHCP Lease File, Caching Informationen usw. Steht die "disk" nicht zur Verfügung, da diese nicht formatiert wurde, werden diese Informationen in den Memory-Bereich geschrieben was das Memory zusätzlich belastet oder stehen teilweise gänzlich nicht zur Verfügung. Um sich Initial nach einem "staging" auf einem FortiGate Device einzuloggen müssen folgende Login-Informationen verwendet werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
User: admin
Password: [Kein Passwort]
|-
|}
Nun kann die "disk" mittels folgendem Befehl formatiert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# execute formatdisk
Log disk is /dev/sdb4
Formatting this storage will erase all data on it, including
Logs, quarantine files;
WanOpt caches;
and requires the unit to reboot.
Do you want to continue (y/n) '''y'''
|-
|}
Nach dem Formatieren der "disk" wird ein Neustart ausgeführt! Dieser Befehl "execute formatlogdisk" kann auf neueren FortiGate Modellen, wie zBsp einer FG-50E nicht ausgeführt werden. Der Grund ist der wie folgt: Diese FortiGate Modelle verfügen zwar über eine "disk" jedoch die "disk" wird als Subsystem im Flash-Bereich angelegt (MTD; Memory Technology Device). Die "MTD" Technology ist Bestandteil des Linux Kernels resp. des FortiOS Kernels. Um festzustellen ob das FortiGate Modell über eine "MTD" Implementation verfügt kann folgender Befehl eruiert werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# fnsysctl df -h
Filesystem Size Used Available Use% Mounted on
rootfs 123.9M 53.6M 70.2M 43% /
/dev/root 123.9M 53.6M 70.2M 43% /
none 1.5G 1.5M 1.4G 0% /tmp
none 1.5G 0 1.5G 0% /dev/shm
none 1.5G 16.9M 1.4G 1% /dev/cmdb
'''/dev/mtd5 18.0M 6.6M 11.3M 37% /data'''
'''/dev/mtd7 30.0M 2.3M 27.6M 8% /data2'''
|-
|}
Bei den Verzeichnissen "/data" sowie "/data2" welche als "/dev/mtd*" indiziert werden und somit als "MTD" Subsysteme gelten, handelt es sich effektiv um die "disk". Diese "disk" resp. das "MTD Subsystem" wird anhand eines Files, welches in den Flash-Bereich kopiert wird angelegt. Dabei muss berücksichtigt werden, dass alle Informationen der "disk" verloren gehen. Somit FortiGate Modelle, welche anhand dieser "MTD Subsystem" Technology verfügen resp. anhand dieser eine "disk" dargestellt wird können Informationen nicht "persistent" speichern dh. nach einem Neustart gehen alle Informationen verloren! Für ein "MTD" Subsystem wird auf einer FortiGate-50E 128 MB alloziert. Als nächster Schritt im "staging" Prozess sollten die Interface's auf dem internal Switch aufgebrochen werden. Um dies durchzuführen muss zwischen folgenden Möglichkeiten unterschieden werden:
* Das FortiGate Device verfügt über einen internen Hardware "Switch Controller"!
* Das FortiGate Device verfügt über keinen internen Software "Switch Controller"!
* Auf dem FortiGate Device kann kein "Interface Mode" durchgeführt werden!

https://fortinet.also.ch/wiki/index.php?title=FortiGate-6.0:FAQ#Wie_wird_ein_virtueller_Switch_komplett_gel.C3.B6scht.3F
Durch das Aufbrechen des internen Swichtes gehen sämtliche Konfigurationen auf den Interfaces für den "internen" Switch verloren Dies beutet dass nach dem ausgeführten Neustart auf den Interfaces für den internen Switch einzeln verfügbar sind keine IP Adressen mehr konfiguriert sind. Um auf einen Zugriff über das Mgmt. Interfaces der FortiGate zu gewährleisten muss folgendes auf einem entsprechenden Interface ausgeführt werden:

'''Verifiziere die einzelnen Interface Namen'''
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# show system interface
|-
|}
'''Konfiguriere ein entsprechendes Interface'''
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system interface
# edit [Name des Interface zB "internal1"]
# set ip [IPv4 Adresse plus Subnet Maske zB "192.168.1.99 255.255.255.0]
# set allowaccess [http | https | ssh | telnet | ping]
# end
|-
|}
Wenn "http" sowie "https" aktiviert werden wird standardmässig ein "redirect" auf "https" durchgeführt. Möchte man dies unterbinden kann folgendes zusätzlich ausgeführt werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
# config system global
# set admin-https-redirect [enable | disable]
# end
|-
|}
Der "staging" Prozess ist nun abgeschlossen und due FortiGate kann in Betrieb genommen werden!

Hier kann eine Anleitung heruntergeladen werden:
* [[Datei:FortiGate-Guide-Staggen_SwitchAufloesen-Version-1.0.pdf]]

===Wie kann ich einen FortiOS Rollback durchführen? ===

Auf der FortiGate bestehen zwei Partitionen auf der Festplatte, auf welcher die Konfiguration und das FortiOS Image geschrieben wird.
Es ist immer eine Partion mit dem aktuellen FortiOS und der aktuellen Konfiguration aktiv. Wenn ein Upgrade auf eine neue FortiOS Version
durchgeführt wird, wird die Konfiguration auf die passive Partition geschrieben und auf dieser das neue FortiOS installiert.
Nach der Installation wird dann diese Partition aktiv geschalten und die andere passiv.

Durch dieses Verhalten ist es möglich, dass wir nach einem missglückten OS-Update wieder ein Schritt zurück gehen können indem wir mit der passiven Partition die FortiGate neu starten.
So initiert die FortiGate nach einem Reboot wieder mit der vorherigen OS-Version und deren Konfiguration.

Wichtig zu wissen ist, dass man immer nur ein Schritt zurück gehen kann. Daher empfiehlt es sich nach jedem Update-Schritt das Verhalten der FortiGate zu überprüft.

Als Erstes müssen wir schauen, welche Partition momentan gerade aktiv ist. Dies kann mit <code> diagnose sys flash list </code> überprüft werden.
Danach müssen wir definieren, mit welcher Partition wir beim nächsten Mal starten wollen (primäre oder sekondäre)

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
# diagnose sys flash list
Partition Image TotalSize(KB) Used(KB) Use% Active
1 FGT60E-6.02-FW-'''build1010'''-191008 253920 83060 33% No
'''2''' FGT60E-6.02-FW-'''build1066'''-191218 253920 82168 32% '''Yes'''
3 ETDB-77.00885 3021708 130964 4% No
Image build at Dec 18 2019 22:30:39 for b1066

Wir sehen in diesem Beispiel, dass die Partition 2 (secondary) aktiv ist. Auf dieser ist das FortiOS '''Build 1066''' (FortiOS 6.2.3) installiert.
Auf der Partition 1 (primär) ist das FortiOS '''Build 1010''' (FortiOS 6.2.2) installiert.

Mit dem Befehl <code>execute set-next reboot [primary|secondary] </code> kann ich definieren mit welcher Partition beim nächsten Reboot gestartet werden soll.

In unserem Beispiel wollen wir den Fallback auf das FortiOS 6.2.2. Dies bedeutet, dass wir die primäre Partition auswählen müssen:
<pre>
# execute set-next-reboot primary
Default image is changed to image# 1.
</pre>

Wir können dies jetzt auch mit <code>diagnose sys flash</code> list überprüfen:

# diagnose sys flash list
Partition Image TotalSize(KB) Used(KB) Use% Active
'''1''' FGT60E-6.02-FW-build1010-191008 253920 82168 32% '''Yes'''
2 FGT60E-6.02-FW-build1066-191218 253920 82168 32% No
3 ETDB-77.00885 3021708 130964 4% No
Image build at Dec 18 2019 22:30:39 for b1066

Mit <code>execute reboot</code> kann die FortiGate neu gestartet werden und startet nun künftig mit der primären Partition, deren Konfig und der entsprechenden FortiOS Version 6.2.2.
|}

[[Datei:HowTo_FortiOS_rollback.pdf]]

== 3G/4G Modem ==

== DNS ==
=== Wie konfiguriere ich auf einer FortiGate die System DNS Server? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 

Dem DNS Server auf einer FortiGate kommt eine wichtige Funktion zu. Die FortiGate nutzt die DNS Server für unzählige Funktionen und müssen entsprechend einwandfrei funktionieren. Die DNS Server-Einstellung ist eine globale Einstellung. Dies bedeutet, dass wenn mit VDOM gearbeitet wird der System DNS Server für alle gleich ist. Konfiguriert werden die System-DNS-Einstellungen im Menu DNS:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu ''Network > DNS''

[[File:Fortinet-2616.jpg|link=]] 
|-
|}

Über die CLI werden die System DNS Server wie folgt konfiguriert:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config system dns
# set primary [IPv4 Adresse des DNS 1 Serves]
# set secondary [IPv4 Adresse des DNS 2 Servers]
# set ip6-primary :: [IPv6 Adresse des DNS1 Server]
# set ip6-secondary :: [IPv6 Adresse des DNS2 Server]
# set domain [Lokale Domaine]
# set source-ip [Source IP die benützt werden soll für die DNS Anfrage]
# end
</pre>
|-
|}

Über die CLI kann die Speicherdauer, wie lange der DNS-Eintrag im Cache gespeichert werden soll, konfiguriert werden. Weiter kann auch konfiguriert werden wie viele DNS Einträge im Cache maximal gespeichert werden sollen.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config system dns
# set dns-cache-limit [Maximum Einträge die im Cache verbleiben; Standard 5000]
# set dns-cache-ttl [Maximum Zeit in der die DNS Cache vebleibt; Standard 1800]
# end
</pre>
|-
|}

Die Anweisung "cache-notfound-response" ist ein Log relevanter Eintrag. Wird dieser aktiviert, und sind die relevanten Log's aktiviert, so wird im Log, sofern die Anfrage im "local cache" nicht gefunden wird ein "NOTFOUND" ausgegeben. Defaultmässig ist diese Option deaktiviert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config system dns
# set cache-notfound-response [enable | disable]
# end
</pre>
|-
|}

Bei FortiGate Geräten mit mehreren CPUs können die DNS-Prozessnummer von 1 bis zur Anzahl der CPUs eingestellt werden. Die Standard-DNS-Prozessnummer ist 1.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config system global
# set dnsproxy-worker-count <integer>
# end
</pre>
|-
|}

===Wie konfiguriere ich auf der FortiGate "DNS over TLS"?===
[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] 
Seit dem FortiOS 6.2 wurde diese Option '''D'''NS '''o'''ver '''T'''LS ('''DoT''') hinzugefügt.

'''Wie funktioniert DoT?'''

Der noch recht junge Standard "DNS over TLS" (RFC 7858) soll drei Probleme von DNS und DNSSEC lösen:
* Schützen der Privatsphäre von Anwender und gegen abhören schützen
* Einschleusen von manipulierten DNS-Informationen unterbinden
* Verhindern von Denial-of-Service-Attacken via DNS

Die Funktion von DoT ist ziemlich einfach. Klassisch ruft der Client die DNS Informationen beim Resolver über eine ungesicherte UDP Kommunikation auf. Bei DoT wird dies über eine TCP Verbindung in der Security Schicht aufgerufen, welche authentifiziert und verschlüsselt ist. So bezieht der Client eine DNSSEC validierte Information des Namensservers. So kann ausgeschlossen werden dass Drittpersonen mitlesen. Die Namensauflösung des Resovers erfolgt dann im Klartext. Dies ist aber nicht gravierend, da der Urheber der Anfrage nicht ersichtlich ist. Es soll aber bereits Pläne geben welche die Kommunikation zwischen DNS-Resolver und dem zuständigen DNS-Server via DoT auch gesichert wird. DoT kommuniziert mit dem TCP Port 853. Ein Client der DoT fähig ist versucht die DNS-Anfrage zuerst über dieses Protokoll. Falls der Dienst nicht verfügbar ist, wird in der Regel über UDP53 die Anfrage getätigt (dies ist jedoch abhängig wie die Sicherheitseinstellungen des Systems sind). Auf der FortiGate ist es so eingestellt, dass wenn die DoT Anfrage nicht funktioniert normal über UDP53 die Anfrage unverschlüsselt abgesetzt wird.
Dies ist problematisch da der Port 853 an vielen Orten (Perimeter Firewalls, Hotels oder öffentliche Hot Spots) noch blockiert wird. Des Weiteren bringt TCP, zusätzlich in Kombination mit TLS, einiges an Verwaltungs-Overhead mit sich, der die für zügiges surfen elementare Namensauflösung bremst.

[[file:Fortinet-2618.jpg|link=]]

'''Wie konfiguriere ich DoT auf der FortiGate?'''

Um "DNS over TLS" zu aktivieren kann im WebGUI über das Menu: ''Network > DNS'' der entsprechende Status konfiguriert werden:

[[file:Fortinet-2617.jpg|link=]]

* ''disable'' DNS over TLS ist deaktiviert
* ''enable'' DNS over TLS soll für DNS-Abfragen verwenden werden, sofern TLS verfügbar ist
* ''force'' Nur TLS für DNS-Abfragen verwenden. Greift nicht auf unverschlüsselte DNS-Abfragen zurück, wenn TLS nicht verfügbar ist

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:750px" ;|
<pre>
# config system dns
# set dns-over-tls [disable|enable|force]
# set ssl-certificate "Fortinet_Factory"
# end
</pre>
|-
|}

=== Wie kann ich auf einer FortiGate das DNS Cache löschen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 

Das DNS Cache einer FortiGate kann über CLI mit folgendem Befehl gelöscht werden:

<code>diagnose test application dnsproxy 1</code>

Die Option "1" steht für "Clear DNS cache". Unter "dnsproxy" stehen noch folgende weitere Optionen zu Verfügung:
{| class="wikitable"
|- style="background:#89E871"
| Weitere Optionen für '''diagnose test application dnsproxy [Option]''':
|-
| style="width:750px" ;|
<pre>
diagnsoe test application dnsproxy ?
1. Clear DNS cache
2. Show stats
3. Dump DNS setting
4. Reload FQDN
5. Requery FQDN
6. Dump FQDN
7. Dump DNS cache
8. Dump DNS DB
9. Reload DNS DB
10. Dump secure DNS policy/profile
11. Dump Botnet domain
12. Reload Secure DNS setting
13. Show Hostname cache
14. Clear Hostname cache
15. Show SDNS rating cache
16. Clear SDNS rating cache
17. DNS debug bit mask
99. Restart dnsproxy worker
</pre>
|-
|}

== DNS Database ==

=== Wie kann ich auf einer FortiGate einen Split-DNS Server einrichten? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 

Ein Split-DNS Server ist ein DNS-Server der auf Anfrage einer bestimmten Source/Environement (internal und/oder external) die entsprechende Antwort liefert. Nehmen wir an wir hätten einen DMZ WebServer mit der IP Adresse 192.168.1.1 (FQDN www.mydomain.ch). Dieser FQDN ist auf dem external DNS Server (authoritativ) registriert.
Wenn kein Split-DNS-Server konfiguriert ist und ein User im "internal LAN" diesen Server, im Browser versucht zu öffenen (www.mydomain.ch), so wird diese Anfrage an den DNS Server gesendet (konfigurierter Public-DNS-Server der FortiGate). Dieser Request wird vom DNS Server (sofern für www.mydomain.ch nicht authoritativ) an den Root-Server gesendet. Dies geschieht nur sofern die Anfrage nicht bereits schon im Cache des DNS-Servers vorhanden ist, welcher den autoritativen DNS-Server für www.mydomain.ch anfragen. Die Antwort, welche zurückgegeben wird ist die "public IP" (Virtual IP).
Nun kann es zu Problemen kommen wenn der User sich im internen LAN befindet und vom DNS die Public IP (Virtual IP) erhält um www.mydomin.ch aufzurufen.
Auch die DNS-Auflösung benötigt Zeit und verlangsamt den Zugriff zusätzlich.
Um nun die zwei Welten (intern & extern) abzubilden kann ein Split-DNS-Server konfiguriert werden. Mit einer FortiGate kann dies mittels «DNS Database» umgesetzt werden.
Standardmässig ist dieses Feature auf der FortiGate NICHT ERSICHTLICH und muss erst unter folgendem Abschnitt konfiguriert werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu :''System -> Feature Visibility'' muss das Feature DNS Database eingeschaltet werden:
[[File:Fortinet-2619.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system settings
# set gui-dns-database enable
# end
</pre>
|-
|}

Sobald die Funktion aktiviert ist, erscheint unter "Network" -> "DNS Servers" der entsprechende Punkt. In unserem Beispiel sind wir davon ausgegangen, dass unser DMZ Server folgende Infos betreffend DNS hat:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfigurations Parameter:'''
|-
|
{|
| style="width:150px"|
'''192.168.1.1'''
| IP Adresse des WebServers im DMZ
|-
| style="width:150px"|
'''www.mydomain.ch'''
| FQDN konfiguriert und registriert auf dem Authoritativen DNS Server im Internet
|-
| style="width:150px"|
'''212.59.153.115'''
| Public IP "A" Record konfiguriert auf dem Authoritativen DNS Server im Internet
|-
|}
|-
|}

Nehmen wir an im internen LAN würde es ebenfalls die Domaine "mydomain.ch" geben. Ziel wäre es, dass wenn die User im "internen LAN" www.mydomain.ch im Browser eingeben der DNS Server anstelle der Public IP 212.59.153.115 die interne Adresse des WebServers im DMZ (192.168.1.1) zurückgibt, da die Anfrage vom "INTERNEN" LAN kommt und nicht von extern. Um so eine Konfiguration durchzuführen muss folgendes angepasst werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
| Über das Menu Network -> DNS-Servers bei "DNS Database" auf "Create New" eine neue DNS-Zone für MyDomain.ch erfassen: 
[[File:Fortinet-2620.jpg|link=]]
|-
|
Der zu konfigurierende '''DNS Server''' muss als MASTER Server konfiguriert werden, jedoch NICHT als Authoritativ! 
[[File:Fortinet-2621.jpg|link=]]
|-
|
Der DNS Server ist konfiguriert - nun muss für die entsprechende Zone ein "A" Record für www.mydomain.ch erfasst werden! 
[[File:Fortinet-2622.jpg|link=]]
|-
|
[[File:Fortinet-2623.jpg|link=]]

Es ist zu empfehlen für den Host ebenfalls einen "PTR-Record" zu erstellen!
|-
|
[[File:Fortinet-2624.jpg|link=]]

Um die Einträge für einen DNS Server auf einer FortiGate aufzulisten resp. die DNS Database zu "dumpen" kann folgender Befehl verwendet werden:

<code># diagnose test application dnsproxy 8</code>

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dns-database
# edit MYDOMAIN.CH
# set domain mydomain.ch
# set type master
# set view shadow
# set ttl 86400
# set primary-name dns
# set contact hostmaster@mydomain.ch
# set authoritative disable
# config dns-entry
# edit 1
# set hostname www.mydomain.ch
# set type A
# set ip 192.168.1.1
# set status enable
# end
# end
</pre>
|}

Diese Art der Konfiguration ist ein Hybrid d. h. KEIN echter Split-DNS Server, da der Authoritative DNS Server im Internet steht und nicht auf der FortiGate konfiguriert ist. Um jedoch zu gewährleisten, dass unser neu konfigurierte DNS Server NICHT authoritativ ist und das NICHT gefundene DNS Einträge extern abgefragt werden, muss die View auf '''shadow''' gesetzt werden!

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration DNS Dienst - Externes Interface'''
|-
|
Um die Konfiguration abzuschliessen muss der externe Port (WAN) auf "Recursive" gesetzt werden, das heisst, dass der externe Port "Recursive" Anfragen absetzt: 
[[File:Fortinet-2625.jpg|link=]]

[[File:Fortinet-2626.jpg|link=]]
 
Es kann noch ein DNS-Filter Profil direkt angehängt werden.
|- style="background:#89E871"
|'''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dns-server
# edit wan1
# set mode recursive
# set dnsfilter-profile "[Profile_Name]" -> "default"
# end
</pre>
|-
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration DNS Dienst - Internes Interface'''
|-
|
Damit auf dem "internen" Interface der DNS Server - den wir erstellt haben - erreichbar ist, muss folgende Konfiguration durchgeführt werden:: 
[[File:Fortinet-2627.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dns-server
# edit internal
# set mode recursive
# end
</pre>
|-
|}

Nun fehlt nur noch der letzte Schritt -> User über DHCP der entsprechende DNS Server zugeweisen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration DHCP Server internal Interface:'''
|-
|
# Über das Menu ''Network -> Interfaces'' das interne Interface wählen. (in unserem Fall ''internal'')
# Rechtsklick und das ''internal'' Interface editieren
# Bei der Option ''DHCP Server'' den DNS Server auf ''same as Interface IP'' setzen.
# same as Interface IP bedeutet, dass die IP Adresse des internal Interfaces propagiert wird (192.168.1.99)
# mit OK wird die Konfiguration aktiv.

[[File:Fortinet-2628.jpg|link=]]

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dhcp server
# edit 1
# set dns-service local
# set default-gateway 192.168.1.99
# set netmask 255.255.255.0
# set interface "internal"
# config ip-range
# edit 1
# set start-ip 192.168.1.110
# set end-ip 192.168.1.210
# next
# end
# set timezone-option default
# next
# end
</pre>
|-
|}

Die Konfiguration ist abgeschlossen. Wenn nun ein User im "Internal" LAN ein DNS Request absetzt (DNS Server dem User zugewiesen über DHCP 192.168.1.99) schaut die FortiGate im internen DNS Server nach und, sofern ein Eintrag gefunden wird diesen ausgeliefert. Ist kein entsprechender Eintrag vorhanden wird die Anfrage über das "WAN" Interface an die externen DNS Server weitergeleitet (definierte System DNS Server).

=== Wie kann ich auf der Fortigate für den DNS Server und eine bestimmten Zone ein "Zonen Transfer" aktivieren? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 

Wenn auf einer FortiGate ein DNS Server konfiguriert wird, ob mit oder ohne Split-DNS Server, stellt sich die Frage ob die entsprechende Zone, zum Beispiel "mydomain.ch", automatisch ein Update erhält, wenn der "authoritative" DNS Server für "mydomain.ch" ein Update für einen Eintrag durchführt.

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dns-database
# edit [Name des entsprechenden Zonen Eintrages zB. "mydomain.ch"]
# set allow-transfer [Gebe die IPv4 Adresse des "authoritativen" Servers an für "mydomain.ch"]
# end
</pre>
|-
|}

Wie auf einer FortiGate ein DNS Server eingerichtet wird kann dem folgenden Artikel entnommen werden:
[[FortiGate:FAQ#Wie_kann_ich_auf_einer_FortiGate_einen_Split-DNS_Server_einrichten.3F]]
Des Weiteren ist bei der Komunikation zwischen "authoritativen" und/oder "none-authoritativen" Servern darauf zu achten, mit welcher IP die Komunikation durchgeführt wird. Dies bedeutet, dass im Normalfall der "non-authoritative" Server (in unserem Beispiel die FortiGate) ebenfalls im "authoritativen" Server eingetragen wird. Kommuniziert die FortiGate nicht die gewünschte "Source IP Adresse" zum authoritativen Server, kann diese mit folgender Konfiguration entsprechend manuell gesetzt werden:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dns-database
# edit [Name des entsprechenden Zonen Eintrages zB. "mydomain.ch"]
# set source-ip [IPv4 Adresse die als Source konfiguriert werden soll]
# end
</pre>
|-
|}

=== Kann ich auf einer FortiGate eine bestimmte DNS Anfrage umschreiben / verändern? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 

Wenn in einer bestimmten Umgebung eine DNS Anfrage anderst beantwortet werden soll als in einer anderen Umgebung, so spricht man von einem Split DNS Server. Dies bedeutet, dass dieser Anfragen von bestimmten Source Adressen anders beantwortet als von anderen Source Adressen. Dies wird dann genutzt wenn "interne" Informationen und "externe" kollidieren.

''Beispiel:'' 
Wenn ein User als Mail Server "mail.mydomain.ch" konfiguriert hat, so wird dieser Mail Server ausserhalb des "Office" als "Public IP" aufgelöst, z.B. "212.59.153.125". Benutzt der User den Mail Server im "Office", und im Office existiert "kein" interner DNS Server, so wird "mail.mydomain.ch" abermals als "Public IP" aufgelöst. Der Nachteil ist, obwohl sich der User und Mail Server im gleichen Segment befinden, wird der Traffic von "mail.mydomain.ch" zur Firewall gesendet, da dieser mit der Public IP aufgelöst wird. Der Grund ist Routing bedingt, d. h. "212.59.153.125" befindet sich nicht im internen Netz, also wird der Traffic über den default Gateway des Users zur Firewall gesendet. Die richtige Lösung für dieses Problem ist ein "Split DNS" Server. Dies bedeutet, dass wenn ein interner DNS Server vorhanden ist ein "Forwarder" für "mydomain.ch" konfiguriert wird und für "mail.mydomain.ch" die IP Adresse zBsp "192.168.1.100" konfiguriert, welche die interne Adresse von "mail.mydomian.ch" darstellt. Ist kein interner DNS Server vorhanden kann die "Split DNS" Server Funktion auf einer FortiGate benutzt werden. Weitere Informationen können nachstehendem Artikel entnommen werden:

[[FortiGate:FAQ#Wie_kann_ich_auf_einer_FortiGate_einen_Split-DNS_Server_einrichten.3F]]

Kann / möchte man aus irgendwelchen Gründen KEIN "Split DNS" Server konfigurieren, so kann die Funktion "dnstranslation" angewendet werden. Diese Funktion steht im Zusammenhang mit dem "Session-Helper". Um eine "dnstranslation" zu implementieren gehe folgendermassen vor:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Beispiel:'''
|-
|
* '''Mail Server FQDN:''' ''mail.mydomain.ch''
* '''Mail Server Public IP:''' ''212.59.153.125''
* '''Mail Server Internal IP:''' ''192.168.1.100''
|-
|- style="background:#89E871"
| '''Schritt 1:'''
|-
|
Kontrolliere als Erstes ob für DNS (UDP) ein DNS Session-Helper existiert:
<pre>
# show system session-helper
................
edit 13
set name dns-udp
set port 53
set protocol 17
................
</pre>
Ist der Session-Helper für DNS (UDP) nicht vorhanden, so konfiguriere diesen wie folgt:
<pre>
# config system session-helper
# edit [Wähle einen Integer zB 20]
# set name dns-udp
# set port 53
# set protocol 17
# end
</pre>
'''NOTE''' Weitere Informationen über die Option "protocol" können folgendem Artikel entnommen werden:
[[Allgemein:Assigned-Internet-Protocol-Numbers-RFC]]
|- style="background:#89E871"
| '''Schritt 2:'''
|-
|
Als nächstes konfigurieren wir die "dnstranslation" gemäss unserem Beispiel:
<pre>
# config firewall dnstranslation
# edit [Gebe einen Integer an zB "1"]
# set dst [IPv4 Internal Adresse von mail.mydomain.ch "192.168.1.100"]
# set netmask [Netmask für mail.mydomain.ch "255.255.255.255"]
# set src [IPv4 Public Adresse von mail.mydomain.ch "212.59.153.125"]
# end
</pre>
|- style="background:#89E871"
| '''Erklärung:'''
|-
|
Die Anfrage an den Public DNS Server, wie auch dessen Antwort werden wie folgt auf der FortiGate abgearbeitet:

[[File:Fortinet-2632.jpg|link=]]

[[File:Fortinet-2633.jpg|link=]]

'''NOTE''' wie hier in diesem Beispiel gezeigt, kann die Funktion anhand "nslookup" getestet, und somit verifiziert werden ob die "dnstranslation" korrekt funktioniert!
|}
In diesem Sinne kann jede DNS Anfrage, welche über die FortiGate geht umgeschrieben werden. Natürlich ist diese Funktion nicht "nur" auf Public DNS Server beschränkt, sondern nur auf Port 53 DNS (UDP). Dies bedeutet, dass diese Funktion "dnstranslation" ebenfalls für temporäre Umleitungen im internen Bereich benutzt werden kann. Diese Funktion kann, oder sollte jedoch kein Split DNS Server ersetzen da die verschiedenen Einträge auf der FortiGate nicht ersichtlich sind.

== DDNS ==
=== Wie kann ich DDNS debuggen?===
{| class="wikitable" style="width:100%"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose debug application ddnscd -1
# diagnose debug enable
</pre>
Um das Debug zu beenden:
<pre>
# diagnose debug disable
# diagnose debug reset
</pre>

Beispiel:
<pre>
1592256317: Start to update FortiGuardDDNS (sekinfw.float-zone.com)
1592256317: next wait timeout 10 seconds
[111] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory.cer, root ca Fortinet_CA, idx 0 (default)
[111] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory_Backup.cer, root ca Fortinet_CA_Backup, idx 1
[721] ssl_ctx_create_new_ex: SSL CTX is created
[748] ssl_new: SSL object is created
fgt_ddns_connect()-725: SSL connecting
[621] __ssl_info_callback: before SSL initialization
[621] __ssl_info_callback: SSLv3/TLS write client hello
__ddns_ssl_connect()-651: ssl_res=1
[621] __ssl_info_callback: SSLv3/TLS write client hello
[621] __ssl_info_callback: SSLv3/TLS read server hello
[621] __ssl_info_callback: SSLv3/TLS read server certificate
[645] __ssl_info_callback: Current cert idx 0, SSL verion 'TLS 1.2'
[656] __ssl_info_callback: Got server cert chain, num 2
[664] __ssl_info_callback: Server root issuer /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=support/emailAddress=support@fortinet.com
[667] __ssl_info_callback: Client root issuer /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=fortinet-ca2/emailAddress=support@fortinet.com
[596] __ssl_switch_cert: Update with next cert, idx 1
[621] __ssl_info_callback: SSLv3/TLS read server key exchange
[621] __ssl_info_callback: SSLv3/TLS read server certificate request
[621] __ssl_info_callback: SSLv3/TLS read server done
[621] __ssl_info_callback: SSLv3/TLS write client certificate
[621] __ssl_info_callback: SSLv3/TLS write client key exchange
[621] __ssl_info_callback: SSLv3/TLS write certificate verify
[621] __ssl_info_callback: SSLv3/TLS write change cipher spec
[621] __ssl_info_callback: SSLv3/TLS write finished
__ddns_ssl_connect()-651: ssl_res=1
[621] __ssl_info_callback: SSLv3/TLS write finished
[621] __ssl_info_callback: SSLv3/TLS read server session ticket
[621] __ssl_info_callback: SSLv3/TLS read change cipher spec
[621] __ssl_info_callback: SSLv3/TLS read finished
__ddns_ssl_connect()-651: ssl_res=0
fgd_ddns_fcp_exchange()-860: Sending FCPC=Protocol=3.4|SerialNumber=FGT61FTK19000538|Firmware=FGT61F-FW-6.02-1066|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=Automatic
fgt_unpack_fcpr()-567: Unpacked obj: Protocol=3.4|SerialNumber=DDNS-R710-VM-01|ResponseStatus=1|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=198.18.254.15
fgd_ddns_fcp_exchange()-891: Recvd FCPR=Protocol=3.4|SerialNumber=DDNS-R710-VM-01|ResponseStatus=1|Command=DDNSUpdate|DomainName=sekinfw.float-zone.com|Address=198.18.254.15
[201] __ssl_data_ctx_free: Done
[1012] ssl_free: Done
[193] __ssl_cert_ctx_free: Done
[1022] ssl_ctx_free: Done
[1003] ssl_disconnect: Shutdown
fgd_ddns_extract_fcpr_rcode()-416: code=1
fgd_ddns_extract_fcpr_bound_ip()-446: Bound ip=198.18.254.15
1592256318: Succeed to update FortiGuardDDNS (sekinfw.float-zone.com ==> 198.18.254.15)
</pre>

|}

== DHCP ==
=== Wie kann ich eine Vendor DHCP Option auf einem WAN Interface konfigurieren? ===
[[File:fortiOS64.png|25px|link=]] ]]

Wenn ich die FortiGate an eine VDSL Leitung von der Swisscom anschliesse, bekommt die FortiGate die IP Adressen automatisch per DHCP auf das WAN Interface zugewiesen. Damit dies korrekt funktioniert ist es notwendig, dass man die DHCP Client Option Vendor ID der Swisscom auf dem WAN Interface konfiguriert.
Seit FortiOS 6.4.0 ist dies möglich:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system interface
# edit "[INTERFACE]" --> Interface Name
# set mode dhcp
# config client-options
# edit 1
# set code [integer] --> DHCP Client Optionen 0-255 default Wert ist 0
# set type [hex | string | ip | fqdn] --> DHCP Client Option Typ default Wert ist hex
# set value [Wert für DHCP Client Option] --> Wert für DHCP Client Option
# end
# end
</pre>
Für das Swisscom VDSL Setup mit DHCP Client Option '''60''' (Vendor ID) muss der String '''"100008,0001,fortigate"''' konfiguriert werden:
<pre>
# config system interface
# edit "wan1"
# set mode dhcp
# config client-options
# edit 1
# set code 60
# set type string
# set value "100008,0001,fortigate"
# end
# end
</pre>
|}

''Vielen Dank an Daniel von IQantum GmbH''

== ARP ==
=== Wie kann ich im FortiOS einer FortiGate "ARP"-Einträge auflisten, hinzufügen oder löschen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Um eine Liste der ARP-Einträge auf der FortiGate zu erhalten nutzt man den <code>get system arp</code> Befehl auf der CLI:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# get system arp
Address Age(min) Hardware Addr Interface
10.60.60.10 0 48:8d:36:61:84:28 internal
10.60.60.100 0 1c:1b:0d:6a:27:80 internal
10.60.60.11 0 00:19:fd:4c:97:9b internal
10.60.100.10 0 70:4c:a5:89:01:48 dmz
10.60.60.101 0 1c:1b:0d:68:ff:94 internal
10.60.61.100 1 38:ca:da:b5:a1:db luz0002-prod
10.60.61.103 0 64:5d:86:fd:97:79 luz0002-prod
192.168.50.2 0 7c:b7:33:3b:a1:18 wan1
</pre>
|-
|}

Die Position "Age(min)" im hier gezeigtem "output" zeigt die Zeit in Minuten welche verstrichen ist seit kein Traffic mehr für den entsprechenden "ARP" Eintrag stattgefunden hat. Wenn für einen entsprechenden "ARP" Eintrag kein Traffic stattgefunden hat während einer vordefinierte Zeit, so wir dieser "ARP" Eintrag auf "age out" gesetzt.

Eine weitere Möglichkeit "ARP" Einträge mit entsprechenden Details aufzulisten ist folgender Befehl: <code>diagnose ip arp list</code>
{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose ip arp list
index=22 ifname=internal 10.60.60.10 48:8d:36:61:84:28 state=00000002 use=27 confirm=740 update=740 ref=3
index=22 ifname=internal 10.60.60.100 1c:1b:0d:6a:27:80 state=00000002 use=373 confirm=2004 update=2004 ref=8
index=22 ifname=internal 10.60.60.11 00:19:fd:4c:97:9b state=00000008 use=1 confirm=2847 update=204 ref=4
index=7 ifname=dmz 10.60.100.10 70:4c:a5:89:01:48 state=00000002 use=2 confirm=671 update=671 ref=2
index=22 ifname=internal 10.60.60.101 1c:1b:0d:68:ff:94 state=00000002 use=457 confirm=87 update=87 ref=7
index=20 ifname=luz0002-prod 10.60.61.100 38:ca:da:b5:a1:db state=00000004 use=39878 confirm=39878 update=618 ref=1
index=20 ifname=luz0002-prod 10.60.61.103 64:5d:86:fd:97:79 state=00000002 use=2 confirm=2607 update=2607 ref=2
index=5 ifname=wan1 192.168.50.2 7c:b7:33:3b:a1:18 state=00000002 use=4 confirm=119 update=1416 ref=48
</pre>
|-
|}

Wenn sehr viele "ARP" Einträge auf verschiedenen Interface's exisiteren, und man einen spezifischen Eintrag sucht sollte im Zusammenhang mit dem "diagnose" Kommando "grep" benutzt werden:
{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose ip arp list | grep 10.60.60.100
index=22 ifname=internal 10.60.60.100 1c:1b:0d:6a:27:80 state=00000004 use=2968 confirm=6101 update=594 ref=9
</pre>
|-
|}

Weitere Informationen dazu wie "grep" benutzt wird siehe nachfolgenden Artikel:
[[FortiGate:FAQ#Kann_ich_in_der_CLI_meinen_Output_nach_bestimmten_W.C3.B6rter_filtern.3F]]

Anhand dieses Kommando "diagnose" lässt sich ein "ARP" Eintrag "temporär" hinzufügen oder löschen. Das hinzufügen eines "ARP" Eintrages anhand des "diagnose" Kommandos ist nicht "persistent". Dies bedeutet wenn ein Neustart der FortiGate ausgeführt wird geht diese Konfiguration verloren:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Füge einen "ARP" Eintrag "temporär" hinzu'''
<pre>
# diagnose ip arp add [Interface Name zBsp "internal"] [IPv4 Adresse für den ARP Eintrag] [MAC Adresse für den ARP Eintrag XX:XX:XX:XX:XX:XX]
</pre>

'''Lösche einen "ARP" Eintrag'''
<pre>
# diagnose ip arp delete [Interface Name zB "internal"] [IPv4 Adresse für den ARP Eintrag]
</pre>
|-
|}

Möchte man einen permanenten "ARP" Eintrag konfigurieren, welcher auch nach einem Neustart der FortiGate aktiv bleibt, muss diese Konfiguration anhand der "arp-table" durchgeführt werden. Dies wird wie folgt konfiguriert:
{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system arp-table
# edit [Gebe einen entsprechenden Integer an zBsp "1"]
# set interface [Name des Interfaces zBsp "wan1"]
# set ip [IPv4 Adresse für den ARP Eintrag]
# set mac [MAC Adresse für den ARP Eintrag zBsp für "wan1"]
# end
</pre>
|-
|}

Um die entsprechende MAC Adresse eines Interfaces zu eruieren, können folgende Behehle ausgeführt werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# diagnose hardware deviceinfo nic
The following NICs are available:
dmz
internal1
internal2
internal3
internal4
internal5
internal6
internal7
wan1
wan2

# diagnose hardware deviceinfo nic wan1
Driver Name :Fortinet NP4Lite Driver
Version :1.0.0
Admin :up
Current_HWaddr 08:5b:0e:47:db:58
Permanent_HWaddr 08:5b:0e:47:db:58
Status :up
Speed :100
Duplex :Half
Host Rx Pkts :11371
Host Rx Bytes :835610
Host Tx Pkts :16174
Host Tx Bytes :2043274
Rx Pkts :11370
Rx Bytes :994717
Tx Pkts :16168
Tx Bytes :1883038
rx_buffer_len :2048
Hidden :No
cmd_in_list : 0
promiscuous : 1
enabled 802.1x : 0
authorized : 0
mac bypass : 0
</pre>
|-
|}
Wenn die "ARP" Informationen auf den neusten Stand gebracht werden sollen so muss ein "flush" ausgeführt werden. Dies bedeutet: Alle "dynamischen" ARP Einträge werden gelöscht und neu durch "who-as" gelernt. Somit wird gewährleistet, dass nicht mehr verbundene Devices aus der "ARP" Tabelle gelöscht werden. Um ein "flush" durchzuführen gebe auf der CLI folgendes ein:
{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# execute clear system arp table
</pre>
|-
|}

Wenn dies durchgeführt wird kann über das "sniffer" Kommando das "neu lernen" der "ARP" Einträge mitverfolgt werden:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose sniffer packet any arp
interfaces=[any]
filters=[arp]
0.682098 arp who-has 198.18.3.3 tell 198.18.3.1
0.682251 arp reply 198.18.3.3 is-at 8:5b:e:5d:f7:c
</pre>
|-
|}

=== Was ist der Unterschied zwischen den Funktionen "system arp-table" und "proxy-arp? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Wenn im FortiOS auf dem externen Interface, zBsp "wan1" ein public IP Range konfiguriert wird, sei es über statische und/oder dynamischer Konfiguration, und zu diesem konfigurierten public IP Range eine neuer public IP Range dazu konfiguriert werden soll, hat man verschiedenen Möglichkeiten dies vorzunehmen. Eine Möglichkeit ist, den neuen public IP Range auf dem externen Interface als "Secondary Interface" zu konfigurieren. Dadurch wird der neue public IP Range auf dem Secondary Interface zur MAC Adresse des Interface hinzugefügt auf dem die "Secondary Interface" Konfiguration durchgeführt wird. Eine andere Möglichkeit ist ein VIP Objekt zu erstellen. Durch die Erstellung eines VIP Objekts wird durch die Option "arp-reply enable" auf Layer 4 ein entsprechender ARP Eintrag anhand der MAC Adresse durchgeführt, das Interface das im VIP Objekt konfiguriert wird. Da dieser ARP Eintrag auf Layer 4 durch "arp-reply enable" konfiguriert wird, ist dieser ARP Eintrag auf Layer 3 anhand des Kommandos "get system arp" nicht ersichtlich. Wiederum eine andere Möglichkeit ist ein statischer ARP Eintrag mittels "system arp-table" zu erstellen. Alle diese Möglichkeiten haben das Ziel anhand der MAC Adressen den zusätzlichen public IP Range auf das entsprechende Interface zu binden. Wenn jedoch der neue public IP Range nicht auf dem externen Interface verwendet wird, sondern zBsp lediglich auf dem "dmz" Interface für eine Public IP Adressierung der Server, muss dem externen Interface mitgeteilt werden, dass dieses "dmz" Interface für diesen neuen IP Range zuständig ist. Dies da dieser public IP Range auf das externe Interface, zBsp "wan1" geroutet wird. Wird dies mit einem statischen ARP Eintrag in der "system arp-table" auf dem externen Interface durchgeführt, wird der Traffic nicht auf das "dmz" Interface weitergeleitet da das FortiOS davon ausgeht, dass sich der neue public IP Range auf dem externen Interface, zBsp "wan1" befindet. In so einem Fall wird ein "system proxy-arp" erstellt dh., es wird dem FortiOS durch einen "system proxy-arp" Konfiguration mitgeteilt, dass die Zuständigkeit einer oder mehrer public IP/s sich nicht mehr auf dem externe Interface befindet, wie zBsp "wan1" sondern auf dem "dmz" Interface. Dies bedeutet: Das FortiOS nimmt den/die neue/n public IP Range/s auf dem externen Interface an und leitet diesen an das Interface gemäss der Konfiguration "system proxy-arp" weiter. Diese Art der Implementierung wird auch "IP Adresse zu MAC Adress Translation" genannt! Um einen "system proxy-arp" zu konfigurieren muss über CLI folgendes durchgeführt werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config system proxy-arp
# set interface [Namen des Externes Interface zB "wan1"]
# set ip [Public IPv4 Adresse des Servers im DMZ]
# set end-ip [Public IPv4 End Adresse des Servers im DMZ]
# end
</pre>
|-
|}
Im FortiOS kann anhand der Option "end-ip" die End Adresse des Public IP Ranges definiert werden. Diese steht im Zusammenhang mit der Option "ip" dh., es wird nur die Iption "ip" benutzt und so gilt nur diese Konfiguration einer IPv4 Adresse. Wird "end-ip" definiert gilt die Option "ip" als Start Adresse des IPv4 Adress Definition.

== Routing ==
=== Wie funktioniert das Routing auf einer FortiGate?===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

Beim Routing entscheidet die FortiGate, welche im NAT-Modus betrieben wird, wohin die Pakete gesendet werden sollen, die empfangen oder durch die FortiGate selber erzeugt werden.

Alle Netzwerkgeräte, die ein Routing durchführen, besitzen eine Routingtabelle. Eine Routingtabelle enthält eine Reihe von Regeln. Jede Regel gibt den nächsten Hop an, der das endgültige Ziel des Pakets sein kann, oder auch an einen nächsten Hop geht. Jeder Routing-Hop im gerouteten Pfad erfordert eine Routingtabellensuche (Routing Lookup), um das Paket weiterzuleiten, bis dies das endgültige Ziel erreichen kann.

Beim Routing von Paketen findet die FortiGate zunächst eine passende Route in ihrer Routing-Liste, basierend auf der Zieladresse des Pakets. Bei dieser Übereinstimmung wertet die FortiGate die gesamte Routingtabelle aus, um die spezifischste Übereinstimmung zu finden, bevor eine Route ausgewählt wird. Wenn die FortiGate mehrere Übereinstimmungen findet, verwendet sie verschiedene Routenattribute, um die beste Route zu ermitteln.

Die richtige Routing-Konfiguration ist wichtig. Wenn Routen falsch konfiguriert sind, erreichen die Pakete ihr Ziel nicht und gehen verloren.

Standardmässig sind viele Aspekte auf FortiGate "stateful". So entscheidet die FortiGate viele Dinge zu Beginn einer Session, also dann, wenn sie das erste Paket erhält.

Für jede Session führt die FortiGate zwei Routing-Lookups durch:
* Für das erste vom Absender gesendete Paket
* Für das erste Antwortpaket, das vom Responder kommt

Nach diesen beiden Lookups schreibt die FortiGate die Routinginformationen in ihre Session-Tabelle. Alle folgenden Pakete werden gemäss Session-Tabelle, und nicht nach der Routingtabelle weitergeleitet.
So werden alle Pakete, welche zur gleichen Session gehören dem gleichen Pfad zugewiesen, auch nach einer Änderung der statischen Routen. Es gibt jedoch eine Ausnahme dieser Regel. Wenn es eine Änderung in der Routingtabelle gibt, entfernt die FortiGate die Routeninformationen für die Session Tabelle, und dann führt sie eine zusätzliche Routingtabellen des Lookups durch, um diese Informationen wiederherzustellen.

Eine Methode der manuell konfigurierten Routen ist die statische Route. Wenn man eine statische Route konfiguriert, wird der FortiGate mitgeteilt: "Wenn du ein Paket siehst, dessen Ziel innerhalb eines bestimmten Bereichs liegt, sende dies über ein bestimmtes Netzwerkinterface an einen bestimmten Router". Man kann auch die Distanz und die Priorität so konfigurieren, dass die FortiGate die beste Route zu jedem Ziel ermitteln kann, welche mehreren Routen entspricht.

In einfachen Heimnetzwerken ruft beispielsweise DHCP automatisch eine statische Route ab und konfiguriert diese selbstständig. Das Modem des ISPs sendet dann den gesamten ausgehenden Datenverkehr über dessen Internet-Router, welcher die Pakete an ihr Ziel weiterleitet. Dies wird typischerweise als Standard-Route bezeichnet, da der gesamte Traffic, der nicht mit anderen Routen übereinstimmt, standardmässig über diese Route geleitet wird. Hier ein Beispiel einer Standardroute:

[[File:Fortinet-2572.jpg|link=]]

Das Ziel-Subnetzwert von 0.0.0.0.0.0/0.0.0.0.0 passt zu allen Adressen innerhalb eines Subnetzes. Da die meisten FortiGates als Perimeter-Gerät des Netzwerkes fungieren, verfügen über mindestens eine dieser Standardrouten. Damit wird sichergestellt, dass der Internettraffic an den ISP weitergeleitet wird.

Subnetze welche auf der FortiGate über eine direkt Layer 2 Konnektivität verfügen benötigen keine statische Route.

Jede Route in einer Routingtabelle hat folgende Attribute:

* Network
* Gateway IP
* Interfaces
* Distance
* Metric
* Priority

[[File:Fortinet-2573.jpg|link=]]

'''Distanz:''' 
Die Distanz, resp. die administrative Distanz ist eine Zahl, die von Routern verwendet wird, um zu bestimmen, welche Route für ein bestimmtes Ziel bevorzugt wird. Wenn es zwei Routen zum gleichen Ziel gibt, wird jene mit der geringeren Distanz als besser angesehen und für die Routenführung verwendet. Die Routen mit grösseren Entfernungen sind inaktiv und werden nicht in die Routingtabelle aufgenommen.

[[File:Fortinet-2574.jpg|link=]]

Standardmässig haben Routen, die über das RIP-Protokoll gelernt wurden, einen höheren Distanzwert als Routen, die über das OSPF-Protokoll gelernt wurden. Dabei gilt das OSPF-Protokoll als genauer als das RIP.

Die folgenden Werte sind die Distanzen auf einer FortiGate: 
'''0''' - direkt angeschlossen 
'''5''' - DHCP-Gateway 
'''20''' - externe BGP (EBGP) Routen 
'''200''' - interne BGP (IBGP) Routen 
'''110''' - OSPF-Routen 
'''120''' - RIP-Routen 
'''10''' - statische Routen 

'''Metric:''' 
Das Metric Attribut wird verwendet, um die beste Route zu einem Ziel zu bestimmen, wenn es um Routen geht, welche durch ein dynamisches Routing-Protokoll gelernt wurden. Wenn zwei Routen den gleichen Abstand haben, wird der metrische Wert verwendet um das Band zu brechen. Für das Routing wird die Route mit der niedrigsten Metric gewählt.

Wie der Metric-Wert gemessen wird, hängt vom Routing-Protokoll ab. Zum Beispiel verwendet RIP die Hop Count, d.h. die Anzahl der Router, die das Paket durchlaufen muss, um das Ziel zu erreichen. OSPF verwendet Kosten, die sich danach richten, wie viel Bandbreite eine Verbindung zu Verfügung hat.

[[File:Fortinet-2575.jpg|link=]]

'''Priorität:''' 
Wenn mehrere statische Routen den gleichen Distanzwert haben, sind beide in der Routingtabelle aktiv. Welche Route wird also verwendet, um passende Pakete zu routen? In diesem Szenario verwendet die FortiGate den Prioritätswert als Tiebreaker, um die beste Route zu ermitteln. Routen mit geringerer Priorität werden stets bevorzugt.

Das Prioritätsattribut gilt nur für statische Routen und wird unter den erweiterten Optionen auf der Benutzeroberfläche konfiguriert. Standardmässig haben alle statischen Routen eine Priorität von 0.

[[File:Fortinet-2576.jpg|link=]]

=== Was bedeutet der Begriff "ECMP" beim Routing? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Im Normallfall wird die Beste Route anhand von Routenattributen ermittelt, welche durch das Routing zu Verfügung gestellt werden. (Metric, Distanz, Priorität ..) Was passiert also, wenn zwei oder mehrere Routen zur gleichen Destination die gleichen Werte für alle Attribute besitzen? Wenn mehrere Routen zum gleichen Ziel die gleiche Distanz, Metric und Priorität haben, gelten sie alle als der beste Kandidat. Wenn die Routen statisch, OSPF oder BGP sind, gleicht die FortiGate die Last des Traffics über alle Routen aus. Dies wird als '''E'''qual '''C'''ost '''M'''ulti-'''P'''ath ('''ECMP''') bezeichnet.

ECMP kann den Ausgleichstraffic mit einer dieser vier Methoden behandeln:

* Source IP (default)
* Source-Destination IP
* Weighted
* Usage (spillover)

{| class="wikitable" style="width:750px"
|- style="background:#89E871"
|
'''Source IP Based:'''
|-
|
Session können je nach Source IP Adresse, Source und Destination IP Adressen Routen oder Gewichtung des Interfaces, oder Interface Sitzungen können je nach Quell-IP-Adresse, Quell- und Ziel-IP-Adresse, Routen- oder Interfacegewicht oder Interfacevolumenschwellwert auf gleiche Routen verteilt werden.
|- style="background:#89E871"
|
'''Source-Destination IP Based:'''
|-
|
Die Source-Destination-IP-Methode funktioniert ähnlich, berücksichtigt aber auch die Destination IP. Es wird also erwartet, dass die Session von einer bestimmten Source zu einer bestimmten Destination den gleichen Pfad verwenden.
|- style="background:#89E871"
|
'''Weight Based: (Gewichtung)'''
|-
|
Wenn die ECMP Methode auf weighted konfiguriert ist, verteilt die FortiGate die Sessions mit verschiedenen Destination IPs, indem sie einen Zufallswert erzeugt um die zu wählende Route zu bestimmen. Die Wahrscheinlichkeit eine Route über eine andere auszuwählen basiert auf dem Weight Wert jeder Route oder Interface. Es ist wahrscheinlicher, dass höhere Weights gewählt werden.
|- style="background:#89E871"
|
'''Spillover (Usage Based)'''
|-
|
Es gibt eine zusätzliche Methode namens usage-based (oder spillover). Beim nutzungsabhängigen Lastausgleich verwendet die FortiGate eine primäre Route, bis ein Schwellenwert des Verkehrsaufkommens erreicht ist; danach verwendet es die nächste verfügbare Route.
|-
|}

{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Wenn eine der ECMP-Routen ausfällt, und aus der Routingtabelle entfernt wird, wird der Traffic über die restlichen Routen geleitet. 
Es ist keine spezielle Konfiguration für die Ausfallsicherung der Route erforderlich.
|-
|}

Die FortiGate verwendet source-ip-based als Standard-ECMP-Methode. In der CLI kann die gewünschte Methode konfiguriert werden:

{| class="wikitable" style="width:750px"
|- style="background:#89E871"
|
'''Source IP Based:'''
|-
|
<pre>
# config system settings
# set v4-ecmp-mode source-ip-based
# end
</pre>
|- style="background:#89E871"
|
'''Source-Destination IP Based:'''
|-
|
<pre>
# config system settings
# set v4-ecmp-mode source-dest-ip-based
# end
</pre>
|- style="background:#89E871"
|
'''Weight Based: (Gewichtung)'''
|-
|
<pre>
# config system settings
# set v4-ecmp-mode weight-based
# end
</pre>
Auf den Interfaces muss die Gewichtung konfiguriert werden:
<pre>
# config system interface
# edit [INTERFACE_NAME]
# set weight [Wert definieren zwischen 0 und 255]
# end
</pre>
Gewichtung muss pro Route definiert werden:
<pre>
# config router static
# edit [ROUTEN-ID]
# set weight [Wert definieren zwischen 0 und 255]
# end
</pre>
|- style="background:#89E871"
|
'''Spillover (Usage Based)'''
|-
|
<pre>
# config system settings
# set v4-ecmp-mode usage-based
# end
</pre>
Für Spillover-ECMP müssen die Spillover-Schwellenwerte per Interface konfiguriert werden:
<pre>
# config system interface
# edit [INTERFACE_NAME]
# set spillover-threshold [Wert zwischen 0 und 16776000 definieren]
</pre>
|-
|}

'''BEISPIEL:''' 
In diesem Szenario hat die FortiGate zwei gleichwertige Kandidatenrouten für das Subnetz 192.168.4.0/24 mit Port1 bzw. Port2. Unter Verwendung der standardmässig Sourcebasierten ECMP-Methode kann die FortiGate einen der beiden Wege nutzen, um Datentraffic für das Subnetz 192.168.4.0/24 von Benutzer A und Benutzer B zu liefern. Wenn Port1 die Verbindung verliert, verwendet die FortiGate automatisch Port2, um den gesamten Datentraffic für das Subnetz 192.168.4.0/24 zu liefern.

ECMP ermöglicht es uns, mehrere Links für dasselbe Ziel zu verwalten und ein integriertes Failover bereitzustellen. Dies kann für alle Netzwerkressourcen bereitgestellt werden welche eine hohe Bandbreitenanforderungen haben und unternehmenskritisch sind. Die Verwendung von ECMP für diese Ressourcen ermöglicht es uns, die verfügbare Bandbreite mehrerer Links zu aggregieren und den Lastausgleichstraffic über diese Links zu verteilen.

Wenn wir ECMP verwenden, müssen wir über die richtigen Firewallregeln verfügen, damit der Datentraffic alle am ECMP beteiligten Interfaces verlassen kann.
Während wir ECMP verwenden können, um mehrere Internet-(WAN)-Verbindungen auf der FortiGate zu verwalten, kann es effizienter sein, die softwaredefinierte WAN-Funktion (SD-WAN) zu verwenden, um dies zu erreichen. Wir können ECMP weiterhin für interne Ressourcen verwenden.

[[Datei:Fortinet-2577.jpg]]

<pre>
# get router info routing-table all

S 192.168.4.0/24 [10/0] via 192.168.1.254, port1, [5/0]
192.168.4.0/24 [10/0] via 192.168.2.254, port1, [5/0]
C 192.168.1.0/24 is directly connected, port1
C 192.168.2.0/24 is directly connected, port2
C 192.168.3.0/24 is directly connected, port3
</pre>

=== Wie funktioniert das "Reverse Path Forwarding" auf der FortiGate (Antispoofing)? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Pakete werden manchmal aus Routing- oder/und Sicherheitsgründen gelöscht. Reverse Path Forwarding (RPF) ist ein Mechanismus der FortiGate welcher das Netzwerk vor IP-Spoofing-Angriffen schützt. Dabei wird überprüft, ob es eine Route zurück zur Destination des Paketes gibt. Diese Prüfung wird auf dem ersten Paket einer neuen Session durchgeführt. Ebenso wird diese Prüfung nach einer Routenänderung auf dem nächsten Paket in der ursprünglichen Richtung ausgeführt.

Es gibt zwei RPF-Methoden:

* Loose
* Strict

'''Veranschauungsbeispiel:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Beschreibung'''
|-
|
In diesem Szenario wird der eingehende Internetverkehr, welcher bei wan1 ankommt akzeptiert, da die Standardroute eine gültige Route zurück zur Source ist.

Es gibt jedoch zwei Interfaces welche eingehenden Datentraffic nicht weiterleiten: port1 und wan2. Port1 wird den Datentraffic nicht weiterleiten, da das Subnetz für Benutzer C 192.168.4.0/24 ist. Es gibt keine aktive Route für dieses Subnetz via Port1. So wird der Datentraffic von 192.168.4.0.0/24 zu Port1 eingestellt, weil dieser bei der RPF-Prüfung fehlgeschlagen ist.

Das andere Interface, welches den Datentraffic nicht weiterleitet, ist wan2. Während wan2 physisch mit dem Internet verbunden ist, sind die einzigen IP-Adressen, welche als Sourcen oder Destinationen für wan2 gelten jene im Subnetz 198.18.2.0/24. So wird der eingehende Datentraffic einer anderen Source nicht durch die RPF-Prüfung geleitet und umgehend gelöscht.

<pre>
# get router info routing-table all

S* 0.0.0.0/0 [10/0] via 198.18.1.254, wan1
C 198.18.1.0/24 is directly connected, wan1
C 198.18.2.0/24 is directly connected, wan2
C 192.168.3.0/24 is directly connected, port1
</pre>
|- style="background:#89E871"
|'''Diagramm'''
|-
|
[[file:Fortinet-2578.jpg|link=]]
|}
'''So fixen wir das Problem:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Beschreibung'''
|-
|
Das erste Problem wird behoben indem eine statische Route zu 10.0.4.0.0/24 über Port1 hinzugefügt wird. Wenn die FortiGate nun die RPF-Prüfung für die Pakete von Benutzer C ausführt, findet diese eine aktive Route zu diesem Subnetz über Port1 und das Paket wird akzeptiert.

Das zweite Problem wird ebenfalls gelöst indem eine statische Route hinzugefügt wird. In diesem Fall ist es eine Standardroute für wan2. Diese zweite Standardroute muss die gleiche Distanz aufweisen wie jende für wan1. Damit wird sichergestellt, dass beide Routen in der Routingtabelle aktiv sind. Beide können unterschiedliche Prioritäten haben, aber sie müssen die gleiche A haben, um aktiv zu sein.

In diesem Beispiel wurden zwei Routen mit gleicher Distanz, aber unterschiedlicher Priorität konfiguriert. Eine Route ist also die bessere (jene mit der niedrigsten Priorität), aber beide sind aktiv. Die beste Route wird für den ausgehenden Traffic verwendet, aber beide können eingehende Traffic empfangen, ohne die RPF-Prüfung zu durchlaufen.

<pre>
# get router info routing-table all

S* 0.0.0.0/0 [10/0] via 198.18.1.254, wan1
[10/0] via 198.18.2.254, wan2, [5/0]
S 192.168.4.0/24 [10/0] via 10.0.3.254, port1
C 198.18.1.0/24 is directly connected, wan1
C 198.18.2.0/24 is directly connected, wan2
C 192.168.3.0/24 is directly connected, port1
</pre>
|- style="background:#89E871"
|'''Diagramm'''
|-
|
[[file:Fortinet-2579.jpg|link=]]
|}

Das RPF kann entweder stricte oder loose durchgesetzt werden.

Im loose Modus wird das Paket akzeptiert solange ein aktiver Weg zur Source-IP über das eingehende Interface besteht. Es muss nicht die beste, sondern lediglich eine aktive Route sein.

Im Strict Modus überprüft die FortiGate ob der beste Weg zur Source-IP-Adresse über das eingehende Interface führt. Die Route muss entgegen dem "loose Modus" nicht nur aktiv sein, sondern auch die beste.

Die RPF-Prüfung kann auf zwei Arten deaktiviert werden. Wenn man das asymmetrische Routing aktiviert, wird die RPF-Prüfung systemweit deaktiviert. Dies reduziert jedoch die Sicherheit des gesamten Netzwerks erheblich. Funktionen wie Antivirus und IPS werden wirkungslos. Wenn man also die RPF-Prüfung deaktivieren muss, kann man dies auf der Interface-Ebene mit folgenden Befehlen vornehmen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Loose RPF'''
|-
|
Defaultmässig ist die FortiGate im Loose Mode 
'''Per Interfaces:'''
<pre>
# config system interface
# edit [INTERFACE_NAME]
# set src-check disable
# end
</pre>

'''Global in den System Settings:'''
<pre>
# config system setting
# set strict-src-check disable
# end
</pre>
|- style="background:#89E871"
|'''Strict RPF'''
|-
|
'''Per Interfaces:'''
<pre>
# config system interface
# edit [INTERFACE_NAME]
# set src-check enable
# end
</pre>

'''Global in den System Settings:'''
<pre>
# config system setting
# set strict-src-check enable
# end
</pre>
|-
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Beispiel 1'''
|-
|
In diesem Beispiel sendet der Host 10.0.4.1 ein SYN-Paket an 10.0.1.2, spooft aber eine Quell-IP von 10.0.1.1. Dadurch scheint das Paket aus dem internen Netzwerk hinter Port1 initiiert zu werden. Lose RPF erlaubt diesen Traffic, da die aktive Route auf wan1 eine Standardroute (0.0.0.0.0.0/0) ist.

Anschlissßend würde 10.0.1.2 (Benutzer B) das SYN/ACK-Paket an das reale Gerät mit der IP-Adresse 10.0.1.1.1 (Benutzer A) senden.

Da 10.0.1.1.1 (Benutzer A) keine SYN/ACK-Pakete erwartet (weil dieser zuvor kein SYN-Paket an 10.0.1.2 gesendet hat), antwortet er mit einem RST-Paket (Reset).
[[file:Fortinet-2580.jpg|link=]]
|- style="background:#89E871"
|'''Beispiel 2'''
|-
|
In diesem Beispiel sendet der Host 10.0.4.1 ein SYN-Paket an 10.0.1.2, spooft aber eine Source-IP von 10.0.1.1. Dadurch scheint das Paket aus dem internen Netzwerk hinter Port1 initiiert zu werden. Loose RPF erlaubt diesen Traffic, da die aktive Route auf wan1 eine Standardroute (0.0.0.0.0.0/0) ist. 
Anschlissßend würde 10.0.1.2 (Benutzer B) das SYN/ACK-Paket an das reale Gerät mit der IP-Adresse 10.0.1.1.1 (Benutzer A) senden. 
Da 10.0.1.1.1 (Benutzer A) keine SYN/ACK-Pakete erwartet (weil er zuvor kein SYN-Paket an 10.0.1.2 gesendet hat), antwortet er mit einem RST-Paket (Reset).
[[file:Fortinet-2581.jpg|link=]]
Was passiert aber im gleichen Szenario, wenn Strict RPF verwendet wird? 
Das stricte RPF löscht das SYN-Paket. Auch wenn die wan1-Standardroute eine aktive Route für das Subnetz 10.0.4.0/24 ist, ist sie nicht die beste Route. Die beste Route wäre über das Interface port1, da diese einen niedrigeren Distanzwert hat.
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Beachte, dass die Default Distanz für direkt verbundene Routen '''0''' ist, was niedriger ist als die Distanz der Standardroute von 10.
|-
|}
Obwohl das stricte RPF sicherer ist, kann dies bei Verwendung des dynamischen Routings zu Fehlalarmen führen. Dynamische Routen können sich schnell ändern, und sie können die FortiGate veranlassen, legitimierte Pakete jedes Mal zu verwerfen sobald sich die bevorzugte Route ändert. Im Allgemeinen wird empfohlen loose RPF in Kombination mit Firewallregeln zu verwenden. So kann gefälschter Datenverkehr blockiert werden anstelle strict RPF zu diesem Zweckzu verwenden.
|-
|}

=== Wie wird auf einer FortiGate das Routing abgearbeitet? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Dieser Artikel beschreibt wie die FortiGate das Routing abarbeitet und selektiert was heisst, welches Routing zuerst greift (wie zum Beispiel Cache, Policy Routen usw.). Wenn verschiedene Routings verwendet werden zum Beispiel Policy Route (Layer 4), Distanz (Layer 3) ist es wichtig zu wissen, wie diese Routings abgearbeitet werden. In der folgenden Liste kann entnommen werden, wie die FortiGate das Routing generell abarbeitet (Abarbeitung von oben nach unten)
* 0) Routing Cache
* 1) Policy Route
* 2) Longest Match
* 3) Distance
* 4) Priority
* 5) Metric (Dynamisches Routing)
* 6) ECMP (Equal Cost Multiple Path)

{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Ein FortiOS resp. eine FortiGate im "Transparent Mode" aggiert wie eine Bridge und leitet den Traffic im Layer-2 weiter. Dies bedeutet dass Ethernet-Packetebasierend deren "MAC Adressen" abgearbeitet werden und "nicht" anhand deren IP's. 
Es findet deshalb kein "Routing" statt und Routen sind, ausser für das Mgmt. Interface der "Transparent" Firewall, resp. vdom nicht konfigurierbar!
|-
|}

Wie der "cache" eines Routing eingesehen und auf den neusten Stand gebracht werden kann kann nachfolgendem Artikel entnommen werden: [[FortiGate:FAQ#Wie_kann_ich_auf_einer_FortiGate_den_Routing_.22cache.22_auflisten_und_aktualisieren.3F|Routing Cache anzeigen]]

Nachfolgendes Diagramm zeigt wie ein "lookup" in Zusammenhang mit den verschiedenen "Routing Tabellen" durchgeführt wird:
{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_webgui.png|25px|link=]] '''Routing Flow Diagramm:'''
|-
|
Dieses Diagramm zeigt auf dass verschiede "Routing Tabellen" existieren welche für die verschieden eingesetzten Routing Technologien wie Policy Route, Cache, Statische Route usw. entscheidend sind. Die Informationen dieser "Routing Tabellen" spielen somit eine entscheidende Rolle ob ein Routing selektiert wird oder nicht!

'''Diagramm:'''
[[file:Fortinet-1604.jpg|750px|link=]]
|}

=== Wie kann ich auf einer FortiGate die Routing-Tabelle ansehen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Wenn ich ab dem FortiOS 5.4 die Routing-Tabelle auf einer FortiGate ansehen möchte, so muss folgendes beachtet werden. Es besteht die Möglichkeit die aktiven Routen in der Routing-Tabelle anzuschauen (nur Routen die momentan aktiv sind).
Es gibt auch ein Befehl, mit welchem ich alle Routen sehen kann, welche in der Routing-Tabelle eingetragen sind (aktive, und auch inaktive Routen).

Über das WebGui kann ich nur die aktive Routing-Tabelle anschauen:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''Routing-Tabelle im WebGui für FortiOS Versionen 5.6/6.0/6.2:''' 
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Über das WebGui kann ich nur die aktive Routing-Tabelle anschauen: 

Gehe auf ''Monitor -> Routing Monitor'' 
[[file:Fortinet-2571.jpg|link=]]
----

'''Routing-Tabelle im WebGui ab FortiOS Version 6.4: ''' 
[[File:fortiOS64.png|25px|link=]] ]]

Menu ''Dashboard -> Network'' und dann beim Widget ''Static & Dynamic Routing'' auf die Grafik klicken
[[file:Fortinet-2720.jpg|750px|link=]]
Nun sieht man die Routing-Tabelle im Diagramm und in aufgelisteter Form.
[[file:Fortinet-2721.jpg|750px|link=]]
|}

In der CLI ist die FortiOS Version nicht relevant, da ist der Syntax bei allen gleich:

{| class="wikitable" style="width:800px"
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Um auf der CLI nur die "aktiven" Routing-Einträge aufzulisten kann folgender Befehl ausgeführt werden:
<pre>
# get router info routing-table all

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [10/0] via 217.193.240.161, vdom-wan1
S 172.16.10.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S 172.16.20.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S 172.16.30.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S 172.16.40.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S 172.16.99.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C 198.18.0.0/27 is directly connected, port1
S 198.18.0.40/29 [10/0] via 198.18.0.142, sg0e0-dmz0
S 198.18.0.48/29 [10/0] via 198.18.0.142, sg0e0-dmz0
C 198.18.0.128/30 is directly connected, sg0e0-cisco0
C 198.18.0.136/30 is directly connected, sg0e0-hp0
C 198.18.0.140/30 is directly connected, sg0e0-dmz0
S 198.18.0.160/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S 198.18.0.176/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S 198.18.0.192/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S 198.18.1.0/24 [10/0] via 198.18.0.130, sg0e0-cisco0
S 198.18.3.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C 198.18.4.0/24 is directly connected, sg0-e-link-lan
S 198.18.10.0/25 [10/0] is directly connected, ssl.root
S 198.18.11.0/25 [10/0] is directly connected, ssl.root
S 198.18.13.0/25 [10/0] is directly connected, ssl.root
S 198.18.13.128/25 [10/0] is directly connected, ssl.root
C 217.193.240.160/29 is directly connected, vdom-wan1
</pre>
|-
|}

Wenn ich die gesamte Routing-Tabelle sehen möchte (aktive und inaktive Routen) kann ich die Routing Datenbank wie folgt abfragen: 
(Routen welche mit * markiert sind, sind aktive Routen)

{| class="wikitable" style="width:1500px"
|- style="background:#89E871"
|
Konfiguration über CLI: '''get router info routing-table database '''
|-
| style="width:850px" ;|
<pre>
# get router info routing-table database

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

S *> 0.0.0.0/0 [10/0] via 217.193.240.161, vdom-wan1
S *> 172.16.10.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S *> 172.16.20.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S *> 172.16.30.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S *> 172.16.40.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
S *> 172.16.99.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C *> 198.18.0.0/27 is directly connected, port1
S *> 198.18.0.40/29 [10/0] via 198.18.0.142, sg0e0-dmz0
S *> 198.18.0.48/29 [10/0] via 198.18.0.142, sg0e0-dmz0
C *> 198.18.0.128/30 is directly connected, sg0e0-cisco0
C *> 198.18.0.136/30 is directly connected, sg0e0-hp0
C *> 198.18.0.140/30 is directly connected, sg0e0-dmz0
S *> 198.18.0.160/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S *> 198.18.0.176/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S *> 198.18.0.192/28 [10/0] via 198.18.0.142, sg0e0-dmz0
S *> 198.18.1.0/24 [10/0] via 198.18.0.130, sg0e0-cisco0
S *> 198.18.3.0/24 [10/0] via 198.18.0.138, sg0e0-hp0
C *> 198.18.4.0/24 is directly connected, sg0-e-link-lan
S *> 198.18.10.0/25 [10/0] is directly connected, ssl.root
S *> 198.18.11.0/25 [10/0] is directly connected, ssl.root
S *> 198.18.13.0/25 [10/0] is directly connected, ssl.root
S *> 198.18.13.128/25 [10/0] is directly connected, ssl.root
C *> 217.193.240.160/29 is directly connected, vdom-wan1
</pre>
|-
|}

Folgende Optionen stehen weiter für das Commande <code>get router info routing-table</code> zur Verfügung:

{| class="wikitable" style="width:50%"
|-
! style="background-color: #89E871; text-align:left"| Parameter
! style="background-color: #89E871; text-align:left"| Beschreibung
|-
| details
| Anzeigen der Detail-Informationen der Routing-Tabelle
|-
| all
| Anzeigen von allen Einträgen in der Routing-Tabelle
|-
| rip
| Anzeigen der RIP Routing-Tabelle
|-
| ospf
| Anzeigen der OSPF Routing-Tabelle
|-
| bgp
| Anzeigen der BGP Routing-Tabelle
|-
| isis
| Anzeigen der IS-IS Routing-Tabelle
|-
| static
| Statische Routing-Tabelle anzeigen
|-
| connected
| zeigt die Routing-Tabelle der verbundenen Routen an
|-
| database
| zeigt die Datenbank der Routing-Tabelle an (alle aktiven und passiven Routen)
|-
|}

=== Wie kann ich auf einer FortiGate den Routing "cache" auflisten und aktualisieren? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Auf der FortiGate wird ein Cache angelegt. Dies bedeutet, dass wenn ein Routing Eintrag erstellt wird (wie zum Beispiel eine statische Route konfiguriert wird), so wird beim ersten Nutzen der Route im Hintergrund automatisch ein Eintrag im Cache angelegt.
Dadurch muss die FortiGate nicht jedes Mal die Routing Tabelle konsultieren, sondern erhält bei einer nächsten Anfrage die Routinginformationen schneller und direkter aus dem Cache.
Wenn ich sehen will, welche Routen im Cache sind kann ich folgenden Befehl verwenden:

{| class="wikitable"
|- style="background:#89E871"
|
Konfiguration über CLI: '''diagnose ip rtcache list'''
|-
| style="width:850px" ;|
<pre>
# diagnose ip rtcache list

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
0.0.0.0@0->198.18.0.1@64(root) gwy=0.0.0.0 prefsrc=198.18.0.1
ci: ref=1 lastused=1 expire=0 err=00000000 used=819 br=0 pmtu=16436

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
193.193.135.65@5(wan1)->193.193.135.95@64(root) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=220 expire=0 err=00000000 used=5 br=0 pmtu=1492

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
193.193.135.65@5(wan1)->193.193.135.66@64(root) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=3 lastused=0 expire=0 err=00000000 used=348 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.3.1@0->198.18.3.3@4(dmz) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=8 expire=0 err=00000000 used=952 br=0 pmtu=1500

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
0.0.0.0@66(fortinet4intern)->255.255.255.255@64(root) gwy=0.0.0.0 prefsrc=198.18.2.1
ci: ref=1 lastused=282 expire=0 err=00000000 used=0 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->193.193.135.65@5(wan1) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=1 lastused=0 expire=0 err=00000000 used=2109 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->193.193.135.65@5(wan1) gwy=0.0.0.0 prefsrc=193.193.135.66
ci: ref=1 lastused=0 expire=0 err=00000000 used=8022 br=0 pmtu=1492

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->198.18.3.3@4(dmz) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=1 lastused=4 expire=0 err=00000000 used=59 br=0 pmtu=1500

family=02 tab=254 vf=0 type=03 tos=0 flag=90000200
198.18.2.2@66(fortinet4intern)->198.18.2.127@64(root) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=135 expire=0 err=00000000 used=61 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.2.1@0->198.18.2.2@66(fortinet4intern) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=48 expire=0 err=00000000 used=22 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
0.0.0.0@0->198.18.0.90@7(internal1) gwy=0.0.0.0 prefsrc=198.18.0.1
ci: ref=1 lastused=3 expire=0 err=00000000 used=491 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.3.2@4(dmz)->198.18.3.1@64(root) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=3 lastused=13 expire=0 err=00000000 used=572 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.2.2@66(fortinet4intern)->198.18.2.1@64(root) gwy=0.0.0.0 prefsrc=198.18.2.1
ci: ref=10 lastused=0 expire=0 err=00000000 used=20 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.3.1@0->198.18.3.2@4(dmz) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=13 expire=0 err=00000000 used=660 br=0 pmtu=1500

family=02 tab=254 vf=0 type=01 tos=0 flag=00000200
198.18.0.1@0->198.18.0.90@7(internal1) gwy=0.0.0.0 prefsrc=0.0.0.0
ci: ref=1 lastused=1 expire=-2395 err=00000000 used=440 br=0 pmtu=1500

family=02 tab=254 vf=0 type=02 tos=0 flag=80000200
198.18.3.3@4(dmz)->198.18.3.1@64(root) gwy=0.0.0.0 prefsrc=198.18.3.1
ci: ref=3 lastused=4 expire=0 err=00000000 used=1 br=0 pmtu=1500
</pre>
|-
|}
Der Cache selbst kann nicht direkt verändert oder manipuliert werden. Es ist auch nicht möglich einzelne Einträge aus dem Cache zu löschen.
Will man den Cache aktualisieren oder löschen so kann dies indirekt über das refreshen der Routing Tabelle vorgenommen werden. Mit diesem Kommando <code>execute router restart</code> werden im Cache, wie auchim Kernel die Routing Informationen auf den neuesten Stand gebracht:
{| class="wikitable"
|- style="background:#89E871"
|
Konfiguration über CLI: '''execute router restart'''
|-
| style="width:850px" ;|
<pre>
# execute router restart
</pre>
|-
|}

Aus diesem Grund wird empfohlen nach jeder Routing Änderungen diesen Befehl abzusetzen um gewährleisten zu können, dass alle Routing Informationen aller Routing Tabellen auf den neusten Stand gebracht wurden.

=== Was ist eine Blackhole-Route? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Eine Blackhole-Route ist eine Route, die den gesammten, an sie gesendeten Datentraffic unterbindet. Dies funktioniert sehr ähnlich wie /dev/null in der Linux-Programmierung.
Blackhole-Routen werden verwendet, um Pakete zu entsorgen, anstelle auf verdächtige Anfragen zu reagieren. Dies bietet zusätzliche Sicherheit, da der Absender keine Informationen aus dem Destination-Netzwerk erhält.

Blackhole-Routen können auch den Traffic in einem Subnetz einschränken. Wenn einige Subnetzadressen nicht verwendet werden, kann der Traffic zu diesen Adressen (Traffic, welcher gültig oder bösartig sein kann) an ein Blackhole-Route geleitet werden. So kann zusätzliche Sicherheit gewährleisten werden oder den Traffic zum Subnetz zu reduziert werden.

Zum Beispiel bei einer IPSec Side-to-Side Verbindung wird, wenn das Tunnelinterface aktiv ist (und somit der VPN Tunnel up), ein Routing Eintrag erstellt. Wenn dieser Tunnel und somit auch das Tunnelinterface down geht, wird die nächste zutreffende Route für die Session genutzt. Meist ist dies die Default Route zum Standard Gateway. Dies bedeutet, dasss der Traffic welcher für die remote Lokation des Tunnels gedacht ist, ins Internet geroutet wird. Kommt jetzt das Tunnelinterface wieder hoch, bleibt die Session aber über den Standard Gateway aktiv.
Dieser Zustand bleibt solange bestehen bis diese Session nicht mehr aktiv ist oder manuell beendet wird.
Ein "Refreshing" der Routing Tabelle mit dem Befehl "execute router restart" löst dieses Problem nicht, weil durch dieses Kommando eine Session nicht beendet wird.
Die einzige Möglichkeit wäre, die Session manuell zu löschen.
Jetzt kommt die Blackhole-Route ins Spiel. Die Blackhole-Route wird das Netz an ein Nulldevice routen. Eine Blackhole-Route muss mit einer grösseren Distanz konfiguriert werden, als die anderen Routen. Empfohlen wird die Distanz 254 zu wählen.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Im Menu ''Netzwork -> Static Routes'' [[File:createnew.jpg|link=]]
# Destinations Netzwerk konfigurieren
# Interface auf ''Blackhole'' wählen
# Administrative Distance muss höher als die eigentliche Route sein. Wir empfehlen den Wert 254 zu nehmen.
# Kommentare schaffen Klarheit
# Status enable um die Route aktiv zu schalten
# mit OK die Route einrichten.

[[File:Fortinet-2542.jpg|link=]]
|-
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config router static
edit [ID] -> Route ID angeben z.B 1
set dst 172.16.16.0 255.255.255.0
set distance 254
set comment "Blackhole Route 172.16.16.0/24"
set blackhole enable
end
</pre>
|-
|}

'''Statische Route 172.16.16.0/24 auf Tunnel Interface aktiv:'''

Wir haben ein VPN-Tunnel welcher das Netz 172.16.16.0/24 auf das Tunnel Interface ''vpn_to_sideB'' routet. Wenn wir die Routingtabelle anschauen, sehen wir dass dieses Netz 172.16.16.0/24 auf das Interface ''vpn_to_sideB'' mit der Distanz 10 geroutet wird.

{| class="wikitable" style="width:1200px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Gehe ins Menu ''Monitor -> Routing Monitor''
[[datei:Fortinet-2543.jpg]]
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|

'''get router info routing-table all'''

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [1/0] via 198.18.0.1, wan1
S 172.16.16.0/24 ['''10'''/0] is directly connected, '''vpn_to_sideB'''
C 192.168.2.0/24 is directly connected, internal
C 198.18.0.0/27 is directly connected, wan1

|-
|}

'''Statische Route 172.16.16.0/24 auf Tunnel Interface aktiv:'''

Jetzt wird der VPN-Tunnel unterbrochen und das Tunnel Interface ''vpn_to_sideB'' wird inaktiv. Wenn wir jetzt keine default Route hätten, würde das Netz 172.16.16.0/24 auf den default Gateway (198.18.0.1) geroutet. Da wir jetzt aber die Blackhole-Route für die 172.16.16.0/24, mit der Distanz 254 konfiguriert haben, sehen wir in der Routingtabelle, dass der ganze Traffic zum Destinations Netz 172.16.16.0/24 auf das Blackhole Interface routet wird:

{| class="wikitable" style="width:1200px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Gehe ins Menu ''Monitor -> Routing Monitor''
[[datei:Fortinet-2544.jpg]]
|- style="background-color: #89E871;"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|

'''get router info routing-table all'''

Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [1/0] via 198.18.0.1, wan1
S 172.16.16.0/24 ['''254'''/0] is a summary, '''Null'''
C 192.168.2.0/24 is directly connected, internal
C 198.18.0.0/27 is directly connected, wan1


Wenn ich die ganze Routing Tabelle anschaue (auch mit den inaktiven Routen) sehe ich beide Routen auf die Adresse 172.16.16.0/24. Die Route welche mit einem '''*''' markiert wird, ist die aktive Route.

'''get router info routing-table database'''
Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
> - selected route, * - FIB route, p - stale info

S *> 0.0.0.0/0 [1/0] via 198.18.0.1, wan1
S 172.16.16.0/24 ['''10'''/0] is directly connected, '''vpn_to_sideB''' inactive --> Die Route auf das Tunnel Interface ist inaktiv
S *> 172.16.16.0/24 ['''254'''/0] is a summary, '''Null''' --> Die Route auf das Null Device (Blackhole) ist aktiv
C *> 192.168.2.0/24 is directly connected, internal
C *> 198.18.0.0/27 is directly connected, wan1
|-
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Grundsätzlich kann man auf jeder FortiGate die privaten IP Ranges auf eine Blackhole-Route konfigurieren. Mit diesen drei Routen kann so jeglicher Traffic, welcher in das Public WAN (INTERNET) geroutet wird, direkt abgefangen werden.

Für folgende private Netze kann also eine Blackhole Route defaultmässig eingerichtet werden:

'''Private Netze Gemäss RFC1918:'''
* 10.0.0.0/8
* 172.16.0.0/12
* 192.168.0.0/16

Siehe auch : https://tools.ietf.org/html/rfc1918
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config router static
edit 100
set dst 10.0.0.0/8
set distance 254
set comment "Blackhole 10.0.0.0/8 - RFC1918"
set blackhole enable
next
edit 101
set dst 172.16.0.0/12
set distance 254
set comment "Blackhole 172.16.0.0/12 -RFC1918"
set blackhole enable
next
edit 102
set dst 168.168.0.0/16
set distance 254
set comment "Blackhole 192.168.0.0/16-RFC1918"
set blackhole enable
next
end
</pre>
|-
|}

Weitere Informationen betreffend privatem IP Adress-Bereich siehe auch: https://de.wikipedia.org/wiki/Private_IP-Adresse

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Wenn ein Class D (Verwendung für Multicast-Anwendungen) oder Class E Netz (reserviert für zukünftige Zwecke) in eine Blackhole-Route konfiguriert werden soll, wird dies von der FortiGate nicht unterstützt.

Weitere Infos über die Netzklassen : https://de.wikipedia.org/wiki/Netzklasse

'''Beispiel in der CLI:'''

config router static
edit 0
new entry '0' added
set blackhole enable
set distance 254
set dst 224.0.0.0/3
ip address must be a class A, B, or C ip
value parse error before '224.0.0.0/3'
Command fail. Return code -8
|-
|}

=== Wie kann ich das Swisscom TV über die FortiGate betreiben? ===

''' ARTIKEL NOCH IN BEARBEITUNG und nicht VOLLSTÄNDIG''' 
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Um das Swisscom TV über die FortiGate zu routen müssen Multicast Routen eingerichtet werden. Wir gehen in diesem Fall von folgendem Szenario aus: Wir haben einen Swisscom Router, eine FortiGate und die Swisscom TV Box. Wir wollen die FortiGate zwischen dem Router und der TV-Box dazwischen als Perimeter Firewall schalten. Dafür müssen wir auf dem Swisscom Router die "DMZ" Funktion aktiveren und sämtlichen eingehenden Traffic auf die FortiGate weiterleiten. Zwischen der FortiGate und dem Swisscom Router konfigurieren wir ein Transit Netz. Jetzt haben wir sämtlichen Traffic (ausser die Telefone welche direkt am Router angehängt sind) auf der FortiGate. Jetzt können auf der FortiGate die Multicast Policies konfiguriert werden und das Swisscom TV läuft.
In dieser Anleitung zeige ich ein praktisches Beispiel wie man das konfigurieren könnte:

Als erstes auf dem Swisscom Router folgende Konfigurationen vornehmen:

DMZ Funktion einschalten und auf die FortiGate weiterleiten.

{| class="wikitable" style="width:800px"
|-
! style="background-color: #89E871; text-align:left"| '''Konfiguration WebGui Swisscom Router'''
|-
| [[file:Fortinet-1988.jpg|link=]]
Um sämtlichen eingehenden Traffic auf die FortiGate weiter zu leiten, muss auf dem Swisscom Router die DMZ Funktion aktiviert werden. Als Destination wird die FortiGate ausgewählt.
|-
|}

Wir nutzen auf der FortiGate auf dem internal Interface (LAN) den DHCP Dienst. Damit die Swisscom TV Box immer die selbe IP Adresse bekommt, konfigurieren wir eine MAC Reservierung:

[[file:Fortinet-1989.jpg|link=]]

<pre>
config system dhcp server
edit 1
config reserved-address
edit 1
set ip 10.60.60.10
set mac 48:8d:XX:XX:XX:XX
set description "swisscom TV Box"
next
end
next
end
</pre>

Auf der FortiGate erfassen wir ein Adressen Objekt für die Swisscom TV Box (in unserem Fall 10.60.60.10/32)

[[file:Fortinet-1990.jpg|link=]]

<pre>
config firewall address
edit "h_swisscomTV-10.60.60.10-32"
set comment "Swisscom TV Device"
set color 3
set subnet 10.60.60.10 255.255.255.255
next
end
</pre>

Nun muss auf der FortiGate das Multicast Routing ausgeschaltet oder überprüft werden dass dieses ausgeschaltet ist:

<pre>
config router multicast
set multicast-routing disable
end
</pre>

Die Multicast Weiterleitung konfigurieren:
<pre>
config system settings
set multicast-forward enable
end
</pre>

Wir wollen verhindern, dass die FortiGate bei den weitergeleiteten Multicast Paketen den TTL Wert nicht erhöht:
<pre>
config system settings
set mutlicast-ttl-notchange enable
end
</pre>

Im nächsten Schritt müssen zwei Multicast Regeln konfiguriert werden. Damit wir im WebGui die Option sehen, muss diese eventuell noch aktiviert werden:

Policy&Objects -> Mutlicast Polciy -> Create New+

[[file:Fortinet-1991.jpg|link=]]

Jetzt müssen wir zwei Multicast Adress-Objekte für 224.0.0.0 - 224.255.255.255 und 239.0.0.0 - 239.255.255.255 erstellen.

{| class="wikitable" style="width:50%"
|-
! style="background-color: #89E871; text-align:left"| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
! style="background-color: #89E871; text-align:left"| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Menu:'''Policy & Objects -> Addresses -> Create New+ -> Category Multicast Address''' 
[[file:Fortinet-1992.jpg|link=]]
|
<pre>
config firewall multicast-address
edit "mc-swisscom_224.0.0.0-224.255.255.255"
set start-ip 224.0.0.0
set end-ip 224.255.255.255
set color 26
next
edit "mc-swisscom_239.0.0.0-239.255.255.255"
set start-ip 239.0.0.0
set end-ip 239.255.255.255
set color 26
next
end
</pre>
|-
|}

Regel 1:
von 0.0.0.0/0 zu den Multicast Adressen
SNAT in dieser Regel nicht aktivieren.

[[file:Fortinet-1994.jpg|link=]]

Regel 2:
Von der Swisscom TV Box zu den Multicast Adressen 
SNAT muss in dieser Regel aktiviert werden

[[file:Fortinet-1995.jpg|link=]]

Nun sollte das Swisscom TV über die FortiGate funktionieren.

== SD-WAN ==
Dieser Artikel beschreibt, wie Sie eine Hilfssitzung mit ECMP oder SD-WAN aktivieren können.

=== Wie kann ich für ECMP oder SD-WAN Hilfesession (Auxiliary-session) auf der FortiGate aktivieren? ===
[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] ]]

Wenn wir [[FortiGate:FAQ#Was_bedeutet_der_Begriff_ECMP_beim_Routing.3F|ECMP]] oder SD-WAN benutzen, sind mehrere Interfaces für den eingehenden oder ausgehenden Traffic definiert. Dies bedeutet, dass der Traffic eingehend oder ausgehend auf einem anderen Interface stattfinden kann. Wenn der Datentraffic wieder von der FortiGate ausgeht, versucht er einer bestehenden TCP Session zu entsprechen. Diese TCP-Session wird aber fehlschlagen, da sich das Interface für den eingehenden Datentraffic geändert hat.
Default mässig wird nur eine Session zur Abwicklung des Datentraffics verwendet. Jede Änderung auf dem eingehenden Interface (Orginal/Antwort) führt zu einer dirty Session und wird verworfen.
Aktiviert man die <code>auxiliary-session</code> Funkion wird eine Multisession aktivert. Dies bedeutet dass eine ''Hauptsession'' und ''Hilfssesions'' (verschiedene eingehende Interfaces) gibt um den Traffic zu handeln.

{| class="wikitable" style="width:100%"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
id=20085 trace_id=10 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [S], seq 3291199818, ack 0, win 65535"
id=20085 trace_id=10 func=init_ip_session_common line=5666 msg="allocate a new session-000015a7"
id=20085 trace_id=10 func=vf_ip_route_input_common line=2596 msg="find a route: flag=04000000 gw-80.78.133.251 via tun1"
id=20085 trace_id=10 func=fw_forward_handler line=771 msg="Allowed by Policy-14: SNAT"
id=20085 trace_id=10 func=ids_receive line=289 msg="send to ips"
id=20085 trace_id=10 func=__ip_session_run_tuple line=3286 msg="SNAT 172.22.4.99->192.168.1.1:47287"
id=20085 trace_id=10 func=ipsecdev_hard_start_xmit line=777 msg="enter IPsec interface-tun1"
id=20085 trace_id=10 func=esp_output4 line=904 msg="IPsec encrypt/auth"
id=20085 trace_id=11 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [.], seq 3291199819, ack 1663915319, win 1034"
id=20085 trace_id=11 func=resolve_ip_tuple_fast line=5581 msg="Find an existing session, id-000015a7, original direction"
id=20085 trace_id=11 func=ids_receive line=289 msg="send to ips"
id=20085 trace_id=11 func=ip_session_core_in line=6275 msg="outgoing dev changed:44->42 dir=original, drop"
id=20085 trace_id=12 func=print_pkt_detail line=5501 msg="vd-root:0 received a packet(proto=6, 172.22.4.99:47287->172.23.4.100:443) from vlan4. flag [.], seq 3291199819, ack 1663915319, win 1034"
id=20085 trace_id=12 func=vf_ip_route_input_common line=2596 msg="find a route: flag=04000000 gw-192.168.1.1 via tun1"
id=20085 trace_id=12 func=fw_forward_dirty_handler line=385 msg="no session matched"
|}

Default mässig ist die Funktion deaktiviert. Dies können wir auch über die CLI wie folgt ermitteln:
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system settings
# show full-configuration | grep aux
# set auxiliary-session disable
</pre>
|}
Die Funktion kann wie folgt eingeschaltet werden:
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system settings
# set auxiliary-session enable
# end
</pre>
|}



===Welche OIDs gibt es im Zusammenhang mit dem Link Monitor um den SD-WAN Status abzufragen? ===

Folgende OIDs gibt es welche den Status vom Link Monitor angeben:

{| class="wikitable" style="width:50%"
|-
! style="background-color: #89E871; text-align:left"| OID
! style="background-color: #89E871; text-align:left"| Beschreibung
|-
| .1.3.6.1.4.1.12356.101.4.8.2 || fgLinkMonitorTable
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.1 || fgLinkMonitorID
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.2 || fgLinkMonitorName
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.3 || fgLinkMonitorState
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.4 || fgLinkMonitorLatency
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.5 || fgLinkMonitorJitter
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.6 || fgLinkMonitorPacketSend
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.7 || fgLinkMonitorPacketRecv
|-
| .1.3.6.1.4.1.12356.101.4.8.2.1.8 || fgLinkMonitorPacketLoss
|-
|}

=== Kann eine FG-90D in die die neue SD-WAN Orchestration eingebunden werden? ===
[[File:fortiOS64.png|25px|link=]]

SD-WAN Orchestration kann mit der FG90D aktuell nicht genutzt werden, da dieses Modell aktuell noch nicht unterstützt wird:
https://docs.fortinet.com/document/fortimanager/6.4.1/sd-wan-orchestrator-release-notes/798783/supported-fortigate-models

== Policy Routing ==

== Email Service ==
=== Wie kann auf einer FortiGate den "Email-Service" konfigurieren? ===

Im FortiOS bezeichnet die "Email Service" Funktion die Konfiguration eines SMTP Servers. Ein Email Server auf der FortiGate wird für verschiedene Funktionen benötigt:
* Alert Email
* Two-Factor Authentifizierung
* Wireless Guest-Provisioning

Der "Email-Service" wird über das Web-GUI folgendermassen konfiguriert:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Menu: ''System > Settings -> Email Service'' (6.2) 
# Um einen eigenen E-Mail Server zu konfigurieren, muss ''Use custom settings'' eingeschaltet werden.
# Im Feld ''SMTP Server'' FQDN Adresse des Mailservers angeben.
# Unter "Port" kann kann der Mail-Port angepasst werden, falls er vom Default Wert abweicht.
# wenn notwendig kann ''Authentication'' aktivieret werden und Username mit Passwort für den Mailserver angeben.
# ''Security Mode'' wählen
## '''None''' = SMTP default Port TCP 25
## '''SMTPS''' = SSL/TLS default TCP 465
## '''START TLS''' (SMTP und TLS default Port TCP 587)
# ''Default Reply to'' Wird die Emai-Adresse angegeben, welche als Absender fungiert.

[[File:Fortinet-2659.jpg|750px|link=]]

|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system email-server
# set type custom
# set reply-to [Absender Email Adresse]
# set server [FQDN SMTP Server]
# set port [Gebe einen entsprechenden Port an zBsp "25"]
# set source-ip [Optional gebe eine Source IPv4 Adresse an für den Absender der SMTP Nachricht]
# set source-ip6 [Optional gebe eine Source IPv6 Adresse an für den Absender der SMTP Nachricht]
# set authentication [enable | disable]
# set username [Username für die Authentifizierung]
# set password [Passwort für die Authentifizierung]
# set validate-server [enable| disable]
# set security [none | smtps | starttls]
# end
</pre>
|}

Es ist auch möglich von Fortinet den SMTP Server zu benutzen:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# ''Use custom settings'' deaktivieren
# ''Default Reply To'' wird die Absender Email Adresse angegeben.

[[File:Fortinet-2660.jpg|750px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system email-server
# set reply-to [Absender Email Adresse]
# set server "notification.fortinet.net"
# set port 465
# set Security smtps
# end
</pre>
|}

== Zwei Faktor Authentifizierung ==
=== Wie kann ich die Timeouts für die 2FA Dienste auf der FortiGate anpassen? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Wenn das SSL-VPN mit Zwei-Faktor-Authentifizierungen(2FA) wie ''E-Mail, SMS, FortiToken'' konfiguriert ist, kann unter Umständen ein längerer Token-Ablauf des Timers erforderlich sein, als jener der Standardeinstellung von 60 Sekunden.
Die Ablaufzeiten können wie folgt konfiguriert werden:

{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set two-factor-ftk-expiry [Zeit in Sekunden] -> FortiToken Session Timeout
# set two-factor-ftm-expiry [Zeit in Sekunden] -> FortiToken Mobile Session Timeout
# set two-factor-sms-expiry [Zeit in Sekunden] -> SMS Session Timeout
# set two-factor-fac-expiry [Zeit in Sekunden] -> FortiAuthenticator Token Session Timeout
# set two-factor-email-expiry [Zeit in Sekunden] -> Email Session Timeout
# end
</pre>
|}

Während diese Timer für die Token selbst gelten (und die Token-Codes so lange gültig bleiben, wie sie konfiguriert sind), muss beim SSL-VPN jedoch nicht für die gesamte Dauer der Gültigkeit der Token akzeptieren.
Um sicherzustellen, dass SSL-VPN die Token akzeptiert, muss ein weiterer Zeitgeber konfiguriert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set remoteauthtimeout [1-300s]
# end
</pre>
|}
Die maximal konfigurierbare Zeitüberschreitung hierfür beträgt 5 Minuten.
Das SSL-VPN wartet maximal 5 Minuten auf die Bereitstellung eines gültigen Token-Codes, bevor die Verbindung beendet wird, auch wenn der Token-Code länger gültig ist.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Die <code>remoteauthtimout</code> Einstellung zeigt nicht nur an, wie lange SSL-VPN auf die Bereitstellung des Token wartet, sondern auch auf andere Remote-Authentifizierungen, wie zum Beispiel die Authentifizierung von LDAP, RADIUS usw.

Das bedeutet, dass wenn der Timer erhöht wird, die FortiGate beinträchtig werden kann. Der Server ist nicht erreichbar, wenn der erhöhte Timer zu lange benötigt, um die FortiGate zu erreichen.
|}
----
'''FortiGate und FortiAuthentikator:'''

Was auch beachtet werden muss ist, dass wenn mit einem FortiAuthenticator gearbeitet wird, dieser auch einen Timer für die Token hat.
Die FortiGate verwendet die RADIUS-Authentifizierung für die SSL-VPN-Benutzerauthentifizierung. Der FortiAuthenticator wird als RADIUS-Server verwendet. Um die Sicherheitsstufen zu verstärken, ist FortiAuthenticator so konfiguriert, dass für eine erfolgreiche Authentifizierung eine Zwei-Faktor-Authentifizierung (2FA) erforderlich ist.
Der FortiAuthenticator verfügt über mehrere Optionen, um 2FA von einem Benutzer zu verlangen. Diese können Hardware FortiToken, FortiToken Mobile, Mail oder SMS-Dienste sein.
Bei den letzteren beiden kann es zu Zeitüberschreitungen kommen. Standardmässig erwartet FortiAuthenticator den Token-Code nach 60 Sekunden. Dieser Wert kann angepasst werden.
Es reicht jedoch nicht aus, nur das Timeout im FortiAuthenticator zu ändern, da die FortiGate auch einen eigenen Timeout-Wert hat. Man muss diesen Wert also auch ändern, wenn man die Zeit zwischen der Eingabe von Benutzername/Passwort und Token-Code erhöhen möchten. Die Timer sind auf der FotiGate wie oben erklärt, anpassbar.

Auf dem FortiAuthentikator kann das unter folgendem Menue konfiguriert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im FortiAuthenticator 6.x:'''
|-
|
Über das Menue ''User Account Policies -> Tokens'' können die Timeouts konfiguriert werden:
# Im Feld FortiToken der Menue-Punkt ''TOTP authentication window'' kann der Wert für die FortiToken Timeouts konfiguriert werden. Default ist 1 Minute eingestellt. Möglich ist 1 Minute - 60 Minuten.
# Unter Email/SMS kann der Token Timeout in Sekunden (10-3600) angepasst werden.
[[File:Fortinet-2676.jpg|550px|link=]]
|}

=== Wie kann ich auf einer FortiGate einen SMS Service / Provider konfigurieren? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Wenn auf einer FortiGate eine Two-Factor Authentication konfiguriert wird, so soll basierend auf ODA (On-Demand Authentication) muss ein entsprechender SMS Service resp. Provider konfiguriert werden. Per Standard steht auf einer FortiGate ein FortiGuard SMS Provider zur Verfügung jedoch ist dieser FortiGuard SMS Provider nicht in FortiCare und/oder FortiGuard enthalten. Bei diesem FortiGuard SMS Provider handelt es sich um den Amerikanischen SMS Provider Clickatell.

Anstelle des FortiGuard SMS Services kann auch ein lokaler SMS Provider gewählt werden. Dabei muss beachtet werden, dass der SMS Provider einen SMS Versandt über EMail unterstützt. Grund ist, dass die FortiGate kein SMS Versand über HTTP/S GET und POST unterstützt. Ein paar SMS-Provider welche wir empfehlen:

* Swisscom (@sms.ip-plus.net)
* F24 (Dolphin) (https://www.f24.com/tochtergesellschaften/f24-schweiz-ag/)
* Truesenses (http://www.truesenses.com/)

Da der SMS Versand über den Email Service durchgeführt wird, gilt die Konfiguration eines Email Service als Voraussetzung für die Konfiguration eines SMS Service. Wie der Email Service zu konfigurieren ist siehe nachfolgender Artikel: [[FortiGate:FAQ#Wie_kann_auf_einer_FortiGate_den_.22Email_Service.22_konfigurieren.3F|Email Service auf der FortiGate konfigurieren.]]
Danach sind die Voraussetzungen gegeben einen SMS Service respektive Provider auf der FortiGate zu konfigurieren. Die Konfiguration kann über CLI durchgeführt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system sms-server
# edit [Name des Service/Provider zB "swisscom"]
# set mail-server [FQDN des Mail Server für SMS Versandt zB "sms.ip-plus.net"]
# end
</pre>
|}

Wird ein User lokal erfasst und dieser mittels SMS eine Two-Factor Authentifizierung aktiviert werden muss für, diesen User eine entsprechende Mobile Nummer definiert werden. Wird über einen Service auf der FortiGate eine Two-Factor Authentifizierung ausgelöst so wird im Hintergrund über den definierten SMS Service/Provider der für die Mobiel Nummer konfiguriert wurde ein Email generiert in folgender Form: <code>[Land][Vorwahl][Mobile Nummer]@[FQDN des Mail Server für SMS Versandt] </code>

Siehe auch: [[FortiGate:FAQ#Wie_er.C3.B6ffne_ich_einen_User_mit_Zweifaktor_Authentifizierung_.C3.BCber_SMS.3F| Wie konfiguriere ich einen User mit SMS Zweifaktor Authentifizierung?]]

=== Wie kann ich den Lizenzkey für den FortiGuard SMS Service auf der FortiGate einlesen? ===

[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Auf der FortiGate kann ich Two Factor Authentifizierung einrichten. Es gibt die Möglichkeit von Fortinet selber einen SMS Dienst zu erwerben. Die SMS werden von der FortiGuard her ausgelöst. Diese Lizenz enthält jeweils 100 SMS.
Der Artikel welcher hierfür erworben werden kann:

'''SMS-ELIC-100''' FortiSMS - License for 100 SMS text messages

Der Lizenz Key kann über folgenden Befehl auf die FortiGate eingelesen werden:

{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# execute fortiguard-message add xxxx-xxxx-xxxx-xxxx-xxxx ---> Den Aktivierungs Code der SMS Lizenz gemäss erhaltenem Dokument einfügen.
# execute fortiguard-message update
</pre>
|}

Das Guthaben kann wie folgt über die CLI abgefragt werden: '''execute fortiguard-message info'''

{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# execute fortiguard-message info
Controller server status: registered
Expiry date: 20200102
SMS max allowed: 4
SMS used: 4
Last update: Wed Apr 17 10:31:02 2019

Current message server: 208.91.113.184:443
Message server status: unknown
</pre>
|}

== FortiView ==
===Wo ist die Ansicht "All-Session" im FortiOS 6.4.0?===
[[File:fortiOS64.png|25px|link=]] ]]

Im FortiOS 6.4.0 fällt einem sicher sehr schnell auf, dass die Option '''All-Session''' in der FortiView nicht mehr vorhanden ist. 
Es handelt sich hier um einen Bug im FortiOS 6.4.0. Wir haben es dem TAC gemeldet und diese haben es an das Developpentteam weitergeleitet. 
Der Bug wird unter der Nummer '''615524''' behandelt.

In der Zwischenzeit kann man unter den ''Top Policies by Session'' im Drilldown-Menu zu den Sessions gelangen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[File:Fortinet-2717.jpg|750px|link=]]
|}

----

'''Der Bug ist im FortiOS 6.4.1 behoben worden''' 
Nun findet man die Session-Ansicht in der FortiView:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[File:Fortinet-2729.jpg|250px|link=]]
|}

== Prozesse ==

=== Wie kann ich auf einer FortiGate die Prozesse auflisten? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Auf einer FortiGate existieren unzählige von Prozesse und Dienste welche zuständige sind um die verschiedenen Aufgaben einer Firewall durchzuführen. Um die Prozesse aufzulisten kann folgendes Kommando benutzt werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose sys top [refresh_time_sec] [number_of_lines]
</pre>
|-
|
Wenn man die "top" 20 Prozesse (Standard) auflisten möchte, kann der <code># diagnose sys top </code> Befehl ohne die Optionen von "refresh_time_sec" sowie "number_of_lines" benutzt werden: 
<pre>
# diagnose sys top
Run Time: 0 days, 2 hours and 1 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 636F
ipsengine 358 S < 0.1 5.0
extenderd 178 S 0.1 0.4
lnkmtd 161 S 0.1 0.3
newcli 554 R < 0.1 0.3
ipsengine 356 S < 0.0 5.0
ipsengine 357 S < 0.0 5.0
ipsengine 359 S < 0.0 5.0
ipshelper 355 S < 0.0 4.2
scanunitd 352 S < 0.0 2.1
scanunitd 525 S < 0.0 2.0
scanunitd 526 S < 0.0 2.0
scanunitd 523 S < 0.0 1.9
scanunitd 524 S < 0.0 1.9
cmdbsvr 100 S 0.0 1.7
forticron 136 S 0.0 1.4
pyfcgid 495 S 0.0 1.2
cw_acd 168 S 0.0 1.2
httpsd 212 S 0.0 1.0
httpsd 210 S 0.0 1.0
httpsd 127 S 0.0 0.9
</pre>

Um den Befehl respektive die Funktion zu beenden benütze '''"Ctrl + C"'''.

'''Beschreibung:''' 
[[Datei:Fortinet-307.jpg]]
|}

Die in der zweiten Ausgabezeile angezeigten Codes haben folgende Bedeutung: 
<code>0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 636F</code> 
* '''U''' ist der Prozentsatz der User-Space-Anwendungen, welche die CPU verwenden. Im Beispiel bedeutet 0U 0 % der User-Space-Anwendungen, die CPU verwenden.

* '''S''' ist % der Systemprozesse (oder Kernelprozesse), welche die CPU verwenden. Im Beispiel bedeutet 0S, dass 0 % der Systemprozesse die CPU verwenden.

* '''I''' ist % die ungenutzte CPU. Im Beispiel bedeutet 98I, dass die CPU zu 100% im Leerlauf ist.

* '''T''' ist der gesamte FortiOS-Systemspeicher in Mb. In dem Beispiel bedeutet 1866T, dass 1866 Mb des Systemspeichers vorhanden ist.

* '''F''' ist der freie Speicher in Mb. Im Beispiel bedeutet 636F, dass 636 Mb freier Speicher vorhanden sind.

* '''KF''' ist die Summe der verwendeten Shared-Memory-Seiten. Wenn zum Beispiel 32KF stehen würde, bedeutet dies, das System 32 Seiten des gemeinsamen Speichers verwendet werden.
----
Jede zusätzliche Zeile der Befehlsausgabe zeigt Informationen für jeden der auf der FortiGate laufenden Prozesse an. Die dritte Zeile der Ausgabe lautet in diesem Beispiel: 
<code>ipsengine 358 S < 0.1 5.0</code>
* '''ipsengine''' ist der Name des Prozesses. Andere Prozessnamen können newcli, sshd, cmdbsrv, httpsd, scanunitd und miglogd enthalten.
* '''358''' ist die Prozess-ID. Die Prozess-ID kann eine beliebige Zahl sein.
* '''S''' ist der Zustand in welchem sich der Prozess befindet. Es gibt folgende Prozesszustände:
** '''S''' = Sleeping
** '''R''' = Running
** '''D''' = Do not disturb
** '''Z''' = Zombie
'''R''' und '''S''' Status Informationen eines Prozesses sind normal. 
Das ein Prozess in den Status '''D''' wechselt kann für kurze Zeit vorkommen. Bleibt der Status jedoch für längere Zeit im Status '''D''' ist dies ein Indiz dass dieser Prozess nicht korrekt arbeitet. 
Ein Status '''Z''' für einen Prozess ist klar ein Indiz das dieser Prozess nicht korrekt läuft. Ein Prozess im Status '''Z''' kann nicht mit "kill" beendet werden dh., um diesen Prozess zu beenden ist ein Neustart des Devices notwendig! Um eine FortiGate neu zu starten benutze : <Code>execute reboot</code>

* '''0.1''' ist die Menge von der CPU, welche der Prozess verwendet. Der CPU-Verbrauch kann von 0.0 (für einen Prozess der schläft), bis zu höheren Werten reichen wenn ein Prozess viel CPU-Zeit benötigt.
* '''5.0''' ist die Menge an Memory, welche der Prozess verwendet. Der Speicherverbrauch kann von 0.1 bis 5.5 und höher gehen.

Während der <code>diagnose sys top</code> Befehl ausgeführt wird, kann mit folgenden Tasten eingewirkt werden:

* Taste '''q''' zum beenden.
* Taste '''c''' um die Prozesse nach Benutzung der CPU zu sortieren.
* Taste '''m''' um die Prozesse nach Benutzung des Memories zu sortieren.

Wenn Prozesse untersucht/beobachtet werden sollen kann anhand "refresh_time_sec" und "number_of_lines" der Befehl erweitert werden. Das folgenden Beispiel zeigt, wie der Befehl ausgeführt wird mit einer "refresh_time_sec" von 5 Sekunden und "number_of_lines" von 10. Dies heisst, es werden nur die Top 10 Prozesse/Dienste aufgelistet: 

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnsoe sys top 5 10
Run Time: 0 days, 2 hours and 7 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 1866T, 651F
miglogd 196 S 0.3 0.9
ipsengine 356 S < 0.1 5.0
ipsengine 357 S < 0.1 5.0
cw_acd 168 S 0.1 1.2
miglogd 195 S 0.1 0.9
src-vis 152 S 0.1 0.6
lnkmtd 161 S 0.1 0.3
newcli 568 R < 0.1 0.3
proxyd 144 S 0.1 0.3
ipsengine 359 S < 0.0 5.0
</pre>
|}

=== Wie kann ich auf der FortiGate die Prozesse nach Memorie-Auslastung auflisten? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Eine weitere Möglichkeit die Prozesse aufzulisten ist:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose sys top-summary -h
Usage: top-summary [options]

Options:
-n LINES, --num=LINES
Number of top processes to show (20 by default)
-i INTERVAL, --interval=INTERVAL
Update interval, in seconds (1 by default)
-s SORT, --sort=SORT Sort mode: [cpu_percent (default)|mem|fds|pid]
-d, --dump Dump stats to the files
-h, --help show this help message and exit
</pre>

Anhand dieser Optionen kann folgender Befehl abgesetzt werden um mit "-s mem" die Prozesse nach Memory-Nutzung zu sortieren und alle 60 Sekunden "-i 60" einen Refresh durchzuführen, sowie mit "-n 10" die Top 10 Prozesse aufzulisten: 
<code>diagnose sys top-summary '-s mem -i 60 -n 10' </code>
<pre>
# diagnose sys top-summary '-s mem -i 60 -n 10'
CPU [|||||||||| ] 25.0%
Mem [|||||||||||||||||||||||||| ] 65.0% 1227M/1866M
Processes: 10 (running=1 sleeping=135)

PID RSS CPU% ^MEM% FDS TIME+ NAME
* 130 420M 0.0 22.5 423 02:32.11 ipsmonitor [x6]
352 39M 0.0 2.1 53 00:31.92 scanunitd [x5]
100 32M 0.0 1.7 14 00:07.14 cmdbsvr
136 26M 0.0 1.4 26 00:09.10 forticron
495 24M 0.0 1.3 12 00:00.56 pyfcgid [x4]
168 23M 0.0 1.2 31 05:45.90 cw_acd
127 20M 0.0 1.1 41 00:26.25 httpsd [x11]
125 17M 0.0 0.9 65 00:12.11 miglogd [x3]
167 13M 0.0 0.7 22 00:00.98 fgfmd
591 12M 0.0 0.7 12 00:00.66 newcli [x2]
</pre>
Die Angabe "-s mem" indiziert die Spalte "MEM%" das heisst die Prozesse sollen nach "CPU%" Auslastung sortiert werden anstelle von "-s mem" die Angabe "-s cpu" benützt werden!
|}
=== Wo finde ich den ''diagnose sys top-summary'' Befehl unter FortiOS 6.4?===
[[File:fortiOS62.png|25px|link=]]

Im FortiOS 6.4.x wird man feststellen, dass das Kommando <code>diagnose sys top-summary</code> eine Fehlermeldung generiert:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose sys top-summary

command parse error before 'top-summary'
Command fail. Return code -61
</pre>
|}

Dieses Kommando wurde im FortiOS 6.4 entfernt. In den Release Notes 6.4.0 ist dokumentiert, dass der Befehl entfernt wurde:
https://docs.fortinet.com/document/fortigate/6.4.0/fortios-release-notes/517622/changes-in-cli

[[File:Fortinet-2820.jpg|750px|link=]]

=== Welche Prozesse existieren auf einer FortiGate und welche Aufgaben haben diese? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Auf der FortiGate existieren unzählige Prozesse welche für verschiedene Aufgaben zuständig sind. Diese könne zBsp anhand "diagnose sys top 5 99" eingesehen werden. Viele Prozesse existieren nur dann, wenn eine entsprechende Konfiguration durchgeführt wird. Andere existieren nur dann, wenn ein bestimmtes FortiGate Modell benutzt wird wie zBsp PoE (Power over Ethernet). Wiederum andere existieren und sind mit dem Stauts "idle" versehen da die Funktion deaktiviert wurde wie zBsp Wirless Controller "cw_acd". Nachfolgend eine Auflistung der bekannten Prozess und einer Kurzbeschreibung dieser:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Prozess:'''
| '''Beschreibung:'''
|-
| initXXXXXXXXXXX
| its job is to start other processes
|-
| zebos_launcher
| zebos launcher daemon
|-
| hp_api
| hp api
|-
| cmdbsvr
| cmdb server - update processes / configuration
|-
| uploadd
| upload daemon
|-
| adsl2plus
| adsl2plus daemon
|-
| sqldb
| sqldb
|-
| reportd
| report daemon
|-
| sql_logd
| sql log daemon
|-
| miglogd
| log daemon
|-
| chlbd
| chassis loadbalance daemon
|-
| haocd
| content cluster HA over chassis daemon
|-
| kmiglogd
| kernel log daemon
|-
| httpsd
| https daemon
|-
| pyfcgid
| python config daemon
|-
| sslvpnd
| ssl vpn
|-
| info_sslvpnd
| ssl vpn info daemon
|-
| smbcd
| smb client daemon
|-
| lcdapp
| Control the LCD panel
|-
| proxyd
| proxy daemon
|-
| imd
| IM proxy daemon
|-
| wad_launcher
| wan acceleration proxy
|-
| wad
| explicit proxy, mapi rpc
|-
| wad_diskd
| wan acceleration disk daemon
|-
| dlpfingerprint
| dlp fingerprint daemon
|-
| dlpfpcache
| dlp fingerprint cache daemon
|-
| scanunitd
| scanunit daemon
|-
| getty
| wait for console/telnet connection
|-
| mingetty tty1
| mingetty tty1 daemon
|-
| mingetty tty2
| mingetty tty2 daemon
|-
| iked
| ike daemon
|-
| nids_monitor_name
| ips monitor daemon
|-
| updated
| update daemon <= to init some shared memory segment used by other executables
|-
| merged_daemons
| merge daemon - should be split in future. There is a mantics.
|-
| fclicense
| FC license daemon
|-
| amc_monitor
| AMC monitor daemon
|-
| forticron
| crl update daemon
|-
| bypass_monitor
| bypass monitor daemon
|-
| chassis5000d
| chassis 5000 daemon
|-
| chassisd 192.168.127.254
| chassis daemon
|-
| fdsmgmtd
| fortiguard management daemon
|-
| fds_msg
| fds message daemon
|-
| snmpd
| snmp
|-
| dhcpd
| dhcp server
|-
| dhcpcd
| dhcp client
|-
| dhcprd
| dhcp relay
|-
| hatalk
| ha protocol module
|-
| haysnc
| ha synchronization module
|-
| harelay
| ha relay module for tcp
|-
| pptpd
| pptp
|-
| l2tpd
| l2tp
|-
| ipldbd
| ipldbd daemon
|-
| vsd
| virtual server daemon
|-
| acd
| aggregate controller daemon
|-
| src-vis
| source visibility daemon
|-
| pppoed
| pppoe daemon
|-
| ddnscd
| ddns client daemon
|-
| urlfilter
| URL filter daemon
|-
| ntpd
| ntp server daemon
|-
| sshd
| ssh daemon
|-
| tftpd
| tftp daemon
|-
| telnetd
| telnet daemon
|-
| authd
| authenticated daemon
|-
| fssod
| fsso daemon
|-
| quard
| quarantine daemon
|-
| rtmon
| ping server
|-
| radvd
| router adv daemon
|-
| alertemail
| alertemail daemon
|-
| dnsproxy
| dns proxy daemon
|-
| sflowd
| sflow protocol daemon
|-
| nat64d
| NAT64 daemon
|-
| radiusd
| radius daemon
|-
| notifd
| notification daemon = carrier only
|-
| gtpgkd
| gtp daemon = carrier only
|-
| mass_mmsd
| mass mms daemon, carrier only
|-
| alarmd
| alarm daemon
|-
| pptpcd
| pptp client daemon
|-
| wpad_client
| port access client daemon - atheros wifi
|-
| wpad
| port access entity daemon - prism54 wifi
|-
| eap_proxy
| epa proxy - wpa enterprise wifi
|-
| modemd
| modem daemon
|-
| dialinsvr
| dial-in server daemon
|-
| cardmgr
| pcmcia card manager daemon
|-
| getty aux
| getty aux daemon
|-
| pppoatmd
| ppp over atm daemon
|-
| adsl_mon
| adsl monitor daemon
|-
| l2tpcd
| l2tp client daemon
|-
| httpclid
| http client daemon
|-
| sessionsync
| session sync daemon
|-
| fgfmd
| fortigate/fortimanager communication daemon
|-
| wccpd
| wccp daemon
|-
| garpd
| vip gratuitous arp daemon
|-
| cw_acd
| capwap ac daemon
|-
| wpad_ac
| wpad ac daemon
|-
| cw_wtpd
| capwap wtp daemon
|-
| cw_stad
| capwap sta daemon
|-
| fortilinkd
| fortilinkd
|-
| cu_acd
| cu_acd
|-
| swctrl_authd
| Switch controller authentication daemon
|-
| vrrpd
| vrrp daemon
|-
| usbmuxd
| usbmux daemon
|-
| fsd
| forti-start daemon
|-
| proxyacceptor
| proxyacceptor daemon
|-
| proxyworker
| proxyworker daemons
|-
| sslacceptor
| sslacceptor daemon
|-
| sslworker
| sslworker daemons
|-
| imd
| imd daemons
|-
| fcnacd
| forticlient NAC daemon
|-
| stpd_name
| spanning tree protocol daemon
|-
| wiredapd
| wired ap 802.1x port based auth daemon
|-
| confsynchbd
| conf-sync heartbeat daemon
|-
| confsyncd
| conf-sync daemon
|-
| poed
| poe daemon
|-
| cbp
| cbp daemon
|-
| nsm
| routing FIB update
|-
| imi
| routing related
|-
| bgpd
| bgp
|-
| ospfd
| ospf
|-
| ospf6d
| ospfv3
|-
| pim6d
| pim multicast v6
|-
| pimd
| pim multicast
|-
| pdmd
| pim dense monde
|-
| ripd
| rip
|-
| ripngd
| ripv6
|-
| netscan
| netscan daemon
|-
| dhcp6s
| dhcp6 server
|-
| dhcp6r
| dhcp6 relay
|-
| dhcp6c
| dhcp6 client
|-
| lted
| usb lte daemon - start only if hardware has usb port and not run in vmware
|-
| newcli
| CLI commands execution - ssh, telnet
|-
| vpd
| vpn policy daemon - handle vpn traffic to know to which policy the traffic corresponds
|-
| rlogd
| reliable syslog daemon
|}

Referenz der Prozesse aus: https://kb.fortinet.com/kb/documentLink.do?externalID=FD40822

=== Wie finde ich die PID von einem bestimmten Prozess heraus?===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Die PID ist die Prozess Nummer ('''P'''rozess '''ID'''). Um einen Prozess zu stoppen muss diese angegeben werden. Damit man die Prozessnummer(n) herausfindet kann dies mit folgendem Befehl durchgeführt werden:

<Code>diagnose sys process pidof [ProzessName]</Code>

Wenn ich zum Beispiel die Prozessnummern für httpsd haben möchte gebe ich folgendes ein:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose sys process pidof httpsd
127
210
212
214
225
228
248
295
323
326
475
</pre>
|}

=== Wie kann ich auf der FortiGate einen laufenden Prozess stoppen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Folgender Befehl kann verwendet werden um einen laufende Prozesse zu stoppen: 
<code>diagnose sys kill [Signal] [Prozess-ID] </code> 
'''Beschreibung:''' 
* ''Signal'' kann eine beliebige Zahl sein. Es empfiehlt sich die '''11''' zu nehmen, weil dieses Signal eine Ausgabe an das Crashlog sendet, welches vom Fortinet-Support zur Fehlerbehebung verwendet werden kann.
* ''Prozess-ID'' ist die Prozess-ID, die vom Befehl <code>diagnose sys top</Code> aufgelistet wird. (Siehe Artikel [[FortiGate:FAQ#Wie_kann_ich_auf_einer_FortiGate_die_Prozesse_auflisten.3F|Wie kann ich auf einer FortiGate die Prozesse auflisten?]])

Mit <code>diagnose sys kill 11 956</code> wird der Prozess mit der ID 956 gestoppt.

=== Wie kann ich herausfinden, welcher Prozess auf welchem CPU Core läuft? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] ]]
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
Als Erstes müssen wir wissen, welcher Prozess welche Prozess-Nummer erhalten hat. Dies wird mit dem Befehl <code>diagnose sys top</code> ermittelt:
# diagnose sys top
Run Time: 0 days, 7 hours and 50 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 2012T, 681F
ipshelper 314 S < 0.0 3.9
cmdbsvr 124 S 0.0 3.3
ipsengine '''315''' S < 0.0 3.0
httpsd 379 S 0.0 3.0
miglogd 144 S 0.0 2.4
pyfcgid 284 S 0.0 2.3
httpsd 209 S 0.0 2.2
httpsd 380 S 0.0 2.0
reportd 163 S 0.0 2.0
httpsd 317 S 0.0 1.8
pyfcgid 286 S 0.0 1.8
forticron 155 S 0.0 1.7
httpsd 656 S 0.0 1.6
cw_acd 180 S 0.0 1.4
httpsd 1338 S 0.0 1.4
miglogd '''196''' S 0.0 1.4
|}
Wir ermitteln jetzt auf welchem CPU-Kern der Prozess ''ipsengine'' läuft. Wir haben herausgefunden, dass die Prozessnummer für ipsengine die '''315''' ist. Mit dem Befehl <Code>diagnose sys process dump [PROZESS_ID] | grep Cpu</Code> kann der Kern ermittelt werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
# diagnose sys process dump '''315''' | grep Cpu
Cpus_allowed: '''1''' <---- 0001 (binär umgerechnet).
Cpus_allowed_list: '''0''' <---- CPU Nummer '''0'''
|}

Bei einem zweiten Beispiel wollen wir vom Prozess ''miglogd'' wissen, auf welchem Kern dieser läuft. Hier ist die ProzessID die '''196'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
# diagnose sys process dump '''196''' | grep Cpu
Cpus_allowed: '''2''' <----- 0010 (binär umgerechnet).
Cpus_allowed_list: '''1''' <----- CPU Nummer '''1'''
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Hier ist ein Link um dezimale Zahlen in binäre Zahlen umzurechnen:
* https://www.matheretter.de/rechner/zahlenkonverter
|}

== System ==
=== Wie generiere ich einen TAC Report für den technischen Support von Fortinet?===
Damit der technische Support von Fortinet effizient arbeiten kann, ist es von grossem Nutzen bei einem Störungsfall den TAC Report beim Supportticket hochzuladen. In den meisten Fällen wird dieser Report sowieso eingefordert und man gewinnt Zeit indem man diesen Report gleich von Anfang an mitsendet.
Wen man den Report ausführt wird ein vordefiniertes Skript eine Reihe von Diagnose-Befehlen durchführen. Diese ermöglichen eine Momentaufnahme des aktuellen Zustands der FortiGate festzuhalten. Diese Ausgaben der Befehle können dann in eine Log Datei geschrieben, und so dem technischen Support von Fortinet zur Verfügung gestellt werden.

Im TAC Report werden folgende Daten generiert und abgelegt:

* Seriennummer des Gerätes
* Benutzte Firmwareversion
* Status der FortiGuard-Updates
* Memorie und CPU Auslastung
* Globale Konfiguration
* Hardware Features
* Interface Fehler
* Traffic Statistiken
* HA-Diagnostik
* Prozess Crash Logs

Der TAC Report kann folgendermassen generiert und heruntergeladen werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# System -> Settings
[[File:Fortinet-2727.jpg|550px|link=]]
# ganz nach unten zu Debug Logs scrollen
# Download anwählen und Datei herunterladen
[[File:Fortinet-2728.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# execute tac report
</pre>
|}

[[Datei:HowTo_FortiOS_TAC-Report.pdf]]

==Zertifikate==
=== Wie kann unter Windows 10 ein SelfSign Zertifikat erstellt werden, welches auf die Firewall geladen werden kann? ===
Unter Windows 10 kann ein entsprechendes Zertifikat mit Powershell erstellt werden. Folgende Parameter werden dazu benötigt:
<pre>
PS C:\temp> New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -DnsName "meineseite.local"
-FriendlyName "MySiteCert" -NotAfter (Get-Date).AddYears(10)

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\My
Thumbprint Subject
---------- -------
9598EC7B469ADFE74474CD75C5FEFCBF8B7EB478 CN=meineseite.local
</pre>
Um dieses Zertifikat anschliessend auch als File vom Windows Zertifikatsspeicher in ein passwortgeschütztes *.pfx-File exportieren zu können, muss erst das Passwort in einer Variablen abgelegt werden, bevor dann mittels CMDlet das Zertifikat exportiert werden kann:

<pre>
PS C:\temp> $CertPwd = ConvertTo-SecureString -String "test" -Force -AsPlainText
PS C:\temp> Export-PfxCertificate -cert cert:\localMachine\my\9598EC7B469ADFE74474CD75C5FEFCBF8B7EB478
-FilePath C:\temp\test.pfx -Password $CertPwd

Verzeichnis: C:\temp
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 27.06.2018 16:43 2749 test.pfx
</pre>

Das Zertifikat wird anschliessend wie folgt importiert:

[[file:Fortinet-2250.png|link=]]

=== Wie kann unter Windows 10 ein CA erstellt werden, welches auf die Firewall geladen werden kann? ===
# Herunterladen des Tools XCA [[Datei:setup_xca-1.4.1.zip]]
# Installieren von XCA auf einem Windows PC
# Generieren einer CA mit XCA gemäss folgender Anleitung: [[Datei:xca_howto.pdf]] (Quelle: [https://campus.barracuda.com/product/campus/doc/28475773/how-to-create-certificat barracuda.com])
# Exportieren der CA im *.pem Format
# Importieren des Zertifikates auf der Fortigate Firewall unter ''System > Certificates > Import > CA Certificate > Type=File''

== Interface ==
=== Was bedeutet die Funktion "Role" innerhalb einer Interface Konfiguration? ===

Wenn man ab dem FortiOS 5.4 im Interface die verschiedenen Konfigurationspositionen näher anschaut, fällt einem die Position "Role" auf:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Network -> Interfaces -> auf das entsprechende Interface gehen.
# Unter der Position "Role" die gewünschte Rolle auswählen
[[File:Fortinet-2667.jpg|550px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system interface
# edit [Name des entsprechenden Interface zB "internal"]
# set role [lan | wan | dmz | undefined]
# end
</pre>
|}

Nun stellt sich die Frage wobei es sich bei diesem Konfigurationspunkt handelt. Nach Auskunft von Fortinet handelt es sich hierbei um ein neues Feature unter FortiOS 5.4 das Fehlkonfigurationen auf früheren FortiOS verhindern soll. Dies wiederum bedeutet: Durch das hinzufügen einer bestimmten "Role" zu einem Interface stehen diesem bestimmte Konfigurationen nicht mehr zur Verfügung. Dadurch wird verhindert das zBsp auf einem "DMZ" Interface eine DHCP Server Konfiguration durchgeführt wird. Dabei ist wichtig zu wissen welche Konfigurationspunkte durch welche "Role" auf einem Interface entfernt werden. Nachfolgend eine Übersicht der zur Verfügung stehenden "Role" für ein Interface:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Rolen Typen'''
|-
|
'''Undefined Role:'''

Alle Optionen im WebGui sind sichtbar und können konfiguriert werden.

'''WAN Role:'''

* Das Interface dient zur Verbindung zum Internet
* Das Interface ist standardmässig auf DHCP konfiguriert
* Die folgenden Funktionen und Optionen sind in der DMZ "Role" nicht verfügbar:
** Geräte-Identifikation
** One-Arm Sniffer
** Dedizierung für Extension/FortiAP Modus
** DHCP-Server
** Security Mode und Admission Control

'''LAN Role'''

* Das Interface wird für Verbindungen mit dem lokalen Netzwerk mit Endpoints verwendet
* Die folgenden Funktionen und Optionen sind ausgeblendet (nur 5.4.0):
** Secondäre IP Adresse

'''DMZ Role'''
*Interface wird für Verbindungen zu Servernetzwerken/Server benutzt.
* Die folgenden Funktionen und Optionen sind ausgeblendet
** Secondäre IP Adresse (nur FortiOS 5.4.0)
** DHCP Server

[[File:Fortinet-2111.jpg|550px|link=]]
|}

Wir empfehlen grundsätzlich diese "Role" nicht zu benutzen und für ein Interface die Einstellung "undefined" zu benutzen wodurch alle Funktionen resp. Konfigurationen für ein Interface zur Verfügung stehen. Nach Auskunft von Fortinet sind diese "Role" im FortiOS nicht konfigurierbar dh. diese sind "hardcoded" implementiert und können nicht verändert werden.
Es stehen auf der CLI keine Befehle zur Verfügung um diese "Role" zu verändern oder abzufragen um allenfalls herauszufinden zu können welche Funktionen für eine bestimmte "Role" entfernt wurde oder zur Verfügung steht.

=== Wie kann ich die Interface Statistik auf einer FortiGate anschauen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Um die Interface Statistik anzuschauen kann über die CLI folgender Befehl eingegeben werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# get hardware nic <INTERFACE_NAME>
</pre>
''Beispiel:''
<pre>
# get hardware nic port1
Description :FortiASIC NP6 Adapter
Driver Name :FortiASIC Unified NPU Driver
Name :np6_0
PCI Slot :0000:01:00.0
irq :16
Board :FGT300d
SN :FGT************
Major ID :5
Minor ID :0
lif id :0
lif oid :130
netdev oid :130
netdev flags :1303
Current_HWaddr 00:09:0f:09:00:02
Permanent_HWaddr 90:6c:ac:17:b0:ac
phy name :port1
bank_id :1
phy_addr :0x00
lane :0
flags :220
sw_port :0
sw_np_port :0
vid_phy[6] :[0x02][0x00][0x00][0x00][0x00][0x00]
vid_fwd[6] :[0x00][0x00][0x00][0x00][0x00][0x00]
oid_fwd[6] :[0x00][0x00][0x00][0x00][0x00][0x00]
========== Link Status ==========
Admin :up
netdev status :up
autonego_setting:1
link_setting :1
link_speed :1000
link_duplex :0
Speed :1000
Duplex :Full
link_status :Up
rx_link_status :1
int_phy_link :0
local_fault :0
local_warning :0
remote_fault :0
============ Counters ===========
Rx_CRC_Errors :0
Rx_Frame_Too_Longs:0
rx_undersize :0
Rx Pkts :3130045
Rx Bytes :752876757
Tx Pkts :3430304
Tx Bytes :2363052814
Host Rx Pkts :3130032
Host Rx Bytes :691819956
Host Rx dropped :0
Host Tx Pkts :3430304
Host Tx Bytes :2348345744
Host Tx dropped :0
</pre>
|-
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# fnsysctl ifconfig <INTERFACE_NAME>
</pre>
''Beispiel:''
<pre>
# fnsysctl ifconfig port1
port1 Link encap:Ethernet HWaddr 00:09:0F:09:00:02
inet addr:198.18.0.1 Bcast:198.18.0.31 Mask:255.255.255.224
UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:3131156 errors:0 dropped:0 overruns:0 frame:0
TX packets:3431342 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:753144031 (718.3 MB) TX bytes:2363678516 (2.2 GB)
</pre>
|-
|}

===Wie konfiguriere ich ein VLAN-Interface auf der FortiGate?===

Ein VLAN-Interface kann auf der FortiGate relativ einfach konfiguriert werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu ''Network -> Interfaces -> [[file:createnew.jpg|link=]]''
# Interface Name definieren
# Alias bei Bedarf definieren (dieser Name wird in den Polices angezeigt)
# den Typ auf ''VLAN'' einstellen
# Das physikalische Interface auswählen, bei welchen das VLAN angebunden werden soll
# VLAN ID definieren und konfigurieren
# Netzwerk Konfigurationen vornehmen wie bei einem physikalischen Interface
[[file:Fortinet-2718.jpg|750px|link=]]

Die VLAN Interfaces sieht man beim physikalischen Interface wenn man auf das + klickt.
[[File:Fortinet-2719.jpg|750px|link=]]
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit "vl_1500_userlan"
set vdom "root"
set ip 172.16.18.2 255.255.255.0
set alias "vl1500-ulan_frontend"
set device-identification enable
set role lan
set interface "internal7"
set vlanid 1500
next
end
</pre>
|}

===Wie kann ich auf einem VLAN Interface eine sekundäre IP Adresse konfigurieren? ===

Bei einem VLAN Interface kann die sekundäre IP Adresse nicht einfach mit dem Befehl <Code>config secondaryip</Code> konfiguriert werden. Bevor man diesen Befehl nutzen kann, muss noch das entsprechende Feature auf dem Interface aktiviert werden. Dies wird mit dem Befehl <Code>secondary-IP {enable | disable}</Code> erreicht.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit int_vl1200
set secondary-IP enable
set interface "internal"
set vlanid 1200
config secondaryip
edit 1
set ip 172.16.17.1 255.255.255.0
next
end
next
end
</pre>
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Um auf dem WebGui die sekundäre IP zu konfigurieren muss einmal das Feature aktiviert worden sein. Danach ist es möglich auf allen Interfaces diese Option über das WebGui zu benutzen.
# Menu ''Network -> Interfaces -> das entsprechende vlan Interface editieren''
# Die Option ''Secondary IP address'' aktivieren
# Mit [[file:createnew.jpg]] kann eine neue sekundäre IP Adresse auf das VLAN konfiguriert werden.
[[file:Fortinet-2695.jpg|750px|link=]]
|}

=== Wie kann ich den MTU Wert auf einem Interface anpassen? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Der '''M'''aximum '''T'''ransmission '''U'''nit (MTU) Wert definiert die grösste, hardwareabhängige Paketgrösse gemessen in Byte, welche ein Netzwerk übertragen kann. Wenn ein Paket grösser als der MTU Wert ist, werden die Pakete vom Sender aus in kleinere Pakete aufgeteilt.
Der Standard MTU Wert auf einem FortiGate Interface ist 1500.
Es kann vorkommen, dass man diesen Wert auf dem Interface anpassen muss, weil gewisse Paket Grössen nicht mehr durch kommen. Dieses Phänomen tritt häufig bei DSL Verbindungen auf, über welche noch ein IPSec VPN Tunnel gehen. Dies zeigt sich dann anhand des Phänomens, dass der Tunnel up ist, die ICMP Pakete durch gehen (ich kriege eine Antwort über den PING vom Remote System), aber die Daten selber nicht durch den Tunnel gehen.

Die MTU-Grösse der von der FortiGate übertragenen Pakete kann angepasst werden um die Netzwerkleistung zu verbessern. Idealerweise sollte die MTU der Pakete mit der kleinsten MTU aller Netzwerke zwischen der FortiGate und dem Ziel identisch sein.
Falls die von der FortiGate gesendeten Pakete grösser sind als die kleinste MTU, werden diese zerlegt / fragmentiert, was die Übertragung verlangsamt.
Man kann leicht experimentieren, indem die MTU verringert wird um eine MTU Grösse für eine optimale Netzwerkleistung zu finden.

* '''68 bis 1500''' Bytes für den statischen Modus
* '''576 bis 1500''' Bytes für den DHCP-Modus
* '''576 bis 1492''' Bytes für den PPPoE-Modus

Grössere Frame-Grössen (falls vom FortiGate-Modell unterstützt), bis zu 9216 Byte für NP2-, NP4- und NP6-beschleunigte Interfaces sind möglich.
Diese Option ist nur für physische Interfaces verfügbar. Virtuelle Interface (vlan) welche einem physischen Interface zugeordnet sind, erben die MTU-Grösse des physischen Interfaces.

Die Interfaces gewisser FortiGate-Modelle unterstützen Frames, welche grösser als die herkömmlichen 1500 Byte sind. Jumbo-Frames werden bei FortiGate-Modellen, welche ab SOC2 (oder höher) oder NP4lite (ausser die FortiGate 30D) und bei Modellen der FortiGate 100D-Serie unterstützt.
Wenn grössere Frames über eine Route gesendet werden, müssen alle Netzwerk-Devices auf diesem Weg die Framegrösse unterstützen. Falls dies nicht der Fall ist, werden die grösseren Frames nicht erkannt und dann verworfen.

Wenn man Datentraffic mit der Standardgrösse und grösseren Frames auf demselben Interfaces hat, kann das Routing allein diese nicht auf verschiedene Wege routen, die nur auf der Frame-Grösse basieren. Man kann jedoch VLANs verwenden, um sicherzustellen, dass der Datenverkehr mit grösseren Frames über Netzwerkgeräte geroutet wird, welche die grössere Grösse unterstütz.
VLANs erben die MTU-Grösse von dem übergeordneten Interface. Das VLAN muss so konfiguriert werden, dass es beide Enden des Pfads, sowie alle Switches und Router entlang des Weges umfasst.

Die MTU-Paketgrösse kann konfiguriert werden. Wenn man eine MTU-Grösse wählt, welche grösser ist als jene die vom FortiGate-Modell unterstützt wird, kommt eine Fehlermeldung ("Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt").
In dieser Situation soll man versuchen eine kleinere MTU-Grösse zu konfigureren, bis der Wert unterstützt wird und die Pakete nicht mehr fragmentiert werden müssen.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Eine Änderung des MTU-Wertes kann den Internetzugang für eine kurze Zeit beeinträchtigen, da nach der Anpassung des Wertes ein Reboot der Hardware vorgenommen werden muss. Es wird empfohlen die MTU-Änderung in einem Wartungsfenster vorzunehmen oder den Kunden zu informieren, dass es zu einem Unterbruch kommt!
|-
|}

MTU Standardwerte:
DHCP-Verbindung: 1500
PPPoE-Verbindung: 1492
Wird eine eigene VPN-Verbindung (via IPSec) aufgebaut, so muss nach dem ermitteln der "optimalen" MTU noch -100 gerechnet werden um den für das VPN korrekte MTU-Wert zu erlangen.

Die optimale MTU kann via CLI mit folgendem Befehl ermittelt werden:
ping <<Zielhost>> -f -l 1492

Erscheint die Fehlermeldung "Paket müsste fragmentiert werden", ist der Wert noch zu hoch und muss weiter reduziert werden bis der Ping ohne Fehlermeldung durch geht.

Folgendermassen kann ich auf den Interfaces die MTU Werte anpassen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit [INTERFACE]
set mtu-override [enable|disable]
set mtu [MTU_WERT]
end
end
</pre>
'''Beispiel:'''
<pre>
config system interface
edit internal1
set mtu-ovveride enable
set mtu 1492
end
end
</pre>
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Wenn die FortiGate im transparent Modus ist muss noch folgendes beachtet werden: 
Wird auf einem Interface der MTU-Wert angepasst, muss auf '''allen''' Interface der MTU-Wert auf der FortiGate angepasst werden!
|-
|}
----
Auch interessant: 
* Mehr Informationen über die MTU: https://www.msxfaq.de/netzwerk/grundlagen/mtu.htm
* VPN Interface : [[FortiGate:FAQ#Wie_kann_ich_auf_einem_VPN_Interface_die_MTU_Werte_anpassen.3F| Wie kann ich auf einem VPN Interface die MTU Werte anpassen?]]

=== Wie kann ich auf der FortiGate ein Interface deaktivieren/aktivieren?===
Es empfiehlt sich, jene Interfaces, welche auf der FortiGate nicht verwendet werden, administrativ herunter zu fahren und diese zu deaktivieren.

Dies kann via WebGui oder über die CLI vorgenommen werden. Am besten schreibt man einen Kommentar, wann und von wem das Interface deaktiviert wurde um die Transparenz zu erhöhen.

Im WebGui werden Interfaces, welche deaktiviert wurden grau dargestellt.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu ''Network --> Interfaces --> [Interface auswählen]'' in die Interface Konfiguration navigieren.
[[File:Fortinet-2722.jpg|750px|link=]]
Ganz nach unten scrollen, dann kann man im Menupunkt ''Miscellaneos'' unter Status die Aktion anwählen:
* Enabled --> Interface aktivieren
* Disabled --> Interface deaktivieren 
Im "Comments"-Feld kann ein Kommentar eingefügt werden.
[[File:Fortinet-2723.jpg|link=]]
In der Gesamtübersicht der Interfaces erkennt man die deaktivierten Interfaces anhand dessen dass diese hellgrau geschrieben sind:
[[File:Fortinet-2724.jpg|750px|link=]]
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit [INTERFACE_NAME]
set status [up|down]
set description "[BESCHREIBUNG]"
next
end
</pre>
'''Beispiel:''' 
<pre>
config system interface
edit internal7
set status [up|down]
set description "Administrativ down 26.05.2020 - mru"
next
end
</pre>
Den Interface Status kann ich folgendermassen überprüfen:
<pre>
config system interface
edit internal7

(internal7) # get | grep status
cli-conn-status : 0
status : down <-- Interface Status
</pre>
|}

=== Was sind die Bedingungen, damit ich eine Link Aggregation konfigurieren kann? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Ein Interface ist nur unter folgenden Bedingungen für eine Link Aggregation verfügbar:

* Es handelt sich um ein physisches Interface, nicht um eine VLAN-Interface
* Das Interface ist nicht bereits Teil eines aggregierten Interface
* Das Interfaces befindet sich in der gleichen VDOM wie das aggregierte Interfaces
* Das Interface hat keine definierte IP-Adresse und ist nicht für DHCP oder PPPoE konfiguriert
* Auf dem Interface ist kein DHCP- oder Relay-Server konfiguriert
* Das Interface hat keine VLAN-SubInterfaces
* Das Interface referenziert auf keine Firewall- oder Multicast-Regel, und auf keine VIP- oder IP-Pool Objekte
* Es handelt sich nicht um ein HA-Heartbeat-Interface

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Wichtig ist, das eine Link Aggregation nur Interfaces benutzen kann, welche am gleichen NP angeschlossen sind oder durch eine ISF (Interne Switch Fabric) verbunden sind. Wie die Interfaces auf einer FortiGate verteilt sind, kann den Schematics entnommen werden.

[[Datei:Fortinet-Hardware-Schematics.pdf]] <-- Die Schematics dürfen nicht mit Endkunden geteilt werden!!
|}
'''Beispiele:''' 
In diesem Fall können die Interfaces aggregiert werden:
[[file:Fortinet-2811.jpg|750px|link=]]

In diesem Fall können die beiden 10GB Interfaces nicht aggregiert werden, da diese jeweils an einem separaten NP angeschlossen sind:

[[file:Fortinet-2812.jpg|750px|link=]]

== Switch Mode ==

== Sniffer Mode / CTAP ==
== Switch Controller ==
== Administrator ==
=== Wie richte ich auf der FortiGate ein SSH Login mittels privatem Schlüssel ein? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Damit ich mich als Administrator auf der FortiGate nicht immer mit dem Passwort authentifizieren muss, ist es möglich mich mittels einem privaten Schlüssel zu authentifizieren.

Dafür müssen zwei Schlüssel generiert werden. Zum Einen ein privater, und zum Andern ein öffentlicher Schlüssel.
Ein gutes Tool um so ein Schlüsselpaar zu generieren ist der Putty Key Generator. Dieser ist unter folgendem Link abrufbar: https://www.puttygen.com/

Wenn der Puttygenerator gestartet wurde, kann das Paar ganz einfach generiert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im PuTTy Key Generator:'''
|-
|
# Type auf RSA setzen.
# Bit Anzahl im Feld ''Number of bits in a generated key:'' angeben.
# Um den Key zu generieren den Button ''Generate'' anwählen
[[file:Fortinet-Fortinet-2701.jpg|550px|link=]]
# mit dem Maus-Cursor willkürlich und zufällig durch das Fenster bewegen, bis der grüne Balken gefüllt ist.
[[file:Fortinet-Fortinet-2696.jpg|550px|link=]]
# im Feld ''Key passphrase'' sollte man den privaten Schlüssel durch ein Passwort schützen.
# Den öffentlichen und privaten Schlüssel lokal abspeichern (''Save public key'' und ''save privat key'')
[[file:Fortinet-Fortinet-2697.jpg|550px|link=]]
|}

Nun muss der Public Key auf die FortiGate impotiert werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system admin
# edit [Administrator]
# set ssh-public-key1 "ssh-rsa [PublicKey Term]"
# end
</pre>

nach '''SSH-RSA''' muss der öffentliche Schlüssel in '''einer Linie''' hereinkopiert werden. 
Dabei ist darauf zu achten dass folgendes nicht mit kopiert wird:
<pre>
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20200327"
---- END SSH2 PUBLIC KEY ----
</pre>
Achtet darauf, dass der Public Key in einer Zeile, welche mit Anführungs-Zeichen beginnt und mit dem Schlusszeichen endet: 
'''"'''ssh-rsa ''PublicKey in einer Linie'''''"'''

'''Beispiel:'''
<pre>
# config system admin
# edit admin
# set ssh-public-key1 "ssh-rsa AAAAB3NzaC....E2MSyQ=="
# end
</pre>
|}

Nun muss noch der SSH Client mit dem privaten Key konfiguriert werden. Wir empfehlen hierzu das Tool "PuTTy" (https://www.putty.org/) zu verwenden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration im PuTTy:'''
|-
|
# unter dem Menu "Session" den Hostname und den Port (Default 22) angeben
# Connection type wird SSH angewählt.
[[file:Fortinet-Fortinet-2698.jpg|550px|link=]]
# Über das Menu ''Connection -> SSH -> Auth'' muss bei ''Private key file for authentication:'' der Standort des privaten Keys angegeben werden.
[[file:Fortinet-Fortinet-2699.jpg|550px|link=]]
----
'''Ergebniss:''' 
Wenn man sich jetzt über das Putty mit der FortiGate verbindet, muss man den Username angeben. Danach wird man automatisch ohne Passworteingabe auf der FortiGate authentifiziert.
[[file:Fortinet-Fortinet-2700.jpg|550px|link=]]
|}
----
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration für Linux oder Mac OS X:'''
|-
|
'''Schlüsselpaar generieren:''' 
Folgendermassen kann man in der Konsole ein Schlüsselpaar generieren:
<pre>
ssh-keygen -t rsa -b 4096
</pre>
----
Unter Linux oder Mac OS X kann man sich folgendermassen auf die FortiGate über SSH verbinden:
<pre>
ssh -i .ssh/key_rsa username@host
</pre>
''.ssh/key_rsa''' bezieht sich auf den Pfad in welchem der private Schlüssel gespeichert wurde.

'''Beispiel:'''
<pre>
ssh -i .ssh/key_rsa admin@10.60.60.2
</pre>
|}

=== Wie kann ich für den Administrator "admin" das Passwort zurücksetzen wenn ich dieses vergessen habe? ===

Um ein Passwort des standard Administrators "admin" neu zu setzen wenn dies nicht mehr bekannt ist, gelten folgende Voraussetzungen:

* Seriennummer des Devices muss bekannt sein (Rückseite des Gerätes) zBsp FGT60E4613015338
* Das FortiGate Device muss neu gestartet werden (Strom aus/ein)
* Der Zugriff muss lokal über den Konsolen-Port erfolgen (RS-232)

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Um das Passwort für den standard Administrator "admin" zurück zu setzen muss ein Zugriff via einen seriellen Console-Port (RS-232) sicher gestellt werden:

[[file:Fortinet-2668.jpg|px500|link=]]

<pre>
8 bits
no parity
1 stop bit
9600 baud
Flow Control = none
</pre>
|-
|
Nach dem man mit der FortiGate über den Konsolen-Port verbunden ist, muss die FortiGate neu gestartet werden. Dies muss über einen Hardware-Reboot (Strom ausschalten, Strom einschalten) geschehen. Wenn auf der CLI die Loging Aufforderung kommt muss man sich relativ schnell mit dem User ‘’’maintainer’’’ und dem Passwort '''bcpb[Serie Nummer der FortiGate]''' identifizieren. Es ist darauf zu achten, dass die Serienummer in GROSSBUCHSTABEN geschrieben wird.

''Tipp:'' bcpb[SERIENUMMER] in ein Textfile schreiben und kopieren, damit das Passwort mittels copy/ paste eigegeben werden kann.
<pre>
User = maintainer
Password = bcpbFGT60E4613015338
Welcome!
</pre>
|-
|
Nun kann das Passwort des standard Administrators "admin" neu konfiguriert werden:
<pre>
# config system admin
# edit admin
# set password [neues Passwort]
# end
</pre>
|}

Dieser Vorgang wird nach 2 Minuten deaktiviert. Dies bedeutet dass nach einem "power on" innerhalb 2 Minuten eingeloggt werden muss da das Login anhand des Users "maintainer" nach 2 Minuten deaktiviert wird. Dieser Vorgang wird auf jedem Fortinet Device benutzt um das Passwort des standard Administrators "admin" wiederherzustellen. Es gibt keine andere Möglichkeit dieses Passwort via Remote Zugriff, zBsp SSH, wiederherzustellen! Diese Funktion für den User "maintainer" resp. dessen Login kann unter der globalen Konfiguration im FortiOS deaktiviert werden. Wird dies durchgeführt gibt es keine Möglichkeit mehr das Passwort des standard Administrators zurück zu setzen:

Es ist möglich den Maintainer Zugriff für das Gerät zu deaktivieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set admin-maintainer [enable | disable]
# end
</pre>
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Wenn der admin-maintainer deaktiviert wird, gibt es '''keine Möglichkeit''' mehr, dass Passwort zu resetten. Auch der technische Support von Fortinet hat keine Möglichkeit mehr, dass Passwort zurückzusetzen!
|-
|}

=== Wie kann ich einen Login Disclaimer auf der FortiGate konfigurieren?===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Der Loging Disclaimer ist standartmässig auf der FortiGate nicht aktiv. Möchte ich, dass beim einloggen auf die FortiGate eine Warnmeldung erscheint, muss ich dies über die CLI konfigurieren. 
Es gibt zwei Varianten:

'''1. Eine Warnmeldung bevor das Loging-Prompt erscheint (WebGui oder CLI):'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set pre-login-banner [enable | disable] --> enable für einschalten.
end
</pre>
----
Bevor ich jetzt auf das Anmeldefenster komme wird die vordefinierte Warnmeldung angezeigt:

[[File:Fortinet-2503.jpg|550px|link=]]

Der User muss akzeptieren, dass er auf das Anmeldefenster kommt.
|}

'''2. Eine Warnmeldung nachdem ich mich auf die FortiGate eingeloggt habe:'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set post-login-banner [enable | disable] --> enable für einschalten.
end
</pre>
----
Nach dem Einloggen wird dem User eine Warnmeldung angezeigt, bei welcher der User bestätigen muss.

[[File:Fortinet-2504.jpg|link=]]

|}

Die Templates können auch nach eigenen Wünschen angepasst werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# System -> Replacement Messages
# Extendet View anwählen
# die beiden Templates sind unter dem Titel "Administrator" abgelegt.
## Post-login Disclaimer Message : Meldung nach dem einloggen auf die FortiGate
## Pre-login Disclaimer Message : Meldung vor dem Logging-Fenster
[[File:Fortinet-2505.jpg|link=]]
|-
|
# Das gewünschte Template klicken um es zu editieren.
# In der linken Hälfte sieht man das Ergebnis, auf der rechten Seite kann der Text formatiert werden.
# Mit dem "Restore Default" Button kann wieder das default Template hergestellt werden.
# Mit "Save" kann die Änderung bestätigt werden.
[[File:Fortinet-2506.jpg|link=]]
|-
|}

== User / Gruppe ==
=== Wie konfiguriere ich eine Usergruppe? ===

[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# User & Device -> User Groups [[File:createnew.jpg|link=]]
# Für eine lokale Gruppe auf der FortiGate den Type "Firewall" auswählen
# Gruppenname definieren
# Members auf das + und die gewünschten User hinzufügen
# mit OK die Gruppe anlegen
[[File:Fortinet-2532.jpg|link=]]
|-
|
# In die gewünschte Policy gehen
# Die Usergruppe muss in der Policy bei den Source unter ''User'' ausgewählt werden
# Der Rest der Policy wie gewohnt konfigurieren.
[[File:Fortinet-2533.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Die User können mit folgendem Syntax der Gruppe "USER" "NEXT-USER" .... "END-USER" hinzugefügt werden.
<pre>
config user group
edit "gr-Wartung"
set member "user1" "user2"
next
end
</pre>
----
Bei einer Firewall Policy wird die Usergruppe mittels folgendem Befehl <Code>set Groups <GRUPPEN_NAME> </Code> hinzugefügt
<pre>
config firewall policy
edit <POLICY_ID>
set name "O_Wartung->Internet"
set srcintf "internal"
set dstintf "wan1"
set srcaddr "net-192.168.1.0-24"
set dstaddr "net-0.0.0.0-00"
set action accept
set schedule "always"
set service "HTTP" "HTTPS"
set logtraffic all
set groups "gr-Wartung"
set nat enable
next
end
</pre>
|-
|}

Im Monitor können authentifizierte User angeschaut werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über den Menupunkt ''Monitor -> Firewall User Monitor'' können die momentan eingeloggten User eingesehen werden:
[[File:Fortinet-2534.jpg|link=]]
----
Um einen User zu deauthorizieren, muss der entsprechende User mittels Rechtsklick angewählt werden und dann der Button ''Deauthenticate'' selektiert werden.
[[File:Fortinet-2535.jpg|link=]]
|}

=== Wie eröffne ich einen User für die Zweifaktor Authentifizierung über SMS? ===

[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Damit es eine optimale Sicherheit bei der User-Authentifizierung gibt, ist die Möglichkeit einen Token anzubinden eine sehr gute Lösung. Dabei gibt der User sein Passwort ein und bekommt noch einen zweiten Faktor zugesendet. Es gibt dabei die Variante, welche dem User eine Textnachricht auf sein Mobile Gerät sendet. Der User muss diesen Zusatz mit eingeben um eine erfolgreiche Authentifizierung zu erlangen. Auf der FortiGate wird die SMS Authentifizierung beim User konfiguriert. Wir haben die Möglichkeit den kostenpflichtigen FortiGuard SMS Dienst von Fortinet zu nutzen.

[[FortiGate:FAQ#Wie_kann_ich_den_Lizenzkey_f.C3.BCr_den_FortiGuard_SMS_Service_auf_der_FortiGate_einlesen.3F]]

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# User & Device -> User Definition [[File:createnew.jpg|link=]]
# Local User auswählen um den User auf der FortiGate zu erfassen
# Next
[[File:Fortinet-2525.jpg|750px|link=]]
----
# Username definieren
# Passwort für den User definieren
# Next
[[File:Fortinet-2526.jpg|750px|link=]]
----
# optional kann eine Email-Adresse angegeben werden
# SMS Schalthebel aktivieren
# "Contry Dial Code" auf das gewünschte Land setzen
# Phone Number wird die Mobile Telefonnummer ohne Null voraus angegeben. Die Mobile Nummer muss im folgenden Format konfiguriert werden: [Ländercode][Mobilenummer ohne Null voraus] -> z.B. 079 123 45 67 wird so hinterlegt : 41791234567
# Next

'''Hinweis:''' Der Parameter ''set two-factor sms'' muss über die CLI konfiguriert werden.
[[File:Fortinet-2527.jpg|750px|link=]]
----
# Wenn eine Usergruppe vorhanden ist, kann diese über den Schalter "User Group" ausgewählt werden, so wird der User direkt dieser Gruppe hinzugefügt
# Submit um den User fertig einzurichten
[[File:Fortinet-2528.jpg|750px|link=]]
----
Jetzt muss der User bei der entsprechenden Regel in die Source eingefügt werden.
# Policy Source auf User gehen und den User oder die Gruppe auswählen
# Die Policy wie gewohnt einrichten (Destination Services NAT usw...)
[[File:Fortinet-2529.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Den User konfigurieren:
<pre>
config user local
edit "user1"
set type Password
set two-factor sms
set sms-phone "41791234567"
set password "password"
next
end
</pre>

{| class="wikitable" style="width:80%"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Der <code>set two-factor sms</code> Parameter ist wichtig, damit dem User mitgeteilt wird, dass die SMS Zweifaktor-Authentifizierung aktiviert wird. Leider ist diese Option im WebGui beim User erst ersichtlich, wenn sie auf der CLI einmal konfiguriert wurde.
|-
|}
----
Bei der Policy muss der User in der Source angegeben werden, damit die Authentifizierung gezogen wird. In dieser Regel sind "ANY Services" konfiguriert. Für einen produktiven und sicheren Betrieb empfiehlt sich nur die Services freizuschalten, welche auch benötigt werden. Weiter empfiehlt es sich das entsprechende UTM Features zu aktivieren um sich optimal abzusichern.
<pre>
config firewall policy
edit <POLICY-ID>
set name "O_UserAuthent->Internet"
set srcintf "internal"
set dstintf "wan1"
set srcaddr "net-192.168.1.0-24"
set dstaddr "net-0.0.0.0-00"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set users "user1"
set nat enable
next
end
</pre>
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Resultat:'''
|-
|
Wenn wir jetzt eine Anfrage über den Webbrowser in das Internet vornehmen wird ein Loging Fenster im Browser erscheinen:

[[File:Fortinet-2530.jpg|750px|link=]]
Nachdem sich der user1 mit seinem Passwort authentifiziert hat, kommt noch die SMS abfrage. Der User hat jetzt 60 Sekunden Zeit den SMS-Code einzutippen. Nach dieser Zeit ist der ausgelieferte Code erneut ungültig.
[[File:Fortinet-2531.jpg|750px|link=]]
|}

== Firewall Regeln==
=== Was ist eine Local-In Policy? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Policies steuern den Traffic durch die FortiGate. Die FortiGate stellt auch die Möglichkeit, den internen Traffic (Management-Traffic) zu kontrollieren.
Jedes Interface enthält eine Konfiguration für den erlaubten Zugriff, um den Managementzugriff für bestimmte Protokolle zu ermöglichen. Lokale Firewall Regeln werden automatisch eingerichtet, um den Zugriff für alle Benutzer zu ermöglichen. Lokale Firewall-Regeln gehen noch einen Schritt weiter, indem sie den Benutzerzugriff aktivieren oder einschränken. 
Man kann lokale Firewall-Regeln für den administrativen Zugriff, das Routing, die zentrale Verwaltung durch den FortiManager, oder weitere Zwecke benutzen:
* SNMP
* Syslog
* Alert Email
* FortiManager Remote IP
* FortiGuard Services
* FortiAnalyzer Logtransfer
* NTP
* DNS
* AutorisierungS Anfragen wie RADIUS
* FSSO

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Local-In-Firewall Regeln können nur in der CLI erstellt oder bearbeitet werden. Die vorhandenen Local-In-Policies werden im WebGui angezeigt. Damit man die automatisch angelegten LocalIn Firewallregeln sieht muss man das Feature freischalten:
# Menu ''System -> Feature Visibiltiy -> Local In Policy'' aktivieren.
# Danach kann man unter ''Policy & Objects'' das Menu ''Local In Policy'' finden.
[[File:Fortinet-2662.jpg|250px|link=]]
|- style="background:#89E871"
|'''Konfiguration über die CLI:'''
|-
|
<pre>
# config system settings
# set gui-local-in-policy enable
# end
</pre>
|}

Um das ganze zu veranschaulichen ein kleines Beispiel:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Wir konfigurieren auf dem Interface (internal) die Services PING(icmp 8), HTTPS (tcp443), SSH(tcp22) und FMG-Access(tcp541).
[[File:Fortinet-2663.jpg|550px|link=]]
Sobald wir diese Management Methoden konfiguriert haben und die Interface Konfiguration verlassen, sehen wir, dass in den LocalIn auf dem Interface internal die entsprechenden Ports geöffnet sind:
[[File:Fortinet-2664.jpg|750px|link=]]
Der HTTPS wird als TCP4443 (Admin Port) im Tap ''Authentication'' angezeigt und ist auf diesem Screenshot nicht ersichtlich!
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Die manuell konfigurierten Local-In Firewall Regeln werden im WebGui nicht angezeigt!
|-
|}

=== Wie kann ich eine manuelle Local-In Policy konfigurieren? ===
[[File:fortiOS54.png|25px|link=]] [[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Manuell angelegte Local In Policy sind von der Hyrarchie her prioritär der automatisch angelegten Local In Policies. Es ist jedoch nicht möglich, die automatischen Local In Policies zu manipulieren. Durch eine manuelle Local In Policy kann sie aber übersteuert werden. 
Manuelle Local In Policies können nur über die CLI konfiguriert werden. Dies funktioniert wie folgt:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config firewall [local-in-policy | local-in-policy6]
# edit [Policy ID definieren]
# set intf [Source Interface]
# set srcaddr [Source IP Adresse]
# set dstaddr [Destinations IP Adresse]
# set action [accept | deny]
# set service [Service Name]
# set schedule [Gültigkeit der Policy]
# set comments "[Fakultativer Kommentar]"
# end
</pre>

Falls ich das HA-Management Interface als dediziertes Management Interface benutzen will, muss ich dies in der entsprechenden Local-In Policy mit dem Befehl <code>set ha-mgmt-intf-only enable</code> konfigurieren.
|}
Es ist darauf zu achten, dass die Objekte welche benutzt werden, im Vorfeld konfiguriert worden sind (Beispiel Source und Destinations Netze / Host) 
In diesem Beispiel soll der SMB Traffic vom Interface internal7 mit dem Source Netz 10.10.250.0/24 auf sämtliche Netze blockiert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config firewall local-in-policy
# edit 1
# set intf internal7
# set srcaddr net-10.10.250.0-24
# set dstaddr all
# set action deny
# set service SMB
# set schedule alsways
# set comments "Block SMB from internal 7"
# end
</pre>
|}

Um die Local In Policy zu deaktivieren, oder wieder zu aktivieren muss dies in der Policy selber konfiguriert werden: 
Die Local-In Policy aktiviert man mit: <code>set status enable</code> 
Die Local-In Policy deaktiviert man mit:<code>set status disable</code> 

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config firewall local-in-Policy
# edit [Policy_ID]
# set status [enable | disable] -> aktivieren oder deaktivieren
# end
</pre>
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Die manuell konfigurierten Local-In Firewall Regeln werden im WebGui nicht angezeigt!
|-
|}

== Policy Rule ==

== Session ==
=== Was für Informationen werden in der Session Liste angezeigt? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Mit dem Befehl <code> diagnose sys session list</code> werden auf der FortiGate alle Session, inklusive den dazugehörigen Informationen angezeigt.

Im "output" ist jede einzelne aktive "Session" mit deren Details aufgeführt. Als Beispiel nachfolgender Output einer Session:

Im Output wird jede aktive Session mit den dazugehörigen Details angezeigt.

'''Beispiel:'''
<pre>
session info: proto=6 proto_state=02 duration=11 expire=21 timeout=3600 flags=00000000 sockflag=00000000 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
ha_id=0 policy_dir=0 tunnel=/
state=local nds
statistic(bytes/packets/allow_err): org=120/2/0 reply=176/2/1 tuples=2
orgin->sink: org out->post, reply pre->in dev=0->7/7->0 gwy=0.0.0.0/0.0.0.0
hook=out dir=org act=noop 198.18.0.1:21164->198.18.0.90:514(0.0.0.0:0)
hook=in dir=reply act=noop 198.18.0.90:514->198.18.0.1:21164(0.0.0.0:0)
pos/(before,after) 0/(0,0), 0/(0,0)
misc=0 policy_id=0 auth_info=0 chk_client_info=0 vd=0
serial=002606e7 tos=ff/ff ips_view=0 app_list=0 app=0
dd_type=0 dd_mode=0
npu_state=00000000
</pre>

Die Bedeutung der vielen Positionen wird in der folgenden Tabelle erklärt:

{| class="wikitable" style="width:80%"
|-
| style="width:100px; background-color: #89E871;"|
'''Parameter'''
| style="background-color: #89E871;"|
'''Beschreibung'''
|-
|
'''proto=6'''
|

Gibt an um welches Protokoll es sich handelt, zBsp 6 = TCP. Weitere Informationen zu den Protokoll-Nummern siehe auch nachfolgender Artikel:

[[Allgemein:Assigned-Internet-Protocol-Numbers-RFC]]
|-
|
'''proto_state=02'''
|
Die erste Stelle des "proto_state" gibt an ob diese Session Clientseitig eine "proxy_based" Inspection ist. Wenn es sich um keine "proxy_based"
Inspection handelt wird eine "0" gesetzt. [[FortiGate:FAQ#Was_genau_bedeuten_die_beiden_Inspektionsmoden_auf_der_FortiGate.3F_Proxy_vs_Flow|Unterschied Proxy und Flow Inspektion]]

Die zweite Stelle gibt Server Seitig den "state" an. (in unserem Beispiel "2") 
Gültigen "states" sind:

[[Datei:Fortinet-1418.jpg]]

[[Datei:Fortinet-1419.jpg]]

'''Proto_state Feld für TCP'''
Weil eine FortiGate eine "stateful firewall" ist überwacht das FortiOS ebenfalls die "reply session". Aus diesem Grund verfügt der "proto_state=OR" dh.
Orginal "direction" und Reply "direction":

[[Datei:Fortinet-2153.jpg]]

'''Proto_state Feld für SCTP'''
Ab FortiOS 4.2 unterstützt ein FortiGate Device resp. FortiOS ebenfalls "stateful firewalling" für SCTP:

[[Datei:Fortinet-2154.jpg]]

'''Proto_state Feld für UDP'''
Obwohl UDP ein "sessionless" Protokoll darstellt überwacht ein FortiOS für UDP 2 Stati:

'''State''' '''Value'''
UDP Reply not seen 0
UDP Reply seen 1

'''Proto_state Feld für ICMP (proto 1)'''
Für ICMP existiert kein Status und ein FortiOS zeigt für ICMP immer "proto_state=00"
|-
|
'''expire=21'''
|
Diese Position gibt an wie lange die Session noch gültig ist bis diese gelöscht wird, resp. abgelaufen ist (TTL = time to live).
|-
|
'''origin-shaper=''' 
'''reply-shaper=''' 
'''per_ip_shaper='''
|
Gibt an ob ein Traffic Shaper benutzt wird. Wenn ein Traffic Shaper benutzt wird werden Informationen zur Priorität und Bandbreite ausgegeben.
Beispiel:
<pre>
origin-shaper=OutShapper prio=2 guarantee 12800Bps max 128000Bps traffic 92Bps
reply-shaper=InShaper prio=4 guarantee 2560Bps max 25600Bps traffic 125Bps
per_ip_shaper=PerIPShaper
</pre>
|-
|
'''state=may dirty none app ntf'''
|
Der "state" indiziert die "session flags". Dazu nachfolgende Liste der meistgebrauchten "session flags":
{| class="wikitable" style="width:80%"
|-
| style="background-color: #89E871;"|
'''Session Flag'''
| style="background-color: #89E871;"|
'''Beschreibung'''
|-
| log
| Session is being logged
|-
| local
| Session is to/from local stack (orgin or terminated from FortiGate)
|-
| ext
| Session is created by a firewall session helper
|-
| ndr
| Session will be checked by IPS signature
|-
| nds
| Session will be checked by IPS anomaly
|-
| br
| Session is being bridged (TP mode)
|-
| npu
| Session can be offloaded to NPU
|-
| wccp
| Session is handled by WCCP (Version 4.0)
|-
| npd
| Session cannot be offloaded to NPU
|-
| redir
| Session is being processed by an application layer proxy
|-
| authed
| Session was successfully authenticated
|-
| auth
| Session required (or required) authentication
|-
|}
Grundsätzlich wird jedes "erste" Packet über die Firewall Policy kontrolliert. Wenn dieses Packet über die Firewall Policy die "Erlaubnis" erhält wird eine "session" erstellt, welche als "may_dirty" (flag)bezeichnet wird. Wenn eine Änderung in der Firewall Policy durchgeführt wird, so werden "alle" existierenden "sessions" von "may_dirty" auf "dirty" gesetzt. Dadurch werden sämtliche Packete ab diesem Zeitpunkt nicht mehr über den NPU gesendet sondern zum CPU. Der CPU kontrolliert abermals das Packet in der Firewall Policy und wenn dieses zugelassen wird, werden diese "sessions" auf "may_dirty" gesetzt. Wenn dieses Packet in der Firewall Policy nicht erlaubt wird werden diese Packete verworfen und mit einem Flag "block" versehen. Danach verbleibt die "session" im Memory bis diese den TTL resp. "expire" erreicht. So kann die FortiGate über die "flags" "dirty" und/oder "may_dirty" erkennen/evaluieren ob nach einer Modifikation der Firewall Policy diese weiterhin erlaubt werden (may_dirty) resp. die entsprechende "session" geblockt werden (block).
|-
|
'''policy_id=0'''
|
Gibt an welche Firewall Policy-ID benutzt wurde. Die Firewall Policy-ID 0 indiziert eine "Local-In Policy".
|-
|
'''statistic'''
|
Steht für den Packet Counter welcher auch über die Firewall Policy der FortiGate ersichtlich ist. 
Beispiel: 
<pre>
statistic (bytes/packets/err): org=3408/38/0 reply=3888/31/0 tuples=2
</pre>
|-
|
'''hook=out dir=org''' 
'''hook=in dir=reply'''
|
Gibt an wie die Packete für "out" und "in" verarbeiet werden dh., wenn zBsp NAT (Network Address Translation) benutzt wird, so werden die Positionen "act=snat" sowie "act=dnat" aufgeführt. Aus den nachfolgenden Informationen kann eruiert werden wie NAT durchgeführt wurde. Nachfolgend ein Beispiel mit NAT:

<pre>
hook=post dir=org act=snat 100.1.10:50194 -> 216.58.216.110:80(10.200.1.1:50194)
hook=pre dir=reply act=dnat 216.58.216.110:80 -> 10.200.1.1:50194(10.0.1.10:50194)
</pre>
|-
|
'''npu_state=00000000'''
|
Zeigt ob eine Session über "hardware acceleration" beschleunigt wurde. Wenn dies der Fall ist resp. möglich wäre, wird "npu info:" aufgeführt mit den entsprechenden "counters" für die "hardware acceleration" aus denen man entnehmen kann ob die Session über die Hardware-Beschleunigung abgearbeitet wurde.

Beispiel:
<pre>
npu info: flag=0x00/0x00, offload=0/0, ips_offload=0/0, epid=0/0, ipid=0/0, vlan=0/0
</pre>
|-
|
'''no_ofld_reason'''
|
Zeigt den Grund wieso eine Session nicht über "hardware acceleration" beschleunigt wird.

Beispiel:
<pre>
no_ofld_reason: redir-to-av redir-to-ips non-npu-intf
</pre>
|-
|
'''user=''' 
'''group=''' 
'''authed'''
|
Wenn eine Session für eine Verbindung im Zusammenhang mit Authentifizierung erstellt wird, so wird der "user=" erstellt und in der Gruppenzugehörigkeit "group=" das "authed" Flag gesetzt
|-
|}
Referenz: http://kb.fortinet.com/kb/documentLink.do?externalID=FD30042

=== Was bedeutet das Flag dirty in der Session Liste? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Wenn die FortiGate das erste Paket für eine neue Session (Beispielsweise ein SYN-Paket) empfängt, bewertet das Gerät, ob der Datentraffic auf der Grundlage der Firewalregeln zugelassen oder nicht zugelassen werden soll.
Solange es keine Änderungen an den Firewalregeln und andere Bedingungen gibt, wird diese Bewertung nur für das erste Paket der Session durchgeführt.

Wenn der Verkehr durch eine Firewallregel zugelassen wird, erstellt die FortiGate eine Session und kennzeichnet diese als '''may_dirty'''.
Wird nachher eine Firewalregeln oder eine Bedingung geändert welche eine Zustandsänderung auslöst, werden alle bestehenden Sessionen mit dem '''may_dirty'''-Flag als '''dirty''' gekennzeichnet.

Dies signalisiert der FortiGate, dass das nächste Paket der Session neu bewertet werden muss.
Wenn die Session immer noch erlaubt/gültig ist und der zu erlaubenden Firewallregel entspricht, wird das Dirty-Flag entfernt und das Flag '''may_dirty''' beibehalten.

Wenn die Session blockiert wird, wird sie als blockiert gekennzeichnet und verbleibt in der Sessionstabelle, bis diese Session abläuft.
Jedes Paket, das einer Session mit dem Block-Flag entspricht, wird gelöscht.

Nachfolgend sind die Bedingungen aufgeführt, die dazu führen, daß eine Session als 'dirty' markiert wird, wenn:
# Jegliche Änderungen an einer Firewallregel.
# Änderungen am Routing.
# Sämtliche netzwerkbezogenen Konfigurationsänderungen.

=== Wie kann ich die Session Timer auf der FortiGate anpassen um System Ressourcen einzusparen? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Jeder Traffic, welcher durch die FortiGate fliesst wird einer Firewall Session zugeordnet. Diese Session wird auf der FortiGate erstellt und gepflegt. Je weniger Sessions die FortiGate verwalten muss, desto weniger CPU Ressourcen werden für die Behandlung der Sessions benötigt. Es gibt verschiedene Möglichkeiten die Anzahl an gleichzeitigen Sessions zu reduzieren:

Wenn der Trafficflow gestoppt wird, bleibt die dazugehörige Session in der FortiGate bis ein bestimmter Timer abläuft. Dieses Verhalten gilt für TCP und UDP Sessions (es sind verschiedene Timer daran beteiligt). Die Reduzierung des Timers würde helfen, die Session früher wieder loszuwerden. TCP gebundene Session im half-open, half-close, oder in etablierte Sessions können also früher wieder freigegeben werden.

Dies kann man global wie folgt konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system global
set tcp-halfclose-timer 30 [ default 120 s ]
set tcp-halfopen-timer 30 [ default 60 s ]
set tcp-timewait-timer 0 [ default 120 s ]
set udp-idle-timer 60 [ default 120 s ]
end
</pre>
----
<pre>
config system session-ttl
set default 300 [ default 5000 ]
end
</pre>
|}
Es gibt Protokolle welche eher viele Session generieren, da sie auf kurzen Transaktionen basieren. Zum Beispiel DNS ist ein solches Protokoll. In diesem Fall wird empfohlen den Timer für das Protokoll auf einen geeigneten, aber kurzen Wert zu ändern.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config port
edit 0
set protocol 17
set timeout 10
set end-port 53
set start-port 53
end
end
</pre>
|}

== Inspection Modes ==
===Was genau bedeuten die beiden Inspektionsmodi auf der FortiGate? (Proxy vs. Flow) ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Jede Fortigate Firewall hat zwei mögliche Betriebsmodi, mit welchen der Datenverkehr inspiziert werden kann:

{| class="wikitable style="width:1250px"
|-
| style="text-align:left ; width:150px" |
| style="background-color: #89E871; text-align:left ; width:550px" | '''Flow-Based'''
| style="background-color: #89E871; text-align:left ; width:550px" | '''Proxy-Based'''
|-
| style="vertical-align:top ; background-color: #89E871; text-align:left" |'''Beschreibung'''
| style="vertical-align:top" |
Prüft den Datenverkehr on-the-flow. Hier wird hauptsächlich Flow-Based-Pattern-Matching verwendet, um Sicherheitsbedrohungen innerhalb des Datenflusses zu identifizieren.

Es besteht eine Session
| style="vertical-align:top" |
Puffert den Datenverkehr und überprüft diesen anhand der Informationen aus den vollständigen Paketen. Die Entscheidung über das weitere Vorgehen mit einem Datenstrom wird somit immer anhand der vollständigen Datenpakete vorgenommen. In diesem Betriebsmodus schreibt die Firewall die Paketheader vor dem weiterleiten neu.

Es gibt zwei Session:
* Session vom Client zur FortiGate
* Session von der FortiGate zum Server
|-
| style="vertical-align:top ; background-color: #89E871; text-align:left" |'''Schema'''
| style="vertical-align:top" |
[[File:Fortinet-2507.jpg|link=]]
| style="vertical-align:top" |
[[File:Fortinet-2508.jpg|link=]]
|-
| style="vertical-align:top ; background-color: #89E871; text-align:left" |'''Vor/Nachteile'''
| style="vertical-align:top" |
+ Der Datenverkehr wird ohne Verzögerung ausgeliefert 
+ Zeitsensitive Applikationen funktionieren in diesem Modus besser / stabiler 
- Es stehen nur gewisse Security-Profile-Typen zur Verfügung 
- Die zur Verfügung stehenden Funktionalitäten innerhalb des Security Profiles sind eingeschränkt 
- Der "Level of Security" ist etwas tiefer
| style="vertical-align:top" |
+ Entscheidungen im Proxy-Mode fallen detaillierter aus 
+ Es stehen mehr Profil-Typen zur Verfügung 
+ Es sind weniger False-Positives zu verzeichnen 
- Der Performancebedarf fällt höher aus 
- Für die Clients können Latenzen oder TimeOuts entstehen 

|}

Eine bewusste Konfikguration zwischen Flow- und Proxy-Modus ist hilfreich, wenn sichergestellt werden soll, dass ausschliesslich der Flow-Inspektionsmodus verwendet werden soll. Die konkreten Funktionsunterschiede zwischen dem Proxy- und Flowbased Inspectionmode können der Fortinet-Hilfe entnommen werden:
* http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-getting-started/7-inspection-mode/flow-vs-proxy-inspection-mode.htm

=== Wie kann der Inspection Mode einer FortiGate bis FortiOS 6.0 geändert werden?===
[[File:fortiOS60.png|25px|link=]] 
Ab FortiOS 6.0 wird der Inspection Mode pro Firewall oder auf einer mit VDOMs konfigurierten Firewall pro VDOM global angepasst.

Im GUI ist diese Konfiguration unter ''System > Settings > Inspection Mode'' zu finden.

[[Datei:fortigate-2238.png|link=]]

In der CLI kann dieser Konfigurationspunkt wie folgt angepasst werden:

<pre>
fg-lab # config system settings
fg-lab (settings) # show
config system settings
set inspection-mode flow
...
</pre>
Das Überschreiben dieser globalen Einstellung von Flow nach Proxy führt dazu, dass in jedem Security Profile auf der gesamten Appliance/VDOM der Inspection Mode ebenfalls auf die hier ausgeführte Einstellung umgestellt wird. Das überschreiben dieser Option von Proxy nach Flow führt jedoch nicht dazu, dass diese Einstellung in jedem Security Profil überschrieben wird.

=== Wie kann der Inspection Mode einer FortiGate ab FortiOS 6.2 geändert werden?===

[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] ]]

Im Gegensatz zu den Versionen 5.4 - 6.0 wird der Inspektionsmodus nicht mehr als globaler Parameter definiert, sondern über die Policy gesteuert. Die FortiGate wird in der Version 6.2 immer im Flow-Modus sein. Soll mit der proxybasierten Inspektion gearbeitet werden, so muss diese in der jeweiligen Policy konfiguriert werden.

====Proxymodus====

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
In die entsprechende Policy gehen und dann den Inspektions-Modus auf Proxy einstellen. 
Folgende UTM-Features sind im Proxy-Modus unterstützt:
* AntiVirus
* Web Filter
* DNS Filter
* Application Control
* IPS
* Email Filter
* DLP Sensor
* ICAP
* WAF - Web Applikation Firewall
[[File:Fortinet-2524.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config firewall policy
edit [Policy-ID] --> Policy ID eingeben zBsp edit 2
set inspection-mode proxy
next
end
</pre>
|-
|}

====Flow Modus====

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Defaultmässig ist in der Policy der Flow Inspektionsmodus aktiviert. Falls man von Proxy auf Flow zurückstellen will kann dies in der entsprechenden Policy vorgenommen werden. 
Folgend UTM-Features sind im Flow-Modus unterstützt:
* AntiVirus
* Web Filter
* DNS Filter
* Application Control
* IPS
[[File:Fortinet-2523.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config firewall policy
edit [Policy-ID] --> Policy ID eingeben zBsp edit 2
set inspection-mode flow
next
end
</pre>
|-
|}

==== Flow Modus - NGFW ====

Was hingegen noch immer global eingestellt wird ist der NGFW Modus. Standartmässig ist dieser auf Profile-based eingestellt. Dies bedeutet, dass UTM Profile erstellt werden und diese auf den Policies angewendet werden. Der Policy-based Modus bedeutet, dass Applikation und Webfilter direkt in der Policy definiert werden. Dies erfordert dass ein einzelnes SSL/SSH Inspektionsprofil auf allen Policies angewendet wird. Antivirus ist immer Profil basierend, unabhängig welcher NGFW Modus konfiguriert ist.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Im Menu "Settings" kann der NGFW Modus definiert werden.
[[File:Fortinet-2522.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system settings
set ngfw-mode [profile-based | policy-based]
end
</pre>
|-
|}

==== Wie wird auf einer FortiGate ein Datenpaket abgearbeitet (Life of a packet) ? ====

Dieser Abschnitt beschreibt die Schritte, die ein Paket durchläuft, ab Eintritt auf die FortiGate, bis dies die FortiGate wieder verlässt. Dieses Szenario zeigt alle Schritte, die ein Paket durchläuft, wenn ein FortiGate keine Netzwerkprozessoren (wie zBsp den NP6) enthält. 

[[file: Fortinet-3019.jpg |link=]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Den Hinweis "ingress" sowie "engress" ist folgendermassen zu verstehen: "ingress" umschreibt den Vorgang was mit einem Packet durchgeführt wird wenn es über ein Interface dem FortiOS übermittelt wird (TCP/IP Stack). "Engress" umschreibt was mit einem Packet durchgeführt wird wenn ein Packet durch das FortiOS über ein Interface versendet wird!
|}

Nach dem ersten Paket überspringen die nachfolgenden Pakete in einer ausgelagerten Routing-Sitzung die UTM/NGFW und Kernel-Prozessoren und werden einfach durch den NP6-Prozessor auf die Egress-Schnittstelle weitergeleitet. Auch Sicherheitsmaßnahmen wie DoS-Richtlinien, ACL etc. werden durch den NP6-Prozessor beschleunigt. 

[[file: Fortinet-3020.jpg |link=]]

Die vorhergehenden Übersichten zeigen innerhalb "UTM/NGFW" keine Details betreffend "inspection" Mode, resp. wie ein Packet im "proxy-mode" oder im "flow-mode" abgearbeitet wird. Dabei ist zu berücksichtigen, dass nicht jedes UTM Feature zB "Web Application Firewall" im "flow-mode" benutzt werden kann sondern nur im "proxy-mode". Weitere Informationen welches Feature von welchem Inspection Mode unterstützt zeigt nachfolgende Aufstellung: 

[[file: Fortinet-3021.jpg |link=]]

Nachfolgend eine Uebersicht was innerhalb der "UTM/NGFW" Funktion betreffend dieser zwei zur Verfügung stehenden "inspection" Mode durchgeführt wird: 

[[file: Fortinet-3022.jpg |link=]]
[[file: Fortinet-3023.jpg |link=]]

== NAT ==
=== Wie funktioniert das Destinations NAT auf einer FortiGate? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

VIPs sind DNAT-Objekte. Bei jeder Session, welche mit einem VIP übereinstimmt wird die Destination IP Adresse übersetzt (genattet).
Üblicherweise wird eine öffentliche IP Adresse auf eine private IP Adresse zu einem Serverdienst übersetzt. Ein VIP-Objekt wird in der Policy im Destinationsobjekt Feld ausgewählt.

Standardmässig ist der VIP auf statisches NAT konfiguriert. Dies bedeutet, dass für ein- und ausgehende Verbindungen ein one-to-one Mapping gilt. Wenn also eine Policy für ausgehenden Traffic konfiguriert wird, und das VIP-Objekt dann auf dem ausgehenden Interface ausgewählt wird, so wird die IP Adresse genattet. Dieses verhalten kann aber durch die IP-Pool Konfiguration übersteuert werden.

VIPs sollten auf dem externen Facing (Ingress) Interface routfähig sein. Das FortiOS reagiert auf ARP-Anfragen von VIP und IP-Pool Objekten. Dies bedeutet, wenn beim VIP-Objekt das Interface ANY konfiguriert wird, wird entsprechend auf jedem Interface für das VIP-Objekt ein ARP Eintrag angelegt. Dies wiederum kann unter gewissen umständen zu asynchronen Routings führen.

'''Beispiel'''
[[File:fortinet-2540.jpg|link=]]

Der User initiert einen Request auf die IP Adresse 198.18.1.2. Auf der FortiGate ist ein VIP-Objekt konfiguriert, welches die Anfragen, welche auf die Adresse 198.18.1.2 kommen auf die IP Adresse 172.16.1.100 nattet. Der Request wird also von der FortiGate auf den Server in der DMZ (172.16.1.100) weitergeleitet.
Über die Policies kann noch geregelt werden, welchen Services der Zugriff auf den Zielserver gewährt werden soll (172.16.1.100).
Ich empfehle jeweils nur die benötigten Services im VIP-Objekt zu konfigurieren. Der Grund ist, dass gemäss Flow Diagramm zuerst das Destinations-NAT vollzogen wird und erst dann die Firewall Policies abgehandelt werden. Dies bedeutet, wenn ich alle Services im VIP-Objekt konfiguriere, diese potentiell auf das Zielsystem bereits durchgeschalten sind. Wenn man sich bei den Policies "verkonfiguriert" generiert man sozusagen einen "Bypass".

'''Flow Diagramm:'''

[[File:fortinet-2541.jpg|link=]]

''Quelle : https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-life-of-packet-54/lop-packet-flow-ingress-egress.htm''

=== Wie richte ich ein Destinations NAT mit einem VIP Objekt ein? ===

[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu ''Policy & Objects -> Virtual IPs ->'' [[File:createnew.jpg|link=]] kann ein neues VIP Objekt erstellt werden
[[File:Fortinet-2536.jpg|link=]]

|-
|
Wir konfigurieren ein VIP Objekt welches den smtp Port auf die IP Adresse 172.16.1.100 in der DMZ weiterleitet. Dabei wird der Client die IP Adresse 198.18.0.2 ansprechen und wird dann über das VIP Objekt auf 172.16.1.100 genattet.

# beim Namen einen aussagekräftigen Namen wählen - dieser wird dann im Policyset eingesehen werden.
# Beim Kommentar empfehle ich die Orginal und die genatete Adresse, inklusive den anzusprechenden Port zu erwähnen. So kann bei allfälligen Störungssuchen im Objekt gleich erkannt werden, was es genau beinhaltet.
# Das Interface muss '''zwingend''' auf den Term gewählt werden, auf welchem die orginale IP Adresse terminiert. In unserem Fall terminiert die IP Adresse 198.18.0.2 auf dem Interface ''wan1''. Wenn das Interface auf ''ANY'' konfiguriert wird, wird auf jedem Interface für die IP Adresse 198.18.0.2 ein ARP Eintrag erstellt. Bei SD-WAN, PolicyRouting oder VPN Konfigurationen kann dies zu asynchronem Routing führen.
# im External IP address/range Feld wird die orginale IP Adresse eingetragen (in unserem Fall 198.18.0.2)
# im Mapped IP address/range Feld wird die zu erreichende IP Adresse eingetragen (in unserem Fall 172.16.1.100)
# Damit explizit nur der Port ''TCP 25'' genattet wird, muss die Option Port Forwarding aktiviert werden. Jetzt kann das Protokoll angegeben werden. Wir wollen den Port 25 weiterleiten. Daher kann beim "External service port" der Wert 25 eingetragen werden. Wir wollten den Port auf 25 lassen daher wird beim "Map to port" auch 25 eingetragen. Wenn ich ein PAT einrichten will muss ich den entsprechenden Port eintragen.
# Mit OK wird das VIP Objekt erstellt und kann in der Policy von nun an verwendet werden.
[[File:Fortinet-2537.jpg|link=]]

|-
|
Um eine neue Regel zu erstellen geht man über ''Policy & Objects -> IPv4 Policy -> ''[[File:createnew.jpg|link=]] 
# Der Name muss einmalig sein. Der Name wird im Log, und auch auf dem FortiAnalyzer angezeigt. Dies kann bei der Störungs-Eingrenzung sehr hilfreich sein. Daher wird empfohlen jeweils einen aussagekräftigen Namen zu wählen.
# Beim Incoming Interface muss das Interface gewählt werden, auf welchem die orginal IP Adresse terminiert. In unserem Fall terminiert 198.18.0.2 auf dem ''wan1'' Interface.
# Beim Outgoing Interface wird das Interface ausgewählt hinter welchem die genatete Adresse sich befinden. Bei uns liegt die 172.16.1.100 hinter dem ''dmz'' Interface.
# Bei Source kann das Objekt ''ALL'' oder das angelegte 0.0.0.0-0 Objekt ausgewählt werden. Es kann natürlich auch bei den Source Einschränkungen geben, dann einfach die entsprechenden IP Objekte erfassen und diese als Source auswählen.
# Bei der Destination wird jetzt das angelegte VIP Objekt ausgewählt. In unserem Fall wäre das ''dnat-198.18.0.2-tcp25''
# Die NAT Option deaktivieren. Wenn diese aktiviert bleibt, wird die Source IP Adresse des DMZ Interfaces genommen also ein Snat durchgeführt.
# Die UTM Features können bei Bedarf aktiviert werden.
# Damit der ganze Traffic geloggt wird, empfehle ich die Option "Log Allowed Traffic" auf "All Sessions" konfigurieren.
[[File:Fortinet-2538.jpg|link=]] 
[[File:Fortinet-2539.jpg|link=]]
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Konfigurieren des VIP Objektes:'''
<pre>
# config firewall vip
# edit "dnat-198.18.0.2-tcp25"
# set comment "Destinations Nat 198.18.0.2-172.16.1.100 TCP25"
# set extip 198.18.0.2
# set extintf "wan1"
# set portforward enable
# set color 21
# set mappedip "172.16.1.100"
# set extport 25
# set mappedport 25
# next
# end
</pre>
----
'''Konfigurieren des IP Adress-Objekt für 0.0.0.0/0:'''
<pre>
# config firewall address
# edit net-all-0.0.0.0-0
# set comment "alle Netze 0.0.0.0"
# set color 0
# next
# end
</pre>
----
'''Konfigurieren der Policy über die CLI:'''
<pre>
# config firewall policy
# edit 1
# set name "I_internet->MailSrv-tcp25"
# set srcintf "wan1"
# set dstintf "dmz"
# set srcaddr "net-all-0.0.0.0-0"
# set dstaddr "dnat-198.18.0.2-tcp25"
# set action accept
# set schedule "always"
# set service "SMTP"
# set logtraffic all
# end
</pre>
|}

=== Wie wird ein DNAT konfiguriert, wenn die Central NAT Table verwendet wird ?===
[[File:fortiOS60.png|25px|link=]]

Wenn die Central NAT Table eingesetzt wird, so werden sämtliche NAT Funktionalitäten aus der Firewall Policy verbannt. Somit können in der Firewall Policy auch nicht mehr die üblichen VIP Objekte verwendet werden. Im Falle der aktiven Central NAT Table, wird das NAT über folgende zwei Menüpunkte gesteuert:

* '''Im Fall von DNAT:''' ''Policy & Objects > DNAT & Virtual IPs''
* '''Im Fall von SNAT:''' ''Policy & Objects > Central SNAT''

Für ein funktionierendes DNAT, kann unter ''DNAT & Virtual IPs'' ein gewöhnliches Objekt, analog zu einem VIP Objekt konfiguriert werden. In untenstehendem Beispiel möchten wir gerne den Port 80 TCP vom Internet an einen internen Webserver weiterrouten.

[[file:Fortinet-2239.png|link=]]

Dieses NAT wird sofort nach seiner Erstellung aktiv. Da auf der Firewall jedoch noch eine Firewallregel fehlt, welche den Traffic hierfür erlauben würde, funktioniert mit lediglich einem NAT noch nichts. Im zweiten Schritt erstellen wir nun die Firewall Regel. Da hier kein VIP Objekt mehr angewählt werden kann, wird als Destination Host die interne IP gewählt. Die DNAT-Konfiguration vom vorherigen Schritt sorgt in diesem Fall für die Transformation der IP - unabhängig von der Firewallregel.

[[file:Fortinet-2240.png|link=]]

=== Wieso soll ich ein VIP Objekt auf ein Interface konfigurieren? ===

Auf der FortiGate Firewall können Adressobjekte und virtuelle IPs (VIPs) mit einem Interface eingerichtet werden. Für Adressobjekte hat dies keine technische Relevanz - die Adressobjekte erscheinen einfach nur dann in der Policy, wenn das entsprechende Interface ausgewählt ist. Bei virtuellen IPs hat diese Einstellung jedoch eine Relevanz dafür, wie Verbindungen genattet werden. Das kann problematisch sein.

In allgemeinen Situationen hat man nur eine ISP-Verbindung, auf der ein Ziel NAT (DNAT) für eingehende Verbindungen eingerichtet werden soll. Das ist kein Problem, man kann das untrust Interface im virtuellen IP-Objekt auswählen. Wenn man zwei ISP-Verbindungen hat, zBsp eine gute (ISP1) und eine günstigere (ISP2), MÜSSEN die Interfaces im virtuellen IP-Objekt ausgewählt werden, wenn man auf eine fix IP-Adresse von ISP1 verweisst. Andernfalls wird diese auf allen ausgehenden Verbindungen verwendet, die dann mit dem ISP2 nicht funktionieren würden.

'''Fall 1:''' 
[[file:Fortinet-2609.jpg|750px|link=]]

'''Fall 2:''' 
Das folgende Beispiel zeigt ein virtuelles IP-Objekt mit einer statischen IP-Adresse von 80.154.108.233 und einem falsch konfigurierten Interface von "Any". Bei ausgehenden Verbindungen zu ISP1 gibt es keine Probleme (Label 1 auf dem Screenshot). Aber nachdem eine Policyroute eingerichtet wurde, um den http-Verkehr an ISP2 weiterzuleiten, wird die gleiche Source-NAT-IP verwendet, die offensichtlich nicht funktioniert hat (Label 2). Nachdem das Interface im virtuellen IP-Objekt auf "wan1" gesetzt wurde, werden ausgehende Verbindungen zu ISP2 korrekt an das ausgehende Interface genattet, während ausgehende Verbindungen zu ISP1 weiterhin an die virtuelle IP-Adresse genattet werden (Label 3).

[[File:Fortinet-2610.jpg|750px|link=]]



=== Wie kann ich die ARP Antwort auf einer virtuellen IP (VIP) deaktivieren? ===
Im Normallfall werden auf einer FortiGate erstellte VIP-Objekte auf ARP Anfragen antworten, damit angeschlossene Layer 2 Geräte die MAC-Adresse des Interface mit der virtuellen IP mitgeteilt werden.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config firewall vip
edit [VIP-OBJEKT-NAME]
set arp-reply disable
end
</pre>
''Beispiel:''
<pre>
config firewall vip
edit dst-nat_198.18.250.2-10.10.20.2-http
set arp-reply disable
end
</pre>
|}



== Cluster Mode ==

== Radius ==
== Active Directory / LDAP ==
== Virtual Servers ==
=== Wie kann ich herausfinden, welche Cipher Suite die FortiGate unterstützt? ===

Folgendermassen kann herausgefunden werden, welche Cipher die FortiGate unterstützt:
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config firewall vip
# edit <vip-name>
# set type server-load-balance
# set server-type https
# set ssl-algorithm custom
# config ssl-cipher-suites
# edit 1
# set cipher ?
</pre>
Es erscheint eine Liste: (hier gekürzt, ganze Liste in der Tabelle unten)
<pre>
# TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256 Cipher suite TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256.
.
.
.
# TLS-RSA-WITH-DES-CBC-SHA Cipher suite TLS-RSA-WITH-DES-CBC-SHA.
</pre>
|-
|}

Folgende Cipher sind in der FortiOS Version '''6.0.3''' unterstützt:

{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
! style="background-color: #89E871; text-align:left"| Cipher
! style="background-color: #89E871; text-align:left"| Cipher Suite
|-
| TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
| Cipher suite TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256.
|-
| TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256
| Cipher suite TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256.
|-
| TLS-DHE-RSA-WITH-CHACHA20-POLY1305-SHA256
| Cipher suite TLS-DHE-RSA-WITH-CHACHA20-POLY1305-SHA256.
|-
| TLS-DHE-RSA-WITH-AES-128-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-AES-128-CBC-SHA.
|-
| TLS-DHE-RSA-WITH-AES-256-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-AES-256-CBC-SHA.
|-
| TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
| Cipher suite TLS-DHE-RSA-WITH-AES-128-CBC-SHA256.
|-
| TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
| Cipher suite TLS-DHE-RSA-WITH-AES-128-GCM-SHA256.
|-
| TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
| Cipher suite TLS-DHE-RSA-WITH-AES-256-CBC-SHA256.
|-
| TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
| Cipher suite TLS-DHE-RSA-WITH-AES-256-GCM-SHA384.
|-
| TLS-DHE-DSS-WITH-AES-128-CBC-SHA
| Cipher suite TLS-DHE-DSS-WITH-AES-128-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-AES-256-CBC-SHA
| Cipher suite TLS-DHE-DSS-WITH-AES-256-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-AES-128-CBC-SHA256
| Cipher suite TLS-DHE-DSS-WITH-AES-128-CBC-SHA256.
|-
| TLS-DHE-DSS-WITH-AES-128-GCM-SHA256
| Cipher suite TLS-DHE-DSS-WITH-AES-128-GCM-SHA256.
|-
| TLS-DHE-DSS-WITH-AES-256-CBC-SHA256
| Cipher suite TLS-DHE-DSS-WITH-AES-256-CBC-SHA256.
|-
| TLS-DHE-DSS-WITH-AES-256-GCM-SHA384
| Cipher suite TLS-DHE-DSS-WITH-AES-256-GCM-SHA384.
|-
| TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
| Cipher suite TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA.
|-
| TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
| Cipher suite TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256.
|-
| TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
| Cipher suite TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256.
|-
| TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
| Cipher suite TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA.
|-
| TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
| Cipher suite TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384.
|-
| TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
| Cipher suite TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384.
|-
| TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
| Cipher suite TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA.
|-
| TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
| Cipher suite TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256.
|-
| TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
| Cipher suite TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256.
|-
| TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
| Cipher suite TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384.
|-
| TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
| Cipher suite TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384.
|-
| TLS-RSA-WITH-AES-128-CBC-SHA
| Cipher suite TLS-RSA-WITH-AES-128-CBC-SHA.
|-
| TLS-RSA-WITH-AES-256-CBC-SHA
| Cipher suite TLS-RSA-WITH-AES-256-CBC-SHA.
|-
| TLS-RSA-WITH-AES-128-CBC-SHA256
| Cipher suite TLS-RSA-WITH-AES-128-CBC-SHA256.
|-
| TLS-RSA-WITH-AES-128-GCM-SHA256
| Cipher suite TLS-RSA-WITH-AES-128-GCM-SHA256.
|-
| TLS-RSA-WITH-AES-256-CBC-SHA256
| Cipher suite TLS-RSA-WITH-AES-256-CBC-SHA256.
|-
| TLS-RSA-WITH-AES-256-GCM-SHA384
| Cipher suite TLS-RSA-WITH-AES-256-GCM-SHA384.
|-
| TLS-RSA-WITH-CAMELLIA-128-CBC-SHA
| Cipher suite TLS-RSA-WITH-CAMELLIA-128-CBC-SHA.
|-
| TLS-RSA-WITH-CAMELLIA-256-CBC-SHA
| Cipher suite TLS-RSA-WITH-CAMELLIA-256-CBC-SHA.
|-
| TLS-RSA-WITH-CAMELLIA-128-CBC-SHA256
| Cipher suite TLS-RSA-WITH-CAMELLIA-128-CBC-SHA256.
|-
| TLS-RSA-WITH-CAMELLIA-256-CBC-SHA256
| Cipher suite TLS-RSA-WITH-CAMELLIA-256-CBC-SHA256.
|-
| TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA.
|-
| TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA
| Cipher suite TLS-DSS-RSA-WITH-CAMELLIA-128-CBC-SHA.
|-
| TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA
| Cipher suite TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA.
|-
| TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA256
| Cipher suite TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA256.
|-
| TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA256
| Cipher suite TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA256.
|-
| TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA256
| Cipher suite TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA256.
|-
| TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA256
| Cipher suite TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA256.
|-
| TLS-DHE-RSA-WITH-SEED-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-SEED-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-SEED-CBC-SHA
| Cipher suite TLS-DHE-DSS-WITH-SEED-CBC-SHA.
|-
| TLS-DHE-RSA-WITH-ARIA-128-CBC-SHA256
| Cipher suite TLS-DHE-RSA-WITH-ARIA-128-CBC-SHA256.
|-
| TLS-DHE-RSA-WITH-ARIA-256-CBC-SHA384
| Cipher suite TLS-DHE-RSA-WITH-ARIA-256-CBC-SHA384.
|-
| TLS-DHE-DSS-WITH-ARIA-128-CBC-SHA256
| Cipher suite TLS-DHE-DSS-WITH-ARIA-128-CBC-SHA256.
|-
| TLS-DHE-DSS-WITH-ARIA-256-CBC-SHA384
| Cipher suite TLS-DHE-DSS-WITH-ARIA-256-CBC-SHA384.
|-
| TLS-RSA-WITH-SEED-CBC-SHA
| Cipher suite TLS-RSA-WITH-SEED-CBC-SHA.
|-
| TLS-RSA-WITH-ARIA-128-CBC-SHA256
| Cipher suite TLS-RSA-WITH-ARIA-128-CBC-SHA256.
|-
| TLS-RSA-WITH-ARIA-256-CBC-SHA384
| Cipher suite TLS-RSA-WITH-ARIA-256-CBC-SHA384.
|-
| TLS-ECDHE-RSA-WITH-ARIA-128-CBC-SHA256
| Cipher suite TLS-ECDHE-RSA-WITH-ARIA-128-CBC-SHA256.
|-
| TLS-ECDHE-RSA-WITH-ARIA-256-CBC-SHA384
| Cipher suite TLS-ECDHE-RSA-WITH-ARIA-256-CBC-SHA384.
|-
| TLS-ECDHE-ECDSA-WITH-ARIA-128-CBC-SHA256
| Cipher suite TLS-ECDHE-ECDSA-WITH-ARIA-128-CBC_SHA256.
|-
| TLS-ECDHE-ECDSA-WITH-ARIA-256-CBC-SHA384
| Cipher suite TLS-ECDHE-ECDSA-WITH-ARIA-256-CBC_SHA384.
|-
| TLS-ECDHE-RSA-WITH-RC4-128-SHA
| Cipher suite TLS-ECDHE-RSA-WITH-RC4-128-SHA.
|-
| TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA
| Cipher suite TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-3DES-EDE-CBC-SHA
| Cipher suite TLS-DHE-DSS-WITH-3DES-EDE-CBC-SHA.
|-
| TLS-RSA-WITH-3DES-EDE-CBC-SHA
| Cipher suite TLS-RSA-WITH-3DES-EDE-CBC-SHA.
|-
| TLS-RSA-WITH-RC4-128-MD5
| Cipher suite TLS-RSA-WITH-RC4-128-MD5.
|-
| TLS-RSA-WITH-RC4-128-SHA
| Cipher suite TLS-RSA-WITH-RC4-128-SHA.
|-
| TLS-DHE-RSA-WITH-DES-CBC-SHA
| Cipher suite TLS-DHE-RSA-WITH-DES-CBC-SHA.
|-
| TLS-DHE-DSS-WITH-DES-CBC-SHA
| Cipher suite TLS-DHE-DSS-WITH-DES-CBC-SHA.
|-
| TLS-RSA-WITH-DES-CBC-SHA
| Cipher suite TLS-RSA-WITH-DES-CBC-SHA.
|-
|}

== Load Balancing ==
== SSL-VPN ==
=== Was versteht man beim SSL-VPN unter einem Split-Tunnel?===
[[file:tipp.png|50px|link=]]

Über die Option Split-Tunneling kann auf dem Client gesteuert werden, wie der Traffic ausserhalb des lokalen Netzwerkes gesteuert wird. Einfach gesagt, wohin geht der Internet-Traffic und der Traffic der Remote-Seite, welche ich erreichen will.

Wenn die Split-Tunnel Option nicht aktiviert ist, bedeutet dies, dass sämtlicher Traffic, welcher nicht im lokalen Netzwerk ist, über den VPN-Tunnel zur FortiGate geht.
Dies gewährleistet, dass wenn man mit dem Office verbunden ist, sämtlicher Traffic analysiert und entsprechend verarbeitet werden kann. Der Firewall-Regel können UTM Features hinzugefügt werden, um eine höhere Sicherheit des gesamten Traffics zu gewährleisten. Damit auf dem Client das Internet funktioniert, muss zwingend auf der FortiGate eine Policy für das Internet erstellt werden.
Schematisch sieht das so aus:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Split-Tunnel deaktiviert:'''
|-
|
[[File:Fortinet-2677.jpg|750px|link=]]
|}
Wenn die Split-Tunnel Option eingeschalten ist, wird nur jener Traffic in den VPN-Tunnel gesendet, welcher geroutet wird. So wird der Internet Traffic über die Leitung des Clients direkt abgehandelt und die Netze, welche auf der Remote-Seite sind, werden über den VPN-Tunnel erreicht.
Schematisch sieht dies so aus:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Split-Tunnel aktiviert:'''
|-
|
[[file:Fortinet-2678.jpg|750px|link=]]
|}

=== Wie kann ich beim SSL-VPN ein Bookmarker konfigurieren, welcher ein Verzeichnis mit dem Username enthält? ===

Es kann sein, dass ich einen Bookmaker im SSL-VPN zur Verfügung stellen möchte, welcher zum Beispiel auf ein persönliches Laufwerk des Users referenziert. Dies ist möglich, sofern das Verzeichnis gleich heisst wie der Username.
Damit dies funktioniert muss ich eine Variable benutzen.
Folgendermassen kann ich ein SMB/CIFS Laufwerk erreichen, welches einen Folder besitzt der auf den Username referenziert:

Bookmaker : <IP-Destination>/<verzeichnis>

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[file:Fortinet-2671.jpg|750px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config vpn ssl web portal
# edit "full-access"
# config bookmark-group
# edit "gui-bookmarks"
# config bookmarks
# edit "%username% mit VPN SSO"
# set apptype smb
# set folder "192.168.1.2/data/users/%username%"
# set sso auto
# end
# end
# end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Es ist darauf zu achten, dass die Variable %username% in Kleinbuchstaben geschrieben wird. Weiter ist es wichtig, dass für die Trennung der Verzeichnisse '''Slash /''' und nicht '''Backslash \''' verwendet werden.
|}

'''Ergebnis:'''

[[Datei:Fortinet-2672.jpg]]

''Vielen Dank an Andi von Fortinet Schweiz für das testen''

=== Wie kann ich beim SSL-VPN ein Bookmarker konfigurieren, dass dieser ein Zielsystem im Internet erreicht? ===
Wenn ich beim SSL-VPN Webportal Bookmarker konfiguriere, habe ich dich Möglichkeit, ein System in meinem Netz verfügbar zu machen. Jetzt möchte ich ein System über das Portal im Internet erreichen. Wie muss ich da vorgehen?

Damit ich das System im Internet erreiche, brauche ich eine neue Firewall Regel:

[[file:Fortinet-1987.jpg|link=]]

=== Wie muss SSL-VPN Bookmark konfiguriert werden, wenn der Zielserver nur über einen IPSec-Tunnel verfügbar ist? ===
'''Vorbemerkungen:''' 
Ziel dieser Anleitung ist, eine Intranet Webseite, welche nur über einen IPSec Tunnel erreichbar sein soll, via ein Bookmark auf einem SSL-VPN Portal auf der Fortigate abzubilden.

'''Ausgangslage:''' 
{| class="wikitable" style="width:1200px;"
|- style="vertical-align:top;"
| style="vertical-align:top; width:870px;" | Zielarchitektur
| style="vertical-align:top" | Verwendete Geräte
|-
| style="vertical-align:top" |
[[file:Fortinet-2232.png|link=]]
| style="vertical-align:top" |
* Fortigate 60E Beta3
|}
'''Annahmen:''' 
Die folgende Anleitung basiert auf folgenden Voraussetzungen:
* Die Fortigate Firewall ist vollständig konfiguriert, hat Zugriff aufs Internet, LAN -> WAN Kommunikation ist bereits etabliert.
* Der IPSec Tunnel zwischen der Fortigate und dem Drittprodukt, hinter welchem sich der zu publizierende Webserver (in diesem Fall 172.16.1.10) befindet, wurde bereits erfolgreich etabliert, so dass eine Kommunikation zwischen den lokalen Clients (192.168.10.0/24) und den Remote Clients (172.16.1.0/24) möglich ist.
'''1. Erstellung SSL VPN Portal''' 
Um das SSL VPN Portal zu erstellen, gehe auf der Weboberfläche unter ''VPN -> SSL-VPN Portals'' und erstelle mit ''Create New'' ein neues SSL VPN Portal:
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2233.png|link=]]
| style="vertical-align:top" |
# Definiere hier einen Namen für das Portal
# Deaktiviere den Schieberegeler
# Aktiviere den Schieberegler bei "Enable Web Mode"
# Erstelle unter "Predefined Bookmarks" ein Bookmark vom Typ HTTP/HTTPS mit einem aussagekräftigen Namen. Als Location wähle die URL der Applikation, mit welcher das Bookmark aufgerufen werden können soll.

Mit einem Klick auf Ok wird dieses Portal abgespeichert.
|}
'''2. Konfiguration der SSL VPN Einstellungen''' 
Im nächsten Schritt wird definiert auf welchem Interface und auf welchem Port das User Portal überhaupt erreichbar sein sollen. Wir definieren welche Gruppen und Benutzer auf das Portal Zugriff haben sollen, und wir verknüpfen das in Schritt 1 erstellte Portal mit dem Default Portal. Wähle dazu den Menüpunkt ''VPN -> SSL-VPN Settings'':

{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2234.png|link=]]
| style="vertical-align:top" |
# Listen on Interface: Hier wählen wir das WAN Innterface
# Listen on Port: Hier muss ein freier Port gewählt werden, welcher auf diesem Interface noch nicht anderweitig durch ein VIP Objekt, NAT oder einen sonstigen lokalen Service in Verwendung ist.
# Wenn das Portal überall vom Internet zugänglich sein soll, wähle hier ''Allow access from any host''
# Definiere unter ''Authentication / Portal Mapping'' dass das soeben erstellte Portal unter dem Default Realm zugänglich sein soll. Hier können ausserdem Einschränkungen gemacht werden, für welche Benutzer/Gruppen dieses Portal zur Verfügung stehen soll.

Mit einem Apply werden die gewählten Einstellungen gespeichert.
|}
Somit haben wir die nötigen Einstellungen für das SSL VPN Portal vorgenommen.

'''3. Erstellung des IP Pools''' 
Damit nun das SSL VPN Portal in der Lage ist, mit diesem Webserver zu kommunizieren benötigt es eine Firewall Regel, welche dies der Firewall erlaubt. Für diese Firewallregel benötigen wir einen IP Pool, damit die Source IP des Requests der Firewall dementsprechend angepasst wird. Diesen IP-Pool erstellen wir unter ''Policies & Objects -> IP Pools -> Create new''

{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2236.png|link=]]
| style="vertical-align:top" |
# Type: Overload
# External IP Range: Hier wählen wir eine IP welche gemäss IPSec-Phase-2-Konfiguration sich im Bereich der lokalen, zugelassenen Addressen befindet.

Mittels Apply wird abgespeichert.
|}
'''4. Firewall Regel''' 
Zum Schluss wird noch die Firewall Regel erstellt, welche benötigt wird, damit eine Kommunikation zwischen dem Portal und dem Webserver erlaubt wird: ''Policy & Objects -> IPv4 Policy -> Create new''
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2235.png|link=]]
| style="vertical-align:top" |
# Incoming Interface: Wähle hier das entsprechende SSL VPN Tunnel Interface
# Outgoing Interface: Wähle hier das Interface des IPSec Tunnels
# Source: Wähle hier mindestens ein Netzwerk + ein Benutzerobjekt welches erlaubt werden soll
# Destination: Wähle hier all, oder schränke den IP-Bereich auf den zu erreichenden Webserver ein
# NAT: Schalte hier das NAT ein
# IP Pool Configuration: Wähle hier ''Use Dynamic IP Pool'' und wähle hier das IP-Pool Objekt, welches im vorherigen Schritt erstellt wurde.
# Aktiviere den Regler bei Enable this Policy

Mittels OK wird die Firewall Regel gespeichert.

|}

'''Ergebnis''' 
Ein Berechtigter Benutzer ist nun in der Lage über die externe IP der Firewall auf das Userportal zuzugreifen. Auf diesem User Portal hat er ein Bookmark, welches wiederum auf einen Webserver zeigt, der nur via IPSec zugänglich ist. Mit einem Klick auf das Bookmark kann der User nun auf diesen Webserver zugreifen:

[[file:Fortinet-2237.png|link=]]

=== Wieso wird beim SSL-VPN im Webmodus viel Memory und CPU Leistung verbraucht? ===

Wir schauen uns an wieso im SSL-VPN Webmodus viele CPU Zyklen oder eine hohe Memory-Auslastung anfällt:

Bei der Verwendung von SSL-VPN im Web-Modus wird erwartet, dass viele CPU- und Speicherressourcen zugeteilt werden.
Der SSL-VPN-Webmodus wurde als kurzfristige Ausweichlösung für den Fall konzipiert, dass der SSL-VPN-Tunnelmodus nicht verwendet werden kann.

Eine hohe Ressourcenzuweisung erfolgt aufgrund des '''"guacd"-Prozesses''', welcher die konfigurierten Protokolle (zum Beispiel RDP oder HTTPS) in einen HTML5-Stream parsen muss, um sie dem Client zu präsentieren.
Dieser Prozess der Konvertierung anderer Protokolle in Bilder ist sehr ressourcenintensiv in Bezug auf CPU und Memory.

Die Leistung des guacd-Prozesses kann man mit verschiedenen Befehlen beobachten:
* <code> diagnose sys top</code>
* <code> diagnose sys top-summary</code>
Mit diesen Befehlen, welche eine Auflistung aktiver Prozesse zeigen, erkennt man, dass die '''guacd-Prozesse''' sehr viel CPU oder Memory verbrauchen.

Schauen wir uns dass in einem Beispiel an:
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Beispiel basiert auf einer FortiGate-300E FortiOS v6.2.3, build1066,191218 (GA)

Wenn wir den folgenden Output anschauen, können wir sehen, dass der gesammte Speicherverbrauch zum Zeitpunkt der Datenerfassung bei etwa 85% liegt:
<pre>
Memory: 8172056k total, 7010740k used (85.8%), 950196k free (11.6%), 211120k freeable (2.6%)
</pre>
Der Speicher an dieser Stelle ist hauptsächlich für den aktiven Prozess reserviert (5,4 von 8 GB).
<pre>
# diagnose hardware sysinfo Memory

MemTotal: 8172056 kB
MemFree: 951164 kB
Buffers: 2204 kB
Cached: 594892 kB
SwapCached: 0 kB
Active: 5561348 kB

MemTotal: 8172056 kB 7980 MB
MemFree: 949948 kB 927 MB
Cached: 594636 kB 580 MB
Active: 5564144 kB 5433 MB <--- guacd Prozess und andere Userland Prozesse wie UTM Features
Inactive: 273572 kB 267 MB
Shmem: 337036 kB 329 MB
Slab: 423044 kB 413 MB
</pre>
Wenn wir uns die aktiven Prozesse ansehen, wird der meiste Speicher durch die Menge der laufenden guacd-Prozesse verbraucht.
<pre>
# diagnose sys top
Run Time: 23 days, 21 hours and 51 minutes
28U, 0N, 20S, 36I, 0WA, 0HI, 16SI, 0ST; 7980T, 881F
sslvpnd 23061 R 93.0 5.3
guacd 30982 R 47.0 0.9
guacd 30909 R 45.0 1.1
sslvpnd 23060 R 28.0 5.3
sslvpnd 23062 R 21.0 5.3
ipsengine 16797 S < 5.0 2.1
ipsengine 16795 S < 4.0 2.2
ipsengine 16796 S < 3.0 2.1
guacd 30006 S 1.0 1.1
guacd 30139 S 1.0 1.1
miglogd 245 S 1.0 0.5
guacd 30884 S 1.0 0.4
httpsd 30908 S 1.0 0.3
authd 255 S 1.0 0.2
ipshelper 16794 S < 0.0 3.0
guacd 30315 S 0.0 1.1
guacd 30127 S 0.0 1.1
guacd 30115 S 0.0 1.1
updated 204 S 0.0 1.1
guacd 30023 S 0.0 1.1
guacd 30724 S 0.0 1.1
guacd 30078 S 0.0 1.1
guacd 30298 S 0.0 1.1
guacd 30260 S 0.0 1.1
guacd 30672 S 0.0 1.1
guacd 30218 S 0.0 1.1
guacd 30179 S 0.0 1.1
guacd 30039 S 0.0 1.1
guacd 30568 S 0.0 1.1
guacd 30177 S 0.0 1.1
guacd 30351 S 0.0 1.1
guacd 30380 S 0.0 1.1
guacd 30355 S 0.0 1.1
guacd 30331 S 0.0 1.1
guacd 30128 S 0.0 1.0
guacd 30259 S 0.0 1.0
guacd 30300 S 0.0 1.0
guacd 30229 S 0.0 1.0
guacd 30040 S 0.0 1.0
guacd 30936 S 0.0 1.0
guacd 30545 S 0.0 1.0
guacd 30053 S 0.0 1.0
guacd 30444 S 0.0 1.0
guacd 30592 S 0.0 1.0
guacd 30940 S 0.0 1.0
...
</pre>

Jeder Prozess weist standardmässig etwa 30 - 90 MB zu und unter Last bis gar zu 150 MB oder mehr.
Wenn der Prozess unter Last steht wird grob geschätzt jedem Benutzer im SSL-VPN Webmodus etwa 100 MB Speicher zugewiesen.
Diese Nutzung hängt vom Datentraffic, den zu verarbeiteten Protokolltypen, der Bildschirmauflösung des Clients und so weiter ab.

Wenn man sich diese guacd-Prozesse genauer ansieht, stellt man fest, dass jeder einzelne Prozess etwa 30 - 120 MB zur Verfügung stellt.
Die obere Ausgabe zeigt, dass jeder Prozess ca. 1 % zuweist, so dass dies etwa 80 MB beträgt.

Die Anzahl von maximalen SSL-VPN Benutzer kann abhängig von der gesamten Memory Kapazität von der Fortigate variieren.
Mann kann in etwa folgendes berechnen:
Wenn jeder Kunde nur minimale Ressourcen von 50MB verwenden würde, und das System würde keinen weiteren Speicher zuweisen,
dann gibt es immer noch eine Begrenzung der Gesammtzahl der SSL-VPN-Clients auf der FortiGate mit insgesamt 8000 MB Memory.
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
'''Wichtig zu wissen:''' 
Es handelst sich hier nicht um ein Speicherleck, sondern dieses Verhalten wird so erwartet. Die guacd-Prozesse benötigen lediglich Ressourcen, um den Datentraffic zu parsen und in HTML5 zu konvertieren.
Daher sollte der Web-Modus wirklich nur als Workaround benutzt werden und wann immer möglich mit dem Tunnel Modus gearbeitet werden.
|-
|}

Der SSL-VPN-Webmodus wurde als Ausweichlösung für den Fall konzipiert, wenn man den Tunnelmodus nicht verwenden kann (z.Bsp Zugang von einem öffentlichen WiFi oder Hotels usw.)

Aufgrund der erforderlichen Ressourcen sollte er nicht in grossem Umfang eingesetzt werden, sondern eher dazu dienen, Clients kurzfristig schnell zum laufen zu bringen.
Auf lange Sicht sollten diese SSL-Clients so konfiguriert werden, dass sie den SSL-VPN-Tunnelmodus verwenden.
Man kann den WebModus zum Beispiel dafür benutzen, dass der FortiClient über den SSL-VPN-Webmodus heruntergeladen wird:

'''Lösungen zur Vermeidung einer hohen CPU- oder Memoryauslastung: '''
* Tunnel Modus verwenden
* Im Webmodus Anzahl User so weit wie möglich begrenzen!

Aufgrund der erforderlichen Ressourcen wird diese Funktion nicht in grossem Umfang oder langfristig genutzt.
Langfristig sind diese SSL-Clients so konfiguriert, dass sie den SSL-VPN-Tunnelmodus verwenden.
Beispielsweise können Remote-Benutzer den FortiClient über den SSL-VPN-Webmodus herunterladen und sich dann über den SSL-VPN-Tunnelmodus verbinden.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
'''Hinweis:''' 
Es ist geplant, diese Designeinschränkung in zukünftigen FortiOS Versionen zu verbessern. (Stand 25.3.2020) 
''Referenz: https://kb.fortinet.com/kb/documentLink.do?externalID=FD48014''
|}

== IPSec VPN ==
=== Wie konfiguriere ich eine Site-to-Site IPSec VPN Verbindung von Grund auf? ===

''' ARTIKEL NOCH IN BEARBEITUNG und nicht VOLLSTÄNDIG''' 

'''Ausgangslage'''

Wir wollen ein Site-to-Site VPN aufbauen von der Seite A zur Seite B. Nachfolgenden der Netzplan und die Parameter um den VPN Tunnel zu bilden:

{| class="wikitable" style="width:800px"
|- style="vertical-align:top;"
!
! scope="col" style=background:#00b050| Seite A
! scope="col" style=background:#ffff00| Seite B
|-
|
'''Netzplan'''
|colspan="2" style="text-align:center"|[[File:Fortinet-2559.jpg|550px|link=]]
|-
| '''Lokal Netzwerk'''
|style="text-align:center"|192.168.2.0/24
|style="text-align:center"|172.16.16.0/24
|-
| '''Public IP'''
|style="text-align:center"|198.18.0.4
|style="text-align:center"|198.18.0.5
|-
|
'''Authentication'''
|colspan="2" style="text-align:center"|
Pre-shared Key definieren
|-
|
'''Phase 1 Proposal'''
|colspan="2" style="text-align:center"|
Alogrithms: AES256-SHA256 DH-Group 14
|-
|
'''Phase 2 Proposal'''
|colspan="2" style="text-align:center"|
Alogrithms: AES256-SHA512 / PFS-DH-Group 14
|-
|}

''' Schritt 1 - IPSec Tunnel konfigurieren'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Gehe auf das Menu ''VPN -> IPsec Tunnel->[[file:createnew.jpg|link=]]
# Name des Tunnels eingeben. Dieser Name wird zugleich der Name des vpn Subinterfaces sein, welches sich dann beim ausgehenden Interface bildet. Daher sollte der Name gut gewählt werden, damit die Übersicht gewährleistet wird. Achtung!!! Der Name kann nachträglich nicht mehr angepasst werden.
# Um den VPN Wizard zu beenden bei ''Template Type'' auf ''Custom'' wählen
# mit ''Next'' zum nächsten Schritt
[[File:Fortinet-2545.jpg|link=]]

'''Network:''' 
# RemoteGateway auswählen (''Static IP Address'' , ''Dialup User'' oder ''Dynamic DNS'') Für unser Beispiel brauchen wir ''Static IP Address''.
# Die IP Adresse des Remote VPN Gateways angeben, über welchen wir die VPN Verbindung aufbauen wollen. In unserem Fall 198.18.0.5.
# Das ausgehende Interface wählen, auf welchem der Tunnel zum Default Gateway zeigt (meistens ein WAN Interface).
# NAT Traversal (NAT-Optionen wählen)
# DPD konfigurieren
[[File:Fortinet-2546.jpg|link=]]

'''Authentication''' 
# Wahlweise kann mit einem Preshared Key oder Zertifikaten gearbeitet werden. Bei Zertifikaten ist zu beachten, dass diese gültig, und das Datum noch nicht abgelaufen ist. In unserem Beispiel benutzen wir die Methode Pr-Shared Key.
# Pre-Shared Key definieren und mit der Remote Seite abgleichen. Es muss auf beiden Seiten exakt der gleiche komplexe Schlüssel verwendet werden.
# IKE Methode wählen. Die FortiGate unterstützt die Methode IKEv1 und IKEv2. Für unser Beispiel wählen wir IKEv2
[[File:Fortinet-2547.jpg|link=]]

'''Phase 1 Proposal''' 
# Encryption wählen. Wir wählen AES256
# Authentication wählen. Wir benutzen AES256
# Für die temporäre Verschlüsselung mittels der effektiven Key ausgetauscht werden soll, benutzen wir die Diffie-Hellmann Group Methode. Für unser Beispiel wählen wir die DH-Group 14.
# Die Key Lifetime, welche in Sekunden angegeben ist, belassen wir so. Achtung!!! Wenn auf einem Gerät eines Drittanbieters ein VPN aufgebaut wird, muss dieser Parameter oft angepasst werden:
[[File:Fortinet-2548.jpg|link=]]

'''Phase 2 konfigurieren'''
# Es können mehrere Selektoren pro Phase 1 definiert werden. Wichtig ist, dass auf beiden VPN-Gateway die Selektoren identisch sind. Definiere einen Namen pro Selektor und konfiguriere das Lokale- und das Remote-Subnetz welches dann die Encryption Domäne bildet. In unserem Beispiel wählen wir ''Local Address 192.168.2.0/24'' und ''Remote Address 172.16.16.0/24''
# über ''Advanced'' kann man die Phase 2 Proposal per Selektor definiert werden
# Encryption wählen. Wir nutzen AES256
# Authentication definieren. Wir wählen SHA512
# ''Enable Replay Detection'' einschalten. IPsec-Tunnel können für Replay-Angriffe anfällig sein. Die Replay Detection ermöglicht es der FortiGate alle IPsec-Pakete zu überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn ''encrypted paket'' deaktiviert ist, werden die Pakete von der FortiGate verworfen
# ''Perfect Forward Secrecy'' einschalten. Standardmässig werden die Phase 2-Schlüssel von dem in Phase 1 erstellten Sessionkey abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel beginnt und wenn die Key-Life der Phase 2 abläuft, wobei jedes Mal ein neuer Schlüssel generiert wird. Dieser Austausch stellt sicher, dass die in Phase 2 erstellten Schlüsseln unabhängig von den Schlüsseln der Phase 1 oder anderen Schlüsseln sind, die in Phase 2 automatisch erzeugt werden.
[[File:Fortinet-2549.jpg|link=]] 
[[File:Fortinet-2550.jpg|link=]]

'''Phase 2 konfigurieren'''
# Es können mehrere Selektoren pro Phase 1 definiert werden. Wichtig ist, dass auf beiden VPN-Gateways die Selektoren identisch sind. Definiere einen Namen per Selektor und konfiguriere das Lokale- und das Remote-Subnetz welches dann die Encryption Domäne bildet. In unserem Beispiel wählen wir ''Local Address 192.168.2.0/24'' und ''Remote Address 172.16.16.0/24''
# über ''Advanced'' kann man die Phase 2 Proposal pro Selektor definieren
# Encryption wählen. Wir benutzen AES256
# Authentication definieren. Wir wählen SHA512
# ''Enable Replay Detection'' einschalten. IPsec-Tunnel können für Replay-Angriffe anfällig sein. Die Replay Detection ermöglicht es der FortiGate alle IPsec-Pakete zu überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn "encrypted paket" disabled sind, werden sie von der FortiGate verworfen.
# Perfect Forward Secrecy einschalten. Standardmässig werden die Phase 2-Schlüssel von dem in Phase 1 erstellten Sessionkeys abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel beginnt und wenn die Key-Life der Phase 2 abläuft, wodurch jedes Mal ein neuer Schlüssel generiert wird. Dieser Austausch stellt sicher, dass die in Phase 2 erstellten Schlüsseln unabhängig von den Schlüsseln der Phase 1 oder anderen Schlüsseln sind, die in Phase 2 automatisch erzeugt werden.
|-
|}

''' Schritt 2 - Routen konfigurieren'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Damit die FortiGate die Remote Netze für den VPN Tunnel kennt, muss eine Route auf das Tunnel Interface eingerichtet werden. Die Route kann folgendermassen konfiguriert werden:
# Menu ''Network -> Static Routes -> [[File:createnew.jpg|link=]]
# Bei ''Destination'' muss 'Subnet'' gewählt werden
# Das Remote-Netz (in unserem Fall 172.16.16.0/24) eingeben
# Interface ist das Tunnel Interface (dieses Interface wird automatisch angelegt, sobald der IPSec Tunnel konfiguriert wird). In unserem Fall heisst das Interface ''vpn_to_SiteB''
# Administrative Distanz kann auf 10 blassen werden
# Kommentare schaffen Klarheit
# mit OK wird die statische Route eingerichtet
[[File:Fortinet-2551.jpg|550px|link=]]

Jetzt muss noch die Blackhole Route eingerichtet werden. Was eine Blackhole Route ist, kann hier entnommen werden:

[[FortiGate:FAQ#Was_ist_eine_Blackhole-Route.3F|Was ist eine Blackhole-Route?]]

# Remote Netz eintragen
# Interface ''Blackhole'' auswählen
# die Distanz muss höher sein, als die der regulären Route. Wir empfehlen den Wert 254
# Kommentare schaffen Klarheit
# mit OK wird die Route eingerichtet
[[File:Fortinet-2542.jpg|link=]]

Nun sollten beide Routen in der Übersicht zu sehen sein:
[[File:Fortinet-2552.jpg|link=]]
|}

''' Schritt 3 - Policy einrichten'''

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
Damit der Traffic durch den VPN-Tunnel fliesst, muss mindestens in eine Richtung eine Firewall Regel konfiguriert werden. Dabei wird das Tunnel Interface und das Interface für den lokalen Traffic untereinander freigeschalten:

# Menu ''Policy & Objects -> IPv4 Policy -> [[File:createnew.jpg|link=]]
# Für eingehenden Traffic von der Remote Seite zur lokalen Seite muss als Source das VPN Interface gewählt werden und als Destination das interne Interface
# ''Source Adresse'' ist das Remote Netz der Seite B
# ''Destination Netz'' ist das zu erreichende Netz auf der lokalen Seite
# bei Bedarf können die Services eingeschränkt werden
# NAT-Option deaktivieren
# UTM Feature bei Bedarf aktivieren
# mit OK wird die Regel erstellt
[[File:Fortinet-2553.jpg|link=]]

Damit der Traffic von beiden Seiten her funktioniert, muss noch eine zweite Policy eingerichtet werden. Diese kann analog der ersten Policy eingerichtet werden. Einfach das Source- und Destination-Interfaces und Adressobjekte tauschen. Alternativ kann auch die neu eingerichtete Policy mittels Rechtsklick angewählt werden und im Dropdown Menu ''Clone Reverse'' gewählt werden.
[[File:Fortinet-2554.jpg|link=]]

In der Policy muss jetzt dennoch was kleines konfiguriert werden:
# Feld für den Policy Namen definieren
# Die Policy muss aktiviert werden
# mit OK wird die Reverse Policy eingerichtet
[[File:Fortinet-2555.jpg|link=]]

Es wird empfohlen die Policies für Site-to-Site VPN im Regelwerk oben anzuordnen.
[[File:Fortinet-2556.jpg|750px|link=]]
|-
|}

[[Datei:Fortinet-2557.jpg]]

[[Datei:Fortinet-2558.jpg]]

=== IPSEC Phase 1 - Was versteht man unter Deat peer detection?===

Manchmal kann es infolge von Routing- oder anderen Netzwerk-Problemen zu einem Ausfall der Kommunikationsverbindung zwischen einer FortiGate- und einem VPN-Peer oder VPN-Client kommen.

Pakete können verloren gehen, wenn die Verbindung allein durch eine Zeit-Überschreitung unterbrochen wird.

Die FortiGate hat einen Mechanismus Namens '''D'''ead '''P'''eer '''D'''etection (DPD),
der auch als Gateway-Erkennung oder Ping-Server bezeichnet wird.

Diese Funktion ist ist verantwortlich, dass in eine solche Situation verhindert wird und IKE-Verhandlungen automatisch wieder aufgenommen werden, bevor die Verbindung unterbrochen wird: Die aktiven Phase-1-Sicherheitsverbindungen werden abgefangen und neu verhandelt (neu verschlüsselt), bevor der Phase-1-Verschlüsselungsschlüssel abläuft.

'''DPD Parameter:''' 
''Disable:'' Deaktivieren: Dead Peer-Erkennung deaktivieren. 
''On-idle:'' Dead-Peer-Erkennung auslösen, wenn IPsec inaktiv ist. 
''On-demand:'' Löst Dead Peer Detection aus, wenn IPsec-Verkehr gesendet, aber keine Antwort vom Peer empfangen wird. 

'''DPD-RETRYINTERVAL:''' Zeitspanne des Intervalls in Sekunden, nach dem eine Neuverbindung mittels DPD versucht wird.

'''DPD-RETRYCOUNT:''' Länge des Intervalls in Sekunden wie oft DPD erneut versucht wird.

Mit den Standardeinstellungen wird der DPD alle 20 Sekunden dreimal versucht. Insgesamt wird der Tunnel nach einer Minute ohne DPD-Rückmeldung abgebrochen.

[[File:Fortinet-2813.jpg|750px|link=]]

Wenn auf einem Einwahlserver eine Vielzahl von VPN-Verbindungen im Leerlauf sind, könnte sich der erhöhte DPD-Austausch negativ auf die Leistung / Auslastung des IKE-Prozesses auswirken.
Aus diesem Grund steht in der CLI eine Option zur Verfügung, DPD passiv in einem Modus namens "on-demand" zu versenden.
- Wenn kein Datenverkehr stattfindet, und der letzte DPD-ACK empfangen wurde, versendet das IKE keine weiteren DPDs in regelmäßigen Abständen.
- IKE sendet nur dann DPDs aus, wenn es ausgehende Pakete zu versenden gibt, aber seitdem keine eingehenden Pakete empfangen wurden.

=== IPSEC Phase 2 - Was bedeutet die Option Auto-Negotiate? ===
[[file:tipp.png|50px|link=]]

'''Ausgangslage:''' 
Ein IPSec-VPN erzeugt eine verschlüsselte Sicherheitsassoziation (SA) zwischen zwei Peers.
Dies geschieht in zwei Phasen. Standardmässig wird die SA der Phase 2 erst dann ausgehandelt,
wenn ein Peer versucht Daten zu senden.

'''Funktion:''' 
Wenn die auto-negotiate Funktion aktiviert ist, wird die Verhandlung der SA der Phase 2 automatisch eingeleitet. Dabei wird dieser Vorgang alle fünf Sekunden wiederholt, bis die SA eingerichtet ist.
Die Auto-Negotiate-Funktion erkennt, ob der Tunnel jemals abreisst und versucht die SA wieder herzustellen.
Die Keepalive-Funktion ist jedoch eine bessere Möglichkeit den VPN aufrechtzuerhalten.

'''Wann soll ich die Auto-Negotiate Funktion verwenden? ''' 
Man kann die auto-negotiate Funktion aktivieren, wenn auf einer Seite des VPN ein Einwahl-Peer ist. In dieser Konfiguration kann nur der Einwahl-Peer den Tunnel aufbauen, da der andere Peer die Gateway-Adresse der Einwahl-Peer nicht kennen kann.
Die Aktivierung von Auto-Negotiate beim Einwahl-Peer stellt sicher, dass der VPN-Tunnel für Benutzer hinter dem anderen Peer zur Einleitung von Datentraffic verfügbar ist.

So konfiguriere ich die Auto-Negotiate Funktion: 
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config vpn ipsec phase2
# edit [PHASE2_NAME]
# set auto-negotiate enable
# end
</pre>
|}

=== IPSEC Phase 2 - Was bedeutet die Option Keepalive? ===
[[file:tipp.png|50px|link=]]

'''Ausgangslage:''' 
Die Sicherheitsassoziation (SA) der Phase 2 hat eine fixe Dauer. Wenn im VPN Traffic stattfindet, während die SA kurz vor dem Ablauf steht, wird eine neue SA ausgehandelt. So wechselt das VPN ohne Unterbruch zu einer neuen SA.
Wenn es kein Traffic gibt, läuft die SA aus, und der VPN-Tunnel wird unterbrochen.

'''Funktion:''' 
Die Keepalive-Option stellt sicher, dass eine neue SA ausgehandelt wird, auch wenn kein Datentraffic vorhanden ist, so dass der VPN-Tunnel aufrecht erhalten bleibt.

So konfiguriere ich die Keepalive Option in der Phase 2:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration über CLI:'''
|-
|
<pre>
# config vpn ipsec phase2
# edit [PHASE2_NAME]
# set keepalive enable
# end
</pre>
|-
|}

'''Kann ich sowohl Auto-Negotiate als auch Keepalive verwenden? ''' 
Ja. Auto-Negotiate und Keepalive funktionieren sehr gut zusammen. ''Auto-Negotiate'' startet das VPN und ''Keepalive'' sorgt dafür dass der VPN-Tunnel aufrecht erhalten bleibt.

=== Wie kann eine L2TP over IPSec Verbindung erstellt werden? ===
In den meisten Fällen ist eine Client2Side Verbindung mit anderen Technologien, wie beispielsweise dem FortiClient oder dem Cisco VPN Client, aus Performance- und Sicherheitsgründen zu bevorzugen. Bei einer C2S Verbindung via SSL oder IPSec besteht ausserdem die Möglichkeit, Split Tunneling zu konfigurieren. Bei einem L2TP VPN muss immer der gesamte Datenverkehr über den Tunnel gelenkt werden. Der Aufbau einer C2S Verbindung mit einer Fortigate ist jedoch dann sinnvoll, wenn es sich bei den Clientbetriebssystemen um ein Windows Betriebssystem handelt, auf welchem zwingend keine Software von Drittherstellern installiert werden darf. Eine L2TP IPSec Verbindung kann unter Windows nämlich mit den Ressourcen hergestellt werden.

Unter FortiOS 6.0 kann ein L2TP over IPSec Client2Side Tunnel nur teilweise im GUI konfiguriert werden.
Da gewisse Konfigurationsschritte in der CLI vorgenommen werden müssen, basiert die folgende Anleitung vollumfänglich auf CLI-Befehlen.

L2TP over IPSec basiert immer auf einer Benutzerauthentifizierung. Aus diesem Grund benötigen wir einen lokalen oder einen Remotebenutzer, welchem wir die entsprechenden Rechte zuweisen können.
<pre>
config user local
edit "mytestuser"
set type password
set email-to "mytestuser@test.com"
set passwd meinpasswort
next
</pre>
Dieser Benutzer wiederum wird einer Gruppe zugewiesen, welche später für den L2TP Zugriff berechtigt wird.
<pre>
config user group
edit "l2tpgroup"
set member "mytestuser"
next
end
</pre>

Nun benötigt es einige L2TP-spezifische Einstellungen (nicht im GUI konfigurierbar). Mit SIP und EIP definieren wir den IP-Range der IP Adressen, welche für die L2TP Clients zur Verfügung stehen sollen. Ausserdem definieren wir hier die Benutzergruppe, welcher Zugriff via L2TP gewährt werden soll.
<pre>
config vpn l2tp
set sip 10.20.100.1
set eip 10.20.100.254
set status enable
set usrgrp "l2tpgroup"
end
</pre>

Da wir später in der Firewallpolicy mit diesen Source IP Adressen eine Firewallregel erstellen müssen, kreieren wir als nächstes gerade ein entsprechendes Adressobjekt.
<pre>
config firewall address
edit "net_vpn_10.20.100.0/24"
set subnet 10.20.100.0 255.255.255.0
next
end
</pre>
Nun kann die Phase1 des IPSec Tunnels erstellt werden. Wichtig ist hier, dass diese vom Typ "dynamic" ist, als Peertype jede IP Adresse zulässt und die Proposals mit denen aus dem Beispiel übereinstimmen.
<pre>
config vpn ipsec phase1
edit "l2tp-p1"
set type dynamic
set interface "wan1"
set peertype any
set proposal 3des-sha1 aes256-md5
set dhgrp 2
set psksecret meinepsk
set dpd-retryinterval 60
next
end
</pre>

Auf dieser Phase1 kann anschliessend die Konfiguration für Phase2 aufgebaut werden. Als Quickmode Selector kann 0.0.0.0/0 gewählt werden (in der CLI per Default so). Auch hier muss darauf geachtet werden, dass PFS deaktiviert wird, und dass als Encapsulation Mode der "Tunnel Mode" gewählt wird.
<pre>
config vpn ipsec phase2
edit "l2tp-p2"
set phase1name "l2tp-p1"
set proposal 3des-sha1 aes192-sha1 aes256-md5
set pfs disable
set encapsulation transport-mode
set keylifeseconds 86400
next
end
</pre>
Bei einem L2TP over IPSec Tunnel handelt es sich um einen policybasierten IPSec Tunnel. Diese Art von Tunnel bedarf etwas spezielle Firewallregel je für ein- und ausgehenden Traffic. Die ausgehende Firewallregel hat wie unten veranschaulicht auszusehen. Wichtig hierbei ist, dass die Action auf "ipsec" gestellt wird, und anschliessend das entsprechende IPSEC Tunnel Interface gewählt wird.

<pre>
config firewall policy
edit 3
set name "2l2tp"
set srcintf "lan1"
set dstintf "wan1"
set srcaddr "net_int_192.168.2.0/24"
set dstaddr "net_vpn_10.20.100.0/24"
set action ipsec
set schedule "always"
set service "ALL"
set inbound enable
set vpntunnel "l2tp-p1"
next
edit 6
set name "l2tpincoming"
set srcintf "wan1"
set dstintf "lan1"
set srcaddr "net_vpn_10.20.100.0/24"
set dstaddr "net_int_192.168.2.0/24"
set action accept
set schedule "always"
set service "ALL"
next
end
</pre>
Somit wurde auf Seiten der Fortigate die Konfiguration für das L2TP over IPSec VPN fertiggestellt.

Ein Windows-10 Client wird wie folgt konfiguriert, damit er eine Verbindung via L2TP aufbauen kann:

[[file:Fortinet-2248.png|link=]]

[[file:Fortinet-2249.png|link=]]

=== Wie konfiguriere ich ein SSL-VPN Portal, welches über ein Site-to-Site VPN ein ServerLAN auf der Remote Seite erreichen soll? ===

'''Problemstellung:'''

Es besteht eine Site to Site VPN Verbindung zwischen der Site 1 zur Site 2. Wir haben auf der Site 2 einen Server mit der IP Adresse 172.16.16.20. Nun soll es möglich sein, über eine SSL-VPN Verbindung auf der Site 1 auch auf den Server 172.16.16.20 zuzugreiffen. Das heisst, wir müssen auf der Site 1 ein SSL-VPN konfigurieren und danach dafür sorgen, dass der Traffic weiter, durch den bestehenden S2S Tunnel auf den Server 172.16.16.20 geroutet wird. Das unten dokumentierte Szenario basiert auf dem Umstand, dass auf der Site 1 und Site 2 jeweils eine Fortigate Firewall im Einsatz ist. Ein Teil der untenstehenden Anleitung kann jedoch auch dann übernommen werden, wenn auf Site 2 eine Firewall eines Drittherstellers zum Einsatz kommt, oder wenn sich Site 2 in einer Public Cloud wie Azure oder AWS befindet. Die generischen, herstellerneutralen Schritte, um ein solches Szenario zu konfigurieren sind immer wie folgt:

# Firewall Site 2: Ändern sie die IPs des SSL-VPN-Pool auf einen IP-Range, damit der IP-Pool der Site 2 nicht mit dem Pool von Site 1 kollidiert.
# Firewall Site 1: Konfigurieren Sie in der SSL VPN Client2Site Konfiguration die Split Networks so, dass das entsprechende Netz von Site 2 (172.16.16.0/24) über den SSL VPN Tunnel geroutet wird.
# Firewall Site 1 und Site 2: Konfigurieren Sie die IPSec Einstellung des entsprechenden Tunnels so, dass sich das SSL-VPN-Client2Site Netz von Site 1 (10.10.10.1/24)) auf beiden Seiten entweder in der Local oder in den Remote Networks befindet. Somit werden diese IPs über den IPSec Tunnel überhaupt erst zugelassen.
# Firewall Site 2: Erstellen Sie eine statische Route damit das SSL VPN C2S Netz von Site 1 via IPSec Tunnel an Site 1 übermittelt wird.
# Firewall Site 1 + 2: Passen Sie die entsprechenden Firewallregeln an, damit eine Kommunikation möglich ist.

'''Lösungsansatz:'''

Die untenstehende Anleitung basiert auf folgedem Netzwerkschema:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Netzwerkplan:'''
|-
|
Violett: Bestehende Konfiguration 
Rot: Wird neu konfiguriert
[[file:Fortinet-1940.jpg|550px|link=]]
|-
|}

Konfiguration über das WebGui: Die Konfiguration basiert auf dem FortiOS 6.0.2:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration auf der Seite 1'''
|-
|
Als Erstes die User anlegen. Diese können als lokale User eingerichtet werden (in unserem Beispiel machen wir dies so). Es ist auch möglich Radius oder LDAP User zu konfigurieren.
[[file:Fortinet-1941.jpg|550px|link=]]
<pre>
# config user local
# edit "user1" -> Username definieren
# set type password
# set passwd "user1" -> Passwort definieren
# end
</pre>
----
Die User einer Usergruppe zuweisen. Diese Usergruppe wird beim SSL-VPN Portal dann genutzt.
[[file:Fortinet-1942.jpg|550px|link=]]

<pre>
# config user group
# edit "gr-user-ssl-vpn"
# set member "user1"
# end
</pre>
----
Für die Konfiguration des SSL-VPN Portals brauchen wir noch einen IP Pool. Dieser IP Pool wird den Clients zugewiesen. Es muss darauf geachtet werden, dass der definierte IP-Pool auf der Remote Seite (Site 2) nicht benutzt wird. Der Pool fängt mit der IP Adresse 10.10.10.2 an.
[[file:Fortinet-1943.jpg|550px|link=]]
<pre>
# config firewall address
# edit "ippool-ssl-vpn-10.10.10.2-10.10.10.254"
# set type iprange
# set color 18
# set start-ip 10.10.10.2
# set end-ip 10.10.10.254
# end
</pre>
----
Es muss ein Dummy SSL-VPN Portal eingerichtet werden, um das Handling abdecken zu können wenn kein gültiger User kommt. Wir stellen ein Portal her in welchem es möglich ist nur den FortiClient herunterzuladen.

Menu ''SSL-VPN Portals -> Create New ->'' konfigurieren wie im Screenshot abgebildet. (Tunnel Mode: off, Enable Web Mode: off, Enable FortiClient Download: on)
[[file:Fortinet-1944.jpg|550px|link=]]
<pre>
# config vpn ssl web portal
# edit "dummy-portal"
# end
# end
</pre>
----
Jetzt wird das eigentliche SSL-VPN Portal konfiguriert. HIerzu wird der Tunnel-Mode gewählt. Das bedeutet, dass nur mit dem FortiClient die Verbindung aufgebaut werden kann.

''SSL-VPN-Portals -> tunnel-access editieren oder ein neues Portal definieren (Create New).''

# Tunnel Mode auf "on" stellen.
# Enable Split Tunneling einschalten. Damit wird nur der Traffic über den VPN Tunnel geroutet, welcher auf der Remote Seite anzutreffen ist. Wenn Split Tunneling nicht eingeschaltet wird, wird sämtlicher Traffic (0.0.0.0/0) durch den Tunnel geroutet. Bei Routing Adressen wird das IP Netzwerk angegeben, welches erreicht werden muss. Wir müssen jetzt das Server LAN Netz von Site 1, sowie den IP-Range der DMZ von der Site 2 (172.16.16.0/24) auswählen.
# Source IP Pool definiert des IP Adress Ranges welcher dem VPN-Client zugewiesen wird
# Den Web Mode schalten wir auf off, den brauchen wir für dieses Setup nicht
# Mit OK geht es weiter
[[file:Fortinet-1945.jpg|550px|link=]]

<pre>
# config firewall address
# edit "net-vpn-172.16.16.0-24"
# set color 10
# set allow-routing enable
# set subnet 172.16.16.0 255.255.255.0
# end
</pre>
'''SSL VPN Settings konfigurieren'''
<pre>
# config vpn ssl settings
# set tunnel-ip-pools "ippool-ssl-vpn-10.10.10.2-10.10.10.254"
# set port 443
# set source-interface "wan1"
# set source-address "all"
# set default-portal "dummy-portal"
# config authentication-rule
# edit 1
# set groups "gr-user-ssl-vpn"
# set portal "tunnel-access"
# next
# end
# end
</pre>
----
''SSL-VPN Settings''

# Listen on Interface: hier wird eingestellt auf welchem Interface das SSL-VPN Portal terminiert. Meist ist dies das WAN1 oder WAN2 Interface.
# Listen on Port: Hier wird der Port angegeben über welchen das Portal erreichbar ist. Es ist darauf zu achten, wenn der Administrationsport der Firewall auf 443 eingestellt ist, hier ein alternativ Port gewählt wird. Die bessere Lösung wäre den Administrationsport für HTTPS auf einen anderen Wert zu setzen.
# Tunnel Mode Client Settings: Adress Range wird auf ''Specify custom IP ranges'' gesetz. Der IP Range ist das Adressobjekt welches wir vorab eingerichtet haben (10.10.10.2-10.10.10.254). Bei Bedarf kann noch ein DNS Server konfiguriert werden, ansonsten wird der Default DNS Server des Clients benutzt.
# Allow Endpoint Registration: Diesen Schalter, stellen wir auf off. Wenn er eingeschaltet wird, registriert sich der Client auf der FortiGate. Ab 10 registrierte Geräte wird eine Lizenz benötigt.
# die Portalzuweisungen vornehmen (siehe unten)
[[file:Fortinet-1946.jpg|550px|link=]]

# Authentication/Portal Mapping: Hier können wir die Portale den Gruppen zuweisen. ''Create New'' wird ein neues Mapping eingerichtet. Wir brauchen für die Gruppe gr-user-ssl-vpn das Portal tunnel-access. Alle anderen User/Gruppen gehen in das dummy-portal.
## Die Gruppe gr-user-ssl-vpn weisen wir dem tunnel-access Portal zu
## All Other User/Groupes werden dem dummy-portal zugewiesen
# mitels apply wird das SSL-VPN Setting abgeschlossen
[[file:Fortinet-1947.jpg|550px|link=]]

Im Site to Site IPSEC Tunnel muss noch eine zweite Encryption Domäne hinzugefügt werden. Wir wollen das Netz 10.10.10.0/24 auch durch den Tunnel routen:

# ''VPN -> IPsec Tunnels -> den entsprechenden VPN Tunnel editieren und einen weiteren Phase 2 Selector hinzufügen.''
# Locale Address: Den Adressenpool des SSL-VPN Portal (10.10.10.0/24)
# Remote Address: Das Netzwerk von der Server-DMZ (172.16.16.0/24)
# bei Bedarf unter Advanced noch die Encryption- und Athentication-Parameter anpassen
# mittels OK bestätigen und den neuen Selector anzufügen
[[file:Fortinet-1952.jpg|550px|link=]]

''' Adressen Objekt definieren für Splittunnel:'''
<pre>
# config vpn ipsec phase2-interface
# edit "Site1_to_Site2" -> Name des Tunnels
# edit "site1-sslvpn-site2" -> Name des Selektors definieren
# set phase1name "Site1_to_Site2"
# set proposal aes256-sha256 aes128gcm aes256gcm chacha20poly1305 -> Gewünschte Verschlüsslungsalgorithmen konfigurieren
# set dhgrp 14
# set src-subnet 10.10.10.0 255.255.255.0 -> Source Netzwerk: SSL-VPN IP-Pool
# set dst-subnet 172.16.16.0 255.255.255.0 -> Destinations Netzwerk (DMZ ServerLan)
# end
</pre>
----
'''Konfiguration der Policy für den Zugriff vom Client auf das SSL-VPN weiter zur Remote Seite des IPSEC Tunnels:'''

''Policy & Objects -> IPv4Policy -> Create New''

# Incoming Interface: Interface des SSL-VPN Portals
# Outgoing Interface: Interface des IPSEC Site to Site Tunnels
# Source: IP-Pool Adressenrange vom SSL-VPN Portal (10.10.10.2/24) und die SSL-VPN Gruppe (gr-user-ssl-vpn)
# Destination: IP Adressrange des DMZ ServerLan (172.16.16.0/24)
# Services: die benötigten Ports freischalten (in userem Beispiel ist ANY gewählt)
# NAT: deaktiviert lassen
# Security Profiles: die gewünschten UTM-Features anwählen
# Logging Options: Log Allowed Traffic aktivieren und All Sessions anwählen
# Enable this policy: Darauf achten, dass der Schalter aktiv ist
# mit OK wird die Policy erstellt und kann dann in der Übersicht nach oben geschoben werden
[[file:Fortinet-1949.jpg|550px|link=]]

Die Zerfikatsmeldung kann ignoriert werden.
[[file:Fortinet-1950.jpg|550px|link=]]

Übersicht des Policysets (es ist darauf zu achten, dass die VPN Regeln oberhalb der regulären Regeln sind):
[[file:Fortinet-1951.jpg|750px|link=]]
|-
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration auf der Seite 2'''
|-
|
Im bestehenden IPSEC Tunnel zur Site 1 muss noch ein zweiter Phase 2 Selektor für das SSL-VPN Netz erstellt werden.

''IPsec Tunnels -> den entsprechenden Tunnel editieren''

# einen neuen Phase 2 Selector eröffnen (locales Netz 172.16.16.0/24, Remote Netz 10.10.10.0/24)
# Mit OK den zweiten Selector bestätigen
[[file:Fortinet-1953.jpg|550px|link=]]

<pre>
# config vpn ipsec phase2-interface
# edit "site2-site1-sslvpn" -> Name des Tunnels
# set phase1name "site2-site1" -> Name des Selektors definieren
# set proposal aes256-sha256 aes128gcm aes256gcm chacha20poly1305 -> Gewünschte Verschlüsslungsalgorithmen konfigurieren
# set dhgrp 14
# set src-subnet 172.16.16.0 255.255.255.0 -> Source Netzwerk (DMZ ServerLan)
# set dst-subnet 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool
# next
# end
</pre>
----
Jetzt muss das SSL-VPN Netz noch zurück in den Tunnel geroutet werden.

''Network -> Static Routes -> Create New''

# Das Netz des SSL-VPNs IP-Pool eintragen. (in unserem Fall 10.10.10.0/24)
# Interface: Das Site to Site VPN Interface auswählen
# Kommentare schaffen Klarheit!
# Mit OK wird die Route konfiguriert:
[[file:Fortinet-1954.jpg|550px|link=]]

<pre>
# config router static
# edit [intiger]
# set dst 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool Netz eintragen
# set device "site2-site1" -> IPSEC Interface vom Tunnel Site 1 <-> Site 2 eintragen
# set comment "sslvpn site1"
# end
</pre>

Die Blackhole-Route nicht vergessen einzurichten:

''Network -> Static Routes -> Create New''

# Das Netz des SSL-VPN IP-Pool eintragen. (in unserem Fall 10.10.10.0/24)
# Interface: Das Interface Blackhole auswählen
# Die administrative Distance hier muss höher sein, als die administrative Distance der regulären Route. Wir empfehlen den Wert 254 zu konfigurieren.
# Kommentare schaffen Klarheit!
# Mit OK wird die Route konfiguriert
[[file:Fortinet-1955.jpg|550px|link=]]

<pre>
# config router static
# edit [intiger]
# set dst 10.10.10.0 255.255.255.0 -> SSL-VPN IP-Pool Netz eintragen
# set distance 254 -> Distanz muss hier höher sein, als in der regulären Route!
# set comment "Blackhole Route"
# set blackhole enable
# end
</pre>

Wenn die Routen konfiguriert sind, können diese kontrolliert werden. Bitte noch einmal prüfen ob die Distance der Blackhole Route höher als die reguläre Route ist:
[[file:Fortinet-1956.jpg|550px|link=]]

Jetzt kann der zweite Selektor des IPSEC Tunnels hochgefahren werden.

''Monitor -> IPsec Monitor -> auf dem entsprechenden Tunnel in der Phase 2 des Selectors mit Rechtsklick auf ''Bring Up'' klicken

[[file:Fortinet-1957.jpg|550px|link=]]
Wenn alles grün ist, ist der Tunnel up and running
[[file:Fortinet-1958.jpg|250px|link=]]
----
Damit der Traffic an den Server weitergeleitet wird, muss noch eine Policy eingerichtet werden:

''Policy & Objects -> IPv4 Policy -> Create New''

# Incoming Interface: Das IPSEC Interface auswählen
# Outgoing Interface: Das Interface hinter welchem das Netz 172.16.16.0/24 angebunden ist
# Source: Das IP-Pool Netz des SSL-VPN (10.10.10.0/24)
# Destination: Das Netz welches erreicht werden soll (172.16.16.0/24)
# Services: in diesem Beispiel ist "all" angeben. Um eine optimale Sicherheit zu gewährleisten, macht es Sinn hier Einschränkungen mit den benötigten Ports vorzunehmen
# NAT: deaktiviert lassen
# Security Profile können nach Bedarf konfiguriert werden
# Logging Options: Log Allowed Traffic einschalten und All Sessions anwählen
# Enable this Policy: einschalten
# Mit OK wird die Policy zu unterst im Regelset angefügt. Die Regel sollte zu den anderen VPN Regeln nach oben geschoben werden
[[file:Fortinet-1959.jpg|550px|link=]]

''' Adressobjekte:'''
<pre>
# config firewall address
# edit "net-172.16.16.0-24"
# set color 2
# set subnet 172.16.16.0 255.255.255.0
# next
# edit "vpn-remote-10.10.10.0-24"
# set color 10
# set subnet 10.10.10.0 255.255.255.0
# end
</pre>
'''Policy konfigurieren:'''
<pre>
# config firewall policy
# edit [intiger]
# set name "I_sslVPN-Site1_Site2"
# set srcintf "site2-site1" -> Source Interface ist das IPSEC-VPN Interface
# set dstintf "internal1" -> Destinations Interface ist das DMZ ServerLan Interface
# set srcaddr "vpn-remote-10.10.10.0-24" -> Source IP: SSL-VPN IP-Pool
# set dstaddr "net-172.16.16.0-24" -> Destination IP: Netzwerk des DMZ ServerLan
# set action accept
# set status enable
# set schedule "always"
# set service "ALL"
# set logtraffic all
# end

</pre>

Die VPN Regeln zusammen bündeln:
[[file:Fortinet-1960.jpg|750px|link=]]
|-
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''Konfiguration vom FortiClient'''
|-
|
Eine neue Verbindung im FortiClient einrichten:

'' Reiter SSL-VPN anwählen ''
# Verbindungsname eingeben
# Beschreibung für eigene Übersicht bei Bedarf eingeben
# Bei Remote Gateway die Public IP Adresse der Site 1 (212.1.1.1) eingeben
# Standartmässig ist der Port auf 443 konfiguriert, falls im SSL-VPN Portal ein anderer Port definiert wurde ist dieser hier entsprechend anzupassen
# Mit anwenden wird der Zugang konfiguriert
[[file:Fortinet-1961.jpg|550px|link=]]
----
Zum Verbinden den entsprechenden Tunnel anwählen und die Benutzer Daten (Username und Passwort) eingeben. Mit verbinden baut man den Tunnel auf.
[[file:Fortinet-1962.jpg|550px|link=]]
----
Wenn die Anmeldung erfolgreich durchgeführt werden konnte, wird der Tunnel aufgebaut. Wir sehen die IP Adresse, welche von der Site 1 dem Client zugewiesen wurde (10.10.10.2)
[[file:Fortinet-1963.jpg|550px|link=]]
----
Auf der Site 2 können wir jetzt sehen, dass der Traffic von der IP Adresse 10.10.10.1 auf 172.16.16.20 mit der Policy ID 3 gematcht hat. Wir sehen die Adresse 10.10.10.2 welche aus dem SSL-VPN IP-Pool zugewiesen wurde
[[file:Fortinet-1964.jpg|750px|link=]]
|-
|}

=== Welche Faktoren sind bei einer VPN Geschwindigkeitsmessung relevant? ===
Wenn zwischen zwei Standorten ein IPSec Tunnel erstellt wird, so ist der Datendurchsatz zwischen den zwei Standorten von unterschiedlichen Faktoren abhängig. Häufig anzutreffen ist inzwischen der Umstand, dass an beiden Standorten eine synchrone Gigabit Internetverbindung vorhanden ist, und dass nun die Erwartungshaltung besteht, dass zwischen diesen beiden Standorten eine VPN-Verbindung mit annähernd Gigabit Geschwindigkeit möglich sein wird. In diesem Szenario spielt es jedoch auch eine grosse Rolle, ob der Provider (oder die mehreren Provider) dieses Gigabit auch durch seinen Backbone gewährleistet, was meistens nicht der Fall ist. 

Der folgende Artikel hilft, den maximal technisch möglichen Durchsatz zwischen zwei Standorten zu ermitteln.

[[file:Fortinet-1971.jpg|link=]]

Folgende Faktoren sind relevant um zu bestimmen, welcher Durchsatz maximal überhaupt möglich ist:

{| class="wikitable" style="width:1024px"
|- style="vertical-align:top;"
! scope="col" style=background:#7030A0| Seite A
! scope="col" style=background:#BF9000| Seite B
|-
|
'''1. Firewall''' 
1.1. Modell der Firewall (Fortigate 100E, Sophos XG 115 Rev.3 etc.) 
1.2. Maximal zu erwartender Durchsatz gemäss Datenblatt <nowiki>*</nowiki> 
1.3. Gewählte MTU auf dem WAN-Interface 
'''2. ISP''' 
2.1. Name des ISP 
2.2. Garantierter Upload des ISP 
2.3. Garantierter Download des ISP 
|
'''1. Firewall''' 
1.1. Modell der Firewall (Fortigate 100E, Sophos XG 115 Rev.3 etc.) 
1.2. Maximal zu erwartender Durchsatz gemäss Datenblatt <nowiki>(*)</nowiki> 
1.3. Gewählte MTU auf dem WAN-Interface 
'''2. ISP''' 
2.1. Name des ISP 
2.2. Garantierter Upload des ISP 
2.3. Garantierter Download des ISP 
|-
|colspan="2"|
'''3. Parameter zwischen den Standorten''' 
3.1. Gemessener Durchsatz zwischen der Seite A und Seite B ohne IPSec Tunnel.<nowiki>(#)</nowiki> 
3.2. Hops zwischen Firewall Seite A und Firewall Seite B (zu messen mit einem Traceroute zwischen den Firewalls) 
3.3. Ping-Zeiten zwischen den beiden Standorten 
|}

'''<nowiki>*</nowiki> Die Durchsätze können den Datenblättern entnommen werden:''' 
1. [https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf Datenblatt Fortinet] Verwende den Wert ''IPsec VPN Throughput'' 
2. [https://sophos.also.ch/wiki/images/e/eb/Sophos-XG-Sizing-guide.pdf Datenblatt Sophos] Verwende den Durchsatz ''VPN AES Realworld (Mbps) multiple tunnels/cores''

'''<nowiki>#</nowiki> Gemessener Durchsatz zwischen den zwei Standorten''' Eine gültige Messung zwischen den Standorten hilft festzustellen welcher Durchsatz der Provider durch seinen Backbone gewährleistet. Dieser Durchsatzwert kann natürlich je nach Tageszeit und allgemeiner Netzbelastung erheblich variieren. Eine Messung zu dessen Erhebung kann wie folgt vorgenommen werden:''' 
1. Laden Sie auf https://speed.hetzner.de/ eines der zur verfügungstehenden Testfiles herunter. 
2. Kopieren Sie dieses Testfile auf einen Webserver an einem der beiden Standorte 
3. Publizieren Sie diesen Webserver via DNAT über die Firewall ins Internet (Anleitung hierzu: [https://community.sophos.com/kb/en-us/122976 Sophos], [https://cookbook.fortinet.com/using-virtual-ips-configure-port-forwarding-54/ Fortinet]) 
4. Laden Sie die Datei vom gegenüberliegenden Standort über das Internet (und nicht über den IPSec Tunnel) herunter, und messen sie den erreichten Durchsatz. 

'''Maximal zu erwartender Durchsatz insgesamt:''' 
* Der maximale, technisch mögliche Durchsatz durch einen VPN Tunnel ergibt sich aus dem kleinsten Wert der oben erhobenen Durchsatzwerte in den Punkten 1.2, 2.2, 2.3 und 3.1.
* Die erhobenen Messwerte in den Punkten 3.2 und 3.3 haben keinen direkten Einfluss auf den maximal möglichen Durchsatz, sind jedoch relevant wenn es um Messgrössen wie Delay oder Jitter geht.

===Wie kann ich eine gültige VPN Performancemessung erstellen?===
Nachdem im Artikel [[FortiGate-6.0:FAQ#Welche_Faktoren_sind_bei_einer_VPN_Geschwindigkeitsmessung_relevant.3F | Welche Faktoren sind bei einer VPN Geschwindigkeitsmessung relevant]] der maximal erreichbare technische Durchsatz ermittelt wurde, möchte man nun dazu übergehen zu messen, ob dieser Durchsatz in der Praxis auch erreicht werden kann. Dabei gibt es ein paar Richtlinien zu beachten. Das altbekannte Sprichwort ''Wer misst, misst Mist!'' ist in diesem Fall leider oftmals allgegenwärtig.

Tools, welche beispielsweise via SMB eine Datei auf einen Fileshare kopieren, und dann den erreichten Durchsatz messen, messen nicht unbedingt den VPN Durchsatz, sondern unter Umständen viel eher:
# Die Festplattengeschwindigkeit des Zielsystems
# Die Geschwindigkeit des SMB Protokolls
# Die Geschwindigkeit der onRead Antivirenüberprüfung des Zielsystems
# Die Geschwindigkeit des DNS-Resolvers

Um solche Messfehler zu vermeiden, müssen folgende Richtlinien bei einer Messung unbedingt beachtet werden:
* Eine Messung findet zwischen zwei Messsystemen statt, auf welchen zum Zeitpunkt der Messung kein anderer Traffic und keine anderen Tasks verarbeitet wird.
* Der gesammte VPN Tunnel wird zum Zeitpunkt der Messung nicht von irgendwelchen anderen Systemen in Anspruch genommen.
* Die beiden Internetleitungen werden zum Zeitpunkt der Messung nicht von irgendwelchen anderen Systemen belegt.
* Die beiden Messsysteme befinden sich auf beiden Seiten direkt hinter der Firewall.
* Als Messtool wird IPerf3 eingesetzt. Das Tool kann von der [https://iperf.fr/ Iperf Projektseite] inklusive Bedienungsanleitung heruntergeladen werden.

{| class="wikitable"
|- style="background:#89E871"
| '''Datei:'''
| '''Beschreibung:'''
|-
| style="width:50%" ;|
[[Datei:Iperf-howto.pdf]]
| style="width:50%" ;|
IPerf Anleitung
|-
|[[Datei:Tools-iperf.zip]]
| IPerf Tool
|}
----
'''Messaufbau''' 
[[file:Fortinet-1972.jpg|link=]] 

[[file:Fortinet-1973.jpg|link=]]

=== Wie konfiguriere ich ein VPN zwischen einer FortiGate und einer Sophos UTM Firewall? ===
====Ausgangslage:====
In diesem Artikel wird beschrieben, wie ein Site-to-Site VPN zwischen einer FortiGate und einer Sophos UTM Firewall konfiguriert werden kann. Dieses Setup wurde unter folgenden Bedingungen aufgebaut und durchgetestet:

{| class="wikitable" style="width:100%"
|- style="vertical-align:top;"
!
! scope="col" style=background:#00b050| Seite FortiGate
! scope="col" style=background:#ffff00| Seite Sophos UTM
|-
|
'''Netzplan'''
|colspan="2" style="text-align:center"|[[File:Fortinet-2775.jpg|750px|link=]]
|-
| '''Hardware'''
|style="text-align:center"|FortiGate 300D
|style="text-align:center"|Sophos UTM/SG
|-
| '''Software'''
|style="text-align:center"|6.4.2 build1723
|style="text-align:center"|V9.703-3
|-
| '''Lokal Netzwerk'''
|style="text-align:center"|198.18.0.0/24
|style="text-align:center"|192.168.111.0/24
|-
| '''Public IP'''
|style="text-align:center"|146.XX.XX.66
|style="text-align:center"|194.XX.XX.111
|-
|
'''Authentication'''
|colspan="2" style="text-align:center"|
Pre-shared Key definieren
|-
|
'''IKE Version'''
|colspan="2" style="text-align:center"|
Version 1 (UTM unterstützt IKE Version 2 nicht)
|-
|
'''Phase 1 Proposal'''
|colspan="2" style="text-align:center"|
Alogrithms: AES256-SHA256 DH-Group 5
|-
|
'''Phase 1 Key Lifetime'''
|colspan="2" style="text-align:center"|
86400 Sekunden
|-
|
'''Phase 2 Proposal'''
|colspan="2" style="text-align:center"|
Alogrithms: AES256-SHA512 / PFS-DH-Group 5
|-
|
'''Phase 2 Key Lifetime'''
|colspan="2" style="text-align:center"|
43200 Sekunden
|-
|}

====Konfiguration FortiGate 300D:====

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
'''Konfigurieren des VPN-Tunnels:'''

'''Netzwerkeinstellungen:'''

# VPN-Tunnel Name definieren (mit diesem Namen wird beim WAN Interface das Tunnelinterface gebildet)
# Bei ''Remote Gateway'' den Typ auf ''Static IP Address'' stellen
# Im Feld ''IP Address'' wird die Public IP Adresse der Sophos UTM Firewall eingetragen (194.XX.XX.111)
# Bei ''Interface'' wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnelinterface dann als Subinterface gebildet
# ''NAT Traversal'' je nach Situation aktivieren oder nicht aktivieren

[[File:Fortinet-2758.jpg|750px|link=]]

'''Authentication konfigurieren:'''

# ''Method'' Auf Pr-shared Key einstellen.
# Im Feld ''Pre-shared Key'' einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der SOPHOS-UTM dann auch benötigt)
# Wir müssen die IKE Version 1 auswählen, da die Sophos UTM Modelle den Standard IKE Version 2 nicht unterstützten.

[[File:Fortinet-2751.jpg|750px|link=]]

'''Phase 1 Parameter konfigurieren:'''

# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 konfigurieren
# Alle anderen Encryption und authentication Parameter entfernen
# Die ''Diffie-Hellmann Group'' wird auf 5 eingestellt
# Der Parameter ''Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen (dies muss unbedingt auf der Gegenseite gleich definiert werden)

[[File:Fortinet-2752.jpg|750px|link=]]

'''Phase 2 Selektoren konfigurieren:'''

Auf der Sophos wird der Term 0.0.0.0/0 nicht unterstützt. 
In unserem Beispiel wird Local 198.18.0.0/24 und Remote Netz 192.168.111.0/24 konfiguriert.

# ''Name'' in diesem Feld kann ein Name für den Selektor definiert werden (Überblick bewahren)
# ''Local Address'' Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 198.18.0.0/24 konfigurieren
# ''Remote Address'' Das Netz welches wir hinter der Sophos UTM Firewall erreichen wollen. Typ auf Subnet stellen und Adresse 192.168.111.0/24 konfigurieren
# Unter dem Menüpunkt ''Advanced'' können die Phase 2 Proposal konfiguriert werden
# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 stellen. Alle anderen Encryption und Authentications Parameter entfernen (auf das X klicken)
# ''Perfect Forward Secrecy (PFS)'' aktivieren
# Die ''Difie-Hellman Group'' auf 14 einstellen
# ''Key Lifetime'' auf ''Second'' stellen und dann 43200 Sekunden einstellen (dies muss unbedingt auf der Gegenseite gleich definiert werden)

[[File:Fortinet-2753.jpg|750px|link=]]
|-
|
'''Konfigurieren der Routen:''' 
Auf der FortiGate müssen die Netze der Remote Seite in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnelinterface (gw-sophos). Damit bei einem Unterbruch des Tunnels, der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu in folgendem Artikel: [[FortiGate:FAQ#Was_ist_eine_Blackhole-Route.3F|Was ist eine Blackhole Route?]]

Die Routen werden wie folgt konfiguriert:
Menu: Network -> static Routes -> [[File:Createnew.jpg|link=]] 
[[File:Fortinet-2755.jpg|750px|link=]]
|-
|
'''Konfigurieren der Policies:''' 
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (gw-sophos) und dem internen Interface (Port1).

Menu : Policy & Objects -> IPv4 Policy -> [[File:Createnew.jpg|link=]] 
[[File:Fortinet-2756.jpg|750px|link=]]

[[File:Fortinet-2757.jpg|750px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''VPN Phase 1 konfigurieren:''' 
<pre>
config vpn ipsec phase1-interface
edit "[VPN_NAME]"
set interface "[WAN-INTERFACE]"
set peertype any
set net-device disable
set proposal aes256-sha256
set comments "VPN zu Sophos UTM"
set dhgrp 5
set nattraversal disable
set remote-gw [PUBLIC_IP_SOPHOS-UTM]
set psksecret [PRESHARED-KEY]
next
end
</pre>
----
'''VPN Phase 2 konfigurieren:''' 
<pre>
config vpn ipsec phase2-interface
edit "p2_[VPN_NAME]"
set phase1name "[VPN_NAME]"
set proposal aes256-sha256
set dhgrp 5
set keepalive enable
set src-subnet [MEIN_LOKALES_NETZWERK NETZMASKE]
set dst-subnet [REMOTE NETZWERK NETZMASKE]
next
end
</pre>
----
'''Routen konfigurieren:''' 
<pre>
config router static
edit 2
set dst [REMOTE NETZWERK NETZMASKE]
set device "[VPN_NAME]"
set comment "Route Remote Netz ALSO DE - UTM Sophos "
next
edit 3
set dst [REMOTE NETZWERK NETZMASKE]
set comment "Blackhole [REMOTE NETZWERK NETZMASKE]"
set distance 254
set blackhole enable
next
end
</pre>
----
'''Adress Objekte für Policies konfigurieren:'''
<pre>
config firewall address
edit "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
set color 10
set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
next
edit "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
set color 10
set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
next
end
</pre>
----
'''Policy konfigurieren:'''
<pre>
config firewall policy
edit 1
set name "O_vpn-sophosUTM"
set srcintf "[INTERNES_INTERFACE]"
set dstintf "[VPN_NAME]"
set srcaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
set dstaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 2
set name "I__vpn-sophosUTM"
set srcintf "[VPN_NAME]"
set dstintf "[INTERNES_INTERFACE]"
set srcaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
set dstaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
end
</pre>
|}

==== Konfiguration auf der Sophos UTM:====
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
Auf der Sophos UTM Firewall wird ein VPN wie folgt aufgebaut: 
# '''Connections:''' Hier wird der lokale Teil konfiguriert. Das lokale Netzwerk, das Interface welches als ''Listener'' definiert wird (meistens ein WAN Interface)
# '''Remote Gateway:''' In diesem Abschnitt werden die Remote VPN Gateway Parameter konfiguriert. In unserem Fall ist dies die pulblic IP-Adresse der FortiGate und das Remote Netzwerk welches wir hinter der FortiGate erreichen wollen.
# '''Policy:''' werden die Verschlüsselungs-Parameter konfiguriert.
|-
|
'''Neuen Tunnel erstellen:''' 
# Unter dem Menü ''Site-to-Site VPN'' auf ''IPsec'' gehen
# Um den neuen Tunnel zu erstellen ''New IPsec Connection...'' anwählen
[[File:Fortinet-2806.jpg|750px|link=]]
|-
|
 '''Remote Gateway:''' 
# Name im Feld ''Name?? definieren
# ''Gateway type'' -> wie der Tunnel aufgebaut werden soll (Sophos UTM als Initator oder als Responder) konfigurieren. Wir haben beide Varianten ausprobiert. Es funktioniert sogar ohne dass auf der FortiGate etwas verändert werden muss.
# ''Authentcation type'' haben wir mit einem Preshared Key konfiguriert. Dieser muss natürlich auf der FortiGate deckungsgleich eingegeben werden.
# ''VPN ID type'' soll auf ''IP address'' gelassen werden (die FortiGate interpretiert die IP Adresse der Sophos UTM als ID)
# Im Feld ''Remote networks'' werden die Netze auf der Gegenseite definiert, welche aus dem Sophos Netzwerk erreicht werden sollen. ACHTUNG: die Sophos unterstützt 0.0.0.0/0 nicht (was auch gut so ist). Mittels dem Icon [[file:sophos-utm-newObject.jpg|link=]] kann ein neues Remote Netzwerk erstellt werden.
# Alles abspeichern und dann kann das erstellte Remote Gateway Profil unter ''Connections'' ausgewählt werden.
[[File:Fortinet-2759.jpg|750px|link=]]
|-
|
'''Policy:''' 
# Unter [[file:sophos-utm-newObject.jpg|link=]] ''new IPsec Policy'' kann eine neue VPN Policy konfiguriert werden
# ''Name'' In diesem Feld wird tatsächlich der Name der Policy angegeben (Policy hat auf der Sophos eine andere Bedeutung als dies auf der FortiGate der Fall ist)
# Die entsprechenden Phase 1 und Phase 2 Parameter deckungsgleich analog jener der FortiGate definieren. Achtung: die FortiGate und die Sophos UTM haben nicht dieselben default Life Time in den entsprechenden Phasen. Diese sind undbedingt aufeinander abzustimmen.
# Mit dem Button ''Save'' wird die neue Policy mit den definierten Name erstellt und kann dann im Menü 'Connections'' ausgewählt werden.
[[File:Fortinet-2760.jpg|750px|link=]]
|-
|
'''Connections:''' 
# Im Menü ''Connections'' jetzt die angelegten Profile auswählen:
## ''Remote Gateway'' das vorher konfigurierte Profil aus Remote Gateway anwählen
## unter ''Policy'' die VPN Policy auswählen, welche vorher definiert wurde
# ''Local interface'' Hier wird definiert auf welchem Interface der VPN-Tunnel auf der Sophos terminiert (in unserem Fall ''External'')
# Lokale Netzwerke auswählen welche für das VPN vorgesehen sind
# die Option ''Automatic firewall rules'' aktivieren, damit die Sophos beim speichern automatisch die Firewall-Regeln gemäss VPN-Definition im Regelwerk erstellt wird
# Mit ''Save'' den IPSec-Tunnel erstellen und dann testen
[[File:Fortinet-2763.jpg|750px|link=]]
|}

==== Erfolgskontrolle:====

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''VPN-Monitore:'''
|-
|

VPN Monitor - FortiGate:
[[File:Fortinet-2750.jpg|750px|link=]]
VPN Monitor - Sophos UTM:
[[File:Fortinet-2762.jpg|750px|link=]]
|}

'''Anleitung als PDF:''' 
* [[Datei:HowTo_VPN_FortiGate-SophosUTM.pdf]]

=== Wie konfiguriere ich ein VPN zwischen einer FortiGate und einer Sophos XG Firewall? ===
'''Artikel noch im Aufbau , bitte um Geduld'''

====Ausgangslage:====
{| class="wikitable" style="width:100%"
|- style="vertical-align:top;"
!
! scope="col" style=background:#00b050| Seite FortiGate
! scope="col" style=background:#ffff00| Seite Sophos XG
|-
|
'''Netzplan'''
|colspan="2" style="text-align:center"|[[File:Fortinet-2776.jpg|750px|link=]]
|-
| '''Hardware'''
|style="text-align:center"|FortiGate 300D
|style="text-align:center"|Sophos XG 210
|-
| '''Software'''
|style="text-align:center"|6.4.2 build1723
|style="text-align:center"|V18.0.1 MR1
|-
| '''Lokal Netzwerk'''
|style="text-align:center"|198.18.0.0/24
|style="text-align:center"|192.168.111.0/24
|-
| '''Public IP'''
|style="text-align:center"|146.XX.XX.66
|style="text-align:center"|194.XX.XX.111
|-
|
'''Authentication'''
|colspan="2" style="text-align:center"|
Pre-shared Key definieren
|-
|
'''IKE Version'''
|colspan="2" style="text-align:center"|
Version 2
|-
|
'''Phase 1 Proposal'''
|colspan="2" style="text-align:center"|
Algorithmus: AES256-SHA256 DH-Group 5
|-
|
'''Phase 1 Key Lifetime'''
|colspan="2" style="text-align:center"|
86400 Sekunden
|-
|
'''Phase 2 Proposal'''
|colspan="2" style="text-align:center"|
Algorithmus: AES256-SHA512 / PFS-DH-Group 5
|-
|
'''Phase 2 Key Lifetime'''
|colspan="2" style="text-align:center"|
43200 Sekunden
|-
|}

====Konfiguration FortiGate====

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
'''Konfigurieren des VPN Tunnels:'''

'''Netzwerkeinstellungen:'''

# VPN Tunnel Name definieren. (Mit diesem Namen wird beim WAN Interface das Tunnelinterface gebildet.)
# Bei ''Remote Gateway'' den Typ auf ''Static IP Address'' stellen.
# Im Feld ''IP Address'' wird die Public IP Adresse der Sophos XG Firewall eingetragen (194.XX.XX.112)
# Bei ''Interface'' wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnelinterface dann als Subinterface gebildet.
# ''NAT Traversal'' je nach Situation aktivieren oder nicht aktivieren.

[[File:Fortinet-2764.jpg|550px|link=]]

'''Authentication konfigurieren:'''

# ''Method'' Auf Pr-shared Key einstellen.
# Im Feld ''Pre-shared Key'' einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Sophos XG dann auch benötigt)
# Wir benutzen die IKE Version 2

[[File:Fortinet-2765.jpg|550px|link=]]
[[Datei:Fortinet-2765.jpg]]

'''Phase 1 Parameter konfigurieren:'''

# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 konfigurieren.
# Alle anderen Encryption und Authentications Parameter entfernen.
# Die ''Diffie-Hellmann Group'' wird auf 5 eingestellt.
# Der Parameter ''Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen. (Dies muss unbedingt mit der Gegenseite gleich definiert werden)

[[File:Fortinet-2766.jpg|550px|link=]]
[[Datei:Fortinet-2766.jpg]]

'''Phase 2 Selektoren konfigurieren:'''

Auf der Sophos wird der Term 0.0.0.0/0 nicht unterstützt. 
In unserem Beispiel wird Local 198.18.0.0/24 und Remote Netz 192.168.12.0/24 konfiguriert.

# ''Name'' in diesem Feld kann ein Name für den Selektor definiert werden (Übersicht wahren)
# ''Local Address'' Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 198.18.0.0/24 konfigurieren.
# ''Remote Address'' Das Netz welches wir hinter der Sophos XG Firewall erreichen wollen. Typ auf Subnet stellen und Adresse 192.168.12.0/24 konfigurieren.
# Unter dem Menupunkt ''Advanced'' können die Phase 2 Proposal konfiguriert werden.
# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 stellen. Alle anderen Encryption und Authentications Parameter entfernen. (Auf das X klicken)
# ''Perfect Forward Secrecy (PFS)'' aktivieren
# Die ''Difie-Hellman Group'' auf 14 einstellen.
# ''Key Lifetime'' auf Second stellen und dann 43200 Sekunden einstellen (Dies muss unbedingt mit der Gegenseite gleich definiert werden)

[[File:Fortinet-2766.jpg|550px|link=]]
|-
|
'''Konfigurieren der Routen:''' 
Auf der FortiGate müssen die Netze der Remote Seite in den IPSec Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnelinterface (gw-sophos). Damit bei einem Unterbruch des Tunnels, der Traffic nicht über die Default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : [[FortiGate:FAQ#Was_ist_eine_Blackhole-Route.3F|Was ist eine Blackhole Route?]]

Die Routen werden folgendermassen konfiguriert:
Menu: Network -> Static Routes -> [[File:Createnew.jpg|link=]] 
[[File:Fortinet-2767.jpg|750px|link=]]
|-
|
'''Konfigurieren der Policies:''' 
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bi-direktional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem vpn Tunnel Interface (gw-sophos) und dem internen Interface (port1).

Menu : Policy & Objects -> IPv4 Policy -> [[File:Createnew.jpg|link=]] 
[[File:Fortinet-2768.jpg|550px|link=]]

[[File:Fortinet-2769.jpg|550px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''VPN Phase 1 konfigurieren:''' 
<pre>
config vpn ipsec phase1-interface
edit "[VPN_NAME]"
set interface "[WAN-INTERFACE]"
set peertype any
set net-device disable
set proposal aes256-sha256
set comments "VPN zu Sophos XG"
set dhgrp 5
set nattraversal disable
set remote-gw [PUBLIC_IP_SOPHOS-XG]
set psksecret [PRESHARED-KEY]
next
end
</pre>
----
'''VPN Phase 2 konfigurieren:''' 
<pre>
config vpn ipsec phase2-interface
edit "p2_[VPN_NAME]"
set phase1name "[VPN_NAME]"
set proposal aes256-sha256
set dhgrp 5
set keepalive enable
set src-subnet [MEIN_LOKALES_NETZWERK NETZMASKE]
set dst-subnet [REMOTE NETZWERK NETZMASKE]
next
end
</pre>
----
'''Routen konfigurieren:''' 
<pre>
config router static
edit 2
set dst [REMOTE NETZWERK NETZMASKE]
set device "[VPN_NAME]"
set comment "Route Remote Netz ALSO DE - XG Sophos "
next
edit 3
set dst [REMOTE NETZWERK NETZMASKE]
set comment "Blackhole [REMOTE NETZWERK NETZMASKE]"
set distance 254
set blackhole enable
next
end
</pre>
----
'''Adress Objekte für Policies konfigurieren:'''
<pre>
config firewall address
edit "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
set color 10
set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
next
edit "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
set color 10
set subnet [NETZWERK_ADRESSE] [SUBNETZMASKE]
next
end
</pre>
----
'''Policy konfigurieren:'''
<pre>
config firewall policy
edit 1
set name "O_vpn-sophosXG-DE"
set srcintf "[INTERNES_INTERFACE]"
set dstintf "[VPN_NAME]"
set srcaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
set dstaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 2
set name "I__vpn-sophosXG-DE"
set srcintf "[VPN_NAME]"
set dstintf "[INTERNES_INTERFACE]"
set srcaddr "[NAME_ADRESSOBJEKT_REMOTE_NETZWERK]"
set dstaddr "[NAME_ADRESSOBJEKT_INTERNES_NETZWERK]"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
end
</pre>
|}

==== Konfiguration Sophos XG ====
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Ein neuer VPN wird im Menu ''Configure-> VPN -> IPsec connections'' erstellt.

'''Authentication konfigurieren:'''
|-
|
[[File:Fortinet-2772.jpg|750px|link=]]
'''Netzwerkeinstellungen:'''
# in den Gateway settings werden die Netzwerkparameter konfiguriert.
'''Local gateway:''' (Netzwerk Optionen Sophos XG Firewall)
# ''Local gateway'' das ausgehende Interface (WAN) auswählen. In unserem Beispiel ist dies der Port2 mit der IP Adresse 194.XX.XX.112
# ''Local subnet'' Hier wird das Netzwerk definiert, welches mit der Remoteseite kommunizieren soll. In unserem Beispiel das Netz 192.168.12.0/24
''' Remote gateway ''' (Netzwerk Optionen der FortiGate- Remoteseite)
# ''Gateway address'' wird die Public IP Adresse der FortiGate eingetragen. In unserem Fall 146.XX.XX.66
# ''Remote subnet'' beduetet, welches Netz/Netze auf hinter der FortiGate angesprochen werden sollen. Unser Beispiel: 198.18.0.0/24
[[File:Fortinet-2773.jpg|750px|link=]]
|-
|
'''Phase 1 Parameter konfigurieren:'''
# im Menu IPsec policies werden die Phase1 und Phase2 Parameter definiert:
# Im Feld ''Name'' den Policy Namen der P1/P2 Parameter definieren.
# Key echchange benutzen wir die IKEv2 Version (IKE Version 2)
# Phase 1 die Key life Parameter mit der FortiGate abgleichen : 86400sec
# DH Group haben wir auf 5 (DH1536) gesetzt
# Encryption und Authentication Algorithmen wie auf der FortiGate definieren (AES256-SHA256)
# weiter zur Phase2 scrollen
[[File:Fortinet-2774.jpg|750px|link=]]
|-
|
'''Phase 2 Selektoren konfigurieren:'''
# PS group (DH group) definieren ''5 (DH1536)''. Dabei darauf achten, dass im Feld Key life der selbe Wert eingetrgen wird, wie auf der FortiGate ''(43200sec)''
# Encryption und Authentication Parameter wie auf der FortiGate konfigurieren''(AES256 - SHA256)''
# DPD aktivieren
# mit ''Save'' bestätigen.
[[File:Fortinet-2771.jpg|750px|link=]]
|-
|

|}

=== Wie konfiguriere ich ein VPN zwischen einer FortiGate und einer Checkpoint Firewall? ===
====Ausgangslage:====
{| class="wikitable" style="width:1000px"
|- style="vertical-align:top;"
!
! scope="col" style=background:#00b050| Seite FortiGate
! scope="col" style=background:#ffff00| Seite Checkpoint
|-
|
'''Netzplan'''
|colspan="2" style="text-align:center"|[[File:Fortinet-2777.jpg|750px|link=]]
|-
| '''Hardware'''
|style="text-align:center"|FortiGate 60F
|style="text-align:center"|Checkpoint 1550
|-
| '''Software'''
|style="text-align:center"|6.4.2 build1723
|style="text-align:center"|R80.20.05 (992001134)
|-
| '''Lokal Netzwerk'''
|style="text-align:center"|10.10.161.0/24
|style="text-align:center"|10.10.151/24
|-
| '''Public IP'''
|style="text-align:center"|198.18.0.161
|style="text-align:center"|198.18.0.151
|-
|
'''Authentication'''
|colspan="2" style="text-align:center"|
Pre-shared Key definieren
|-
|
'''IKE Version'''
|colspan="2" style="text-align:center"|
Version 2
|-
|
'''Phase 1 Proposal'''
|colspan="2" style="text-align:center"|
Alogrithms: AES256-SHA256 DH-Group 15
|-
|
'''Phase 1 Key Lifetime'''
|colspan="2" style="text-align:center"|
86400 Sekunden
|-
|
'''Phase 2 Proposal'''
|colspan="2" style="text-align:center"|
Alogrithms: AES256-SHA512 / PFS-DH-Group 15
|-
|
'''Phase 2 Key Lifetime'''
|colspan="2" style="text-align:center"|
3600 Sekunden
|-
|}
====Konfiguration FortiGate 60F:====
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
'''Konfigurieren des VPN-Tunnels:'''

'''Netzwerkeinstellungen:'''

# Name des VPN-Tunnels definieren (es wird ein Tunnel-Interface mit diesem Namen gebildet)
# Bei ''Remote Gateway'' den Typ auf ''Static IP Address'' stellen
# Im Feld ''IP Address'' wird die public IP-Adresse der Checkpoint eingetragen (198.18.0.151)
# Bei ''Interface'' wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnel-Interface dann als Subinterface gebildet
# ''NAT Traversal'' ist zu definieren, falls noch ein NAT Device zwischen der FortiGate und der Checkpoint vorhanden ist.

[[File:Fortinet-2634.jpg|750px|link=]]

'''Authentication konfigurieren:'''

# ''Method'' Auf Pr-shared Key einstellen
# Im Feld ''Pre-shared Key'' einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Checkpoint dann auch benötigt)
# In unserem Beispiel werden wir mit IKE Version 2 arbeiten. Dementsprechend den Parameter auf 2 einstellen

[[File:Fortinet-2635.jpg|750px|link=]]

'''Phase 1 Parameter konfigurieren:'''

# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 konfigurieren
# Alle anderen Encryption- und Authentications-Parameter entfernen
# Die ''Diffie-Hellmann Group'' wird auf 14 eingestellt
# Der Parameter ''Key Lifetime'' (seconds) auf 86400 (1440 Minuten) stellen

[[File:Fortinet-2636.jpg|750px|link=]]

'''Phase 2 Selektoren konfigurieren:'''

In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert:

# ''Name'' in diesem Feld kann ein Name für den Selektor definiert werden
# ''Local Address'' Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 10.10.161.0/24 konfigurieren
# ''Remote Address'' Das Netz welches wir hinter der Checkpoint erreichen wollen. Typ auf Subnet stellen und Adresse 10.10.151.0/24 konfigurieren
# Unter dem Menüpunkt ''Advanced'' können die Phase 2 Proposal konfiguriert werden
# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 stellen. Alle anderen Encryption- und Authentications-Parameter entfernen
# ''Perfect Forward Secrecy (PFS)'' aktivieren
# Die ''Difie-Hellman Group'' auf 14 stellen
# ''Key Lifetime'' auf Second stellen und dann 3600 Sekunden einstellen (dies ist nicht der default Wert auf der FortiGate)

[[File:Fortinet-2637.jpg|750px|link=]]
|-
|
'''Konfigurieren der Routen:''' 
Auf der FortiGate muss das Netz der Remote Seite(10.10.151.0/24) in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnel-Interface (vpn_to_CP_151). Damit bei einem Unterbruch des Tunnels der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : [[FortiGate:FAQ#Was_ist_eine_Blackhole-Route.3F|Was ist eine Blackhole Route?]]

Die Routen werden wie folgt konfiguriert:
Menu: Network -> Static Routes -> [[File:Createnew.jpg|link=]] 
[[File:Fortinet-2651.jpg|750px|link=]]
Blackhole Route mit Distanz 254:
[[File:Fortinet-2807.jpg|750px|link=]]

|-
|
'''Konfigurieren der Policies:''' 
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (vpn_cp-forti) und dem internen Interface (internal2).

Menu : Policy & Objects -> IPv4 Policy -> [[File:Createnew.jpg|link=]] 
[[File:Fortinet-2652.jpg|550px|link=]]
Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz)
Dabei kann die ''Clone Reverse'' Funktion benutzt werden.
[[File:Fortinet-2808.jpg|link=]]
Komplettes Regelsetup:
[[File:Fortinet-2638.jpg|950px|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration via CLI:'''
|-
|
'''VPN Phase 1 konfigurieren:''' 
<pre>
config vpn ipsec phase1-interface
edit "vpn_to_CP_151"
set interface "wan1"
set ike-version 2
set peertype any
set net-device disable
set proposal aes256-sha256
set dhgrp 14
set remote-gw 198.18.0.151
set psksecret "Hier_einen_komplexen_Key_eingeben"
next
end
</pre>
----
'''VPN Phase 2 konfigurieren:''' 
<pre>
config vpn ipsec phase2-interface
edit "p2-vpn_to_lab-0062-10.10.162.0-24"
set phase1name "vpn_to_lab-0062"
set proposal aes256-sha256
set dhgrp 14
set auto-negotiate enable
set src-subnet 10.10.161.0 255.255.255.0
set dst-subnet 10.10.162.0 255.255.255.0
next
end
</pre>
----
'''Routen konfigurieren:''' 
<pre>
config router static
edit 2
set dst 10.10.151.0 255.255.255.0
set device "vpn_to_CP_151"
next
edit 3
set dst 10.10.151.0 255.255.255.0
set distance 254
set comment "blackhole Route - CP Remote Netz"
set blackhole enable
next
end
</pre>
----
'''Adress Objekte für Policies konfigurieren:'''
<pre>
config firewall address
edit "net_remoteVPN-10.10.151.0-24"
set comment "Remote Netz -VPN Checkpoint"
set color 10
set subnet 10.10.151.0 255.255.255.0
next
edit "net_ul-10.10.161.0-24"
set color 3
set subnet 10.10.161.0 255.255.255.0
next

end
</pre>
----
'''Policy konfigurieren:'''
<pre>
config firewall policy
edit 5
set name "I_vpn_CP_151->10.0.161.0-24"
set srcintf "vpn_to_CP_151"
set dstintf "internal2"
set srcaddr "net_remoteVPN-10.10.151.0-24"
set dstaddr "net_ul-10.10.161.0-24"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 6
set name "O_vpn_10.10.161.0-24->CP_151"
set srcintf "internal2"
set dstintf "vpn_to_CP_151"
set srcaddr "net_ul-10.10.161.0-24"
set dstaddr "net_remoteVPN-10.10.151.0-24"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
end
</pre>
|}

====Konfiguration Checkpoint 1550====
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
'''Konfigurieren des VPN-Tunnels:''' 
Um auf der Checkpoint einen VPN-Tunnel zu konfigurieren kann auf folgendes Menü angewählt werden:

''VPN -> VPN Sites -> [[file:cp_new.jpg|link=]]''

[[File:Fortinet-2646.jpg|750px|link=]]

'''Netzwerk-Parameter:'''
# Auf das TAB ''Remote Site'' gehen
# ''Site name:'' Hier wird der Name des VPN-Tunnels definiert
# Bei ''Conection type'' auf ''Host Name or IP address'' setzen
# ''IP address'' anwählen und im Feld die public IP-Adresse der FortiGate eingeben (198.18.0.153)
# ''Behind static NAT'' ist die NAT Traversal-Einstellung

[[Datei:Fortinet-2640.jpg|750px]]

'''Authentication konfigurieren:''' 
# ''Pre-shared secret'' anwählen (entspricht der Option Pre-shared KEY auf der Fortigate)
# im Feld ''Password'' den selben Key eingeben, welcher bereits auf der FortiGate definiert wurde
# mittels ''confirm'' den Key nochmals eingeben

[[Datei:Fortinet-2641.jpg|750px|link=]]

'''Remote Site Encryption Domain konfigurieren''' 
Die Remote Site Encryption Domain entspricht dem lokalen Netz auf der FortiGate bei den Selektoren. 
Zuerst muss das Netz oder der Host definiert werden. Dafür auf den [[file:cp_new.jpg|link=]]'' klicken. 
Es öffnet sich folgendes Fenster:
[[Datei:Fortinet-2642.jpg|750px|link=]]
# den ''Type'' auf Network stellen
# ''Network address'' Die Netzadresse angeben (ohne Subnetzmaske), was in unserem Fall das Netzwerk auf der FortiGate 10.10.161.0 ist
# ''Subnetmask'' Die Subnetzmaske des Netzes angeben: 255.255.255.0
# ''Object name'' Hier wird der Name definiert, wie das Objekt dann angewählt werden kann
# mit [[file:cp_apply.jpg|link=]] das Objekt erstellen

Mit [[file:cp_select.jpg|link=]] kann das Adress-Objekt zu der Encryption ''Domain'' hinzugefügt werden.
[[Datei:Fortinet-2643.jpg|750px|link=]]

'''Encryption für Phase 1 und Phase 2 konfigurieren:''' 
# das TAB ''Encryption'' anwählen
# ''Encryption settings'' auf ''custom'' stellen
# IKE (Phase 1)
## ''Encryption'' auf AES-256 konfigurieren, alle anderen Parameter deaktivieren
## ''Authentication'' auf SHA256 konfigurieren - alle anderen Parameter ebenfalls deaktivieren
## '' Diffie-Hellmann group support'' setzen wir auf Group 14 (2048 bit)
## ''Renegotiate every:'' wird auf 1440 Minuten gesetzt (auf der FortiGate ist 86400 Sekunden eingestellt, was 1440 Minuten entspricht)
# IPSec (Phase2)
## ''Encryption'' auf AES-256 konfigurieren, alle anderen Parameter deaktivieren
## ''Authentication'' auf SHA256 konfigurieren, alle anderen Parameter ebenfalls deaktivieren
## ''Enable Perfect Forward Secrecy'' (PFS) aktivieren
## '' Diffie-Hellmann group support'' setzen wir auf Group 14 (2048 bit)
## ''Renegotiate every:'' wird auf 3600 Sekunden gesetzt (auf der FortiGate haben wir diesen Parameter auf 3600s konfiguriert)

[[Datei:Fortinet-2644.jpg|750px|link=]]

'''Advanced Optionen konfigurieren:''' 
# TAB ''Advanced'' anwählen
# Bei den Settings die Option ''Remote Gateway is a Check Point Security Gateway'' deaktivieren
# unter ''Encryption method'' den Parameter auf IKEv2 stellen.

[[Datei:Fortinet-2645.jpg|750px|link=]]
|-
|
'''Konfigurieren eines Netzwerk Objektes:''' 
# User & Objects anwählen
# Network Objects auswählen
[[Datei:Fortinet-2648.jpg|550px|link=]]
Im Editor-Fenster folgendes konfigurieren: 
# ''Type'' auf Network einstellen
# ''Network address'': Die Netzwerk-Adresse ohne Netzmaske eintragen
# ''Subnet mask'': Die Subnetzmaske des Netzes eintragen
# '' Object name'': Name des Adress-Objektes eintragen
# mit dem Button [[file:cp_apply.jpg|link=]] wird das Objekt erstellt
[[Datei:Fortinet-2647.jpg|750px|link=]]

'''Konfigurieren der Policy:''' 
Nun gilt es noch die Firewall Regeln zu konfigurieren: 
# Menu ''Access Policy'' anwählen
# ''Policy'' auswählen
# unter dem Menu ''Incoming, Internal and VPN traffic'' mit [[file:cp_new.jpg|link=]] wird eine neue VPN-Regel erstellt
[[Datei:Fortinet-2656.jpg|750px|link=]]

# Source und Destination, wie auch die Services anwählen.
# Das Feld ''Match only for encrypted traffic'' auswählen, so wird sichergestellt, dass diese Regel für den verschlüsselten Traffic gilt.
# mit [[file:cp_apply.jpg|link=]] wird die Regel erstellt und aktiv
[[Datei:Fortinet-2654.jpg|750px|link=]]
# das Selbe in grün noch für die Gegenrichtung falls dies vom Setup erforderlich ist
[[Datei:Fortinet-2653.jpg|750px|link=]]

[[Datei:Fortinet-2655.jpg|750px|link=]]
|}

==== Erfolgskontrolle ====

'''FortiGate Monitor:'''

[[File:Fortinet-2639.jpg|1000px|link=]]
----
'''Checkpoint Monitor:'''

[[File:Fortinet-2658.jpg|1000px|link=]]
----
'''Traffic generieren und im Debug auf den beiden Geräten prüfen:''' 
Ping von der FortiGate aus generiert:

# mit dem Befehl <code> execute ping-option source 10.10.161.2</code> können wir der FortiGate angeben, mit welcher Adresse diese den Ping ausführen soll
# mit dem Befehl <code> execute ping 10.10.151.2 </code> können wir die IP Adresse auf der Checkpoint vom LAN Interface anpingen
[[File:Fortinet-2657.jpg|750px|link=]]

Im Flow sieht das so aus:

# diag debug flow filter clear
# diag debug flow filter sadd 10.10.161.2
# diag debug flow filter dadd 10.10.151.2
# diag debug flow trace start 9000
# diag debug enable

# id=20085 trace_id=6 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=0."
id=20085 trace_id=6 func=init_ip_session_common line=5810 msg="allocate a new session-00087e78"
id=20085 trace_id=6 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0.
"
id=20085 trace_id=6 func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-vpn_to_CP_151"
id=20085 trace_id=6 func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-vpn_to_CP_151"
id=20085 trace_id=6 func=esp_output4 line=907 msg="IPsec encrypt/auth"
id=20085 trace_id=6 func=ipsec_output_finish line=622 msg="send to 198.18.0.151 via intf-wan1"
id=20085 trace_id=7 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=1."
id=20085 trace_id=7 func=resolve_ip_tuple_fast line=5720 msg="Find an existing session, id-00087e78, original direction"
id=20085 trace_id=7 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0.

# diag debug reset
# diag debug disable
----
'''fw monitor auf der Checkpoint: '''
<pre>
fwalem-lab-0151> expert  in den Expert Modus wechseln
Enter expert password:

You are in expert mode now.
FW Monitor:
[Expert@fwalem-lab-0151]# fw monitor -e 'accept host(10.10.161.2);'
fw: getting filter (from command line)
fw: compiling
monitorfilter:
Compiled OK.
fw: loading
fw: monitoring (control-C to stop)
[vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344
ICMP: type=8 code=0 echo request id=3840 seq=1
[vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344
ICMP: type=8 code=0 echo request id=3840 seq=1
[vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498
ICMP: type=0 code=0 echo reply id=3840 seq=1
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498
ICMP: type=0 code=0 echo reply id=3840 seq=1
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498
ICMP: type=0 code=0 echo reply id=3840 seq=1
[vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345
ICMP: type=8 code=0 echo request id=3840 seq=2
[vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345
ICMP: type=8 code=0 echo request id=3840 seq=2
[vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720
ICMP: type=0 code=0 echo reply id=3840 seq=2
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720
ICMP: type=0 code=0 echo reply id=3840 seq=2
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720
……
Mit ctrl+c kann der Output abgebrochen werden

</pre>

Guide als PDF Herunterladen:
* [[Datei:HowTo_VPN_FortiGate-Checkpoint_SNB.pdf]]

=== Wie kann ich auf einem VPN Interface die MTU Werte anpassen?===
[[File:fortiOS64.png|25px|link=]]

Im Normalfall wird der MTU Wert von einem Tunnel Interface von der FortiGate aus automatisch berechnet. Falls man jetzt aber Probleme hat gewisse Datenmengen durch den Tunnel zu bringen, kann es erforderlich sein diese manuell zu setzen.

'''MTU auf VPN Interface ab FortiOS 6.4.0 konfigurieren:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system interface
# edit [TUNNEL_INTERFACE]
# set mtu-override [enable|disable]
# set mtu [MTU_WERT]
# end
# end
</pre>
'''Beispiel:'''
<pre>
# config system interface
# edit remote-vpn1
# set mtu-ovveride enable
# set mtu 1372
# end
# end
</pre>
|}
{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Vor der Version FortiOS 6.4.0 kann die MTU nicht auf dem VPN Interface konfiguriert werden.
|-
|}


''edit 04.09.2020''

== FortiClient ==
=== Wie kann ich ohne den EMS Server ein vordefiniertes Softwarepaket für den VPN Client erstellen? ===
Seit FortiOS 5.4 gibt es von Fortinet das FortiClient Configuration Tool. Mit diesem Tool können benutzerdefinierte Softwarepakete erstellt werden. So kann beispielsweise eine komplette Konfiguration im XML Format mitgegeben, einzelne Komponenten der Installation entfernt werden oder den Installer als paketierfähiges *.MSI Paket in den Varianten 32 oder 64Bit heruntergeladen werden. Ausserdem ist es möglich, den FortiClient einem Rebranding zu unterziehen (Austausch der Logos und Grafiken).

Die aktuellste Version des FortiClient Configuration Tool kann jeweils über das [https://fndn.fortinet.net/ Fortinet Developer Portal] heruntergeladen werden. Das Configuration Tool ist als Standalone Software lauffähig, existiert für Windows und Mac und muss auf Windows nicht installiert werden.

''Weitere Informationen:'' 

* [[Datei:FortiClientConfigurationTool_5.6.6.zip]]
* [[Datei:FortiClientConfigurationTool_6.0.0.zip]]
* [[Datei:forticlient-5.6.0-configurator-tool.pdf]]
* [[Datei:FortiClient-5.6.0-XML-Reference.pdf]]

=== Wieviele Remote VPN User kann ich auf der FortiGate nutzen? ===
Die Anzahl der Remote VPN Verbindungen, welche pro FortiGate Gerät unterstützt wird, kann im Datenblatt des jeweiligen Modells entnommen werden.

Hier ein Beispiel der FortiGate 60E.
* Für die maximale Anzahl IPsec User muss der Punkt '''Client-to-Gateway IPsec VPN Tunnels''' beachtet werden.
* Für SSL-VPN User gibt es einen empfohlenen Wert für den Tunnel-Modus im Punkt: '''Concurrent SSL-VPN Users (Recommended Maximum Tunnel Mode)'''
[[File:Fortinet-2670.jpg|750px|link=]]

Die Datenblätter findet man in unserem Wiki: [[Fortinet:ProduktInfo#FortiGate]]

Was für Remote VPN User natürlich auch massgebend ist, ist die Internetleitung der FortiGate auf welche die User sich verbinden. Wenn sich 200 User auf einer 2MB Leitung einloggen, wird die gesammt Performance auf die 200 User aufgeteilt. Nicht vergessen darf man natürlich auch den restlichen Traffic welcher über die FortiGate weiterhin verarbeitet wird.

----
Im FortiOS 6.0 sieht man im Widget eine Limitation wieviele User sich auf der FortiGate über den FortiClient anmelden können. Standartmässig sind hier zehn User verfügbar (0/10). Dies bedeutet, dass der FortiClient sich auf der FortiGate über die Telemetrie registriert. Will man den FortiClient nur als VPN-Client (IPSEC oder SSL-VPN) nutzen, ist es nicht notwendig, dass sich der Client über die Telemetrie auf der FortiGate registriert.
Wenn man den VPN Remote Wizard benutzt, muss darauf geachtet werden, dass die Option '''Allow Endpoint Registration''' deaktiviert wird. (Default mässig ist diese aktiviert)
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Wizard wird gestartet über ''VPN->IPsec Wizard Template type Remote Access'' 
Im Schritt drei ''Policy & Routing'' die Option Allow Endpoint Registration'' deaktivieren:
[[File:Fortinet-2669.jpg|550px|link=]]
|}

Was wenn ich vergessen haben die Option zu deaktivieren? Dies kann nicht mehr im Wizard deaktiviert werden. Dafür muss ich auf das Interface gehen und mir dort die Telemetrie Option deaktivieren.

Weitere Informationen finde ich im folgenden Wiki Artikel: [[FortiGate:FAQ#Wie_kann_ich_einen_Registrierten_User_von_der_FortiGate_wieder_deregistrieren.3F|Wie kann ich einen Registrierten User von der FortiGate wieder deregistrieren?]]

=== Wie kann ich die Registration eines Users rückgängig machen? ===
Wenn man die Endpoint Registration über den VPN Wizard nicht deaktiviert hat, wird jeder VPN Remote User auf der FortiGate registriert. Wenn man dies nicht will, kann man die User wieder von der FortiGate deregistrieren:

Um zu sehen welche User registriert sind kann folgender Befehl eingegeben werden:
{| class="wikitable" style="width:1000px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diag endpoint registration list

FortiClient #1 (0):
UID = B209297BF1F44F88BC7CD8CBF62AD2F9
vdom = root
status = registered
compliance = yes
registering time = Fri Mar 20 13:12:50 2020
registration expiry time = Fri Mar 27 13:12:50 2020
source IP = 10.60.60.140
source MAC = b8:31:xx:xx:xx:f0
user = anonym
host OS = Microsoft Windows 10 Professional Edition, 64-bit (build 18362)
restored registration = no
remote registration = no
registration FGT = FGT30Exxxxxxx
FortiClient #2 (1):
UID = A71EC83EA0354B51858C69B6882C0BFD
vdom = root
status = registered
compliance = yes
registering time = Fri Mar 20 13:17:36 2020
registration expiry time = Fri Mar 27 13:17:36 2020
source IP = 10.60.60.134
source MAC = 58:82:xx:xx:xx:19
user = anonym
host OS = Microsoft Windows 10 Professional Edition, 64-bit (build 18362)
restored registration = no
remote registration = no
registration FGT = FGT30Exxxxxxx
</pre>
|}

Um einen bestimmten User von der FortiGate aus zu deregistrieren kann das mit dem folgenden Befehl erreicht werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diag endpoint registration deregister <FortiClient UID>
</pre>
Zum Beispiel:
<pre>
# diag endpoint registration deregister B209297BF1F44F88BC7CD8CBF62AD2F9
</pre>
Um alle User in einem zu deregistrieren:
<pre>
# diag endpoint registration deregister all
</pre>
|}

Um die ganze Endpoint Registration zu lösen muss die Telemetrie auf dem entsprechenden VPN Interface deaktiviert werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system interface
# edit <tunnel.interface>
# set fortiheartbeat disable
# end
</pre>
|}

=== Wie konfiguriere ich einen Remoteaccess von einem FortiExtender 4G zu einer FortiGate? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] 
Der FortiExtender kann nicht nur für ein zweites Standbein zum Internet verwendet werden, sondern auch als eigenständiges Gerät welches ermöglicht, dass FortiGate mit einem IPSEC-Tunnel über 4G zu erreichen. 
Lokal angeschlossene Geräte hinter dem FortiExtender können dann auf interne Ressourcen hinter einer FortiGate zugreifen.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
|'''Prinzip Schema:'''
|-
|
[[file:Fortinet-2679.jpg|750px|link=]]
|}

Der FortiExtender muss ''lokal'' oder über die ''FortiExtender-Cloud'' administriert werden. Er kann nicht direkt über die FortiGate konfiguriert werden. 

Auf dem LAN Interfaces des FortiExtenders empfiehlt es sich ein DHCP Server zu konfigurieren:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Konfiguration DHCP Server auf dem LAN Interface im FortiExtender:'
<pre>
# config system dhcpserver
# edit 1
# set status enable
# set lease-time 86400
# set dns-service specify
# set dns-server1 [DNS-Server1_IP]
# set dns-server2 [DNS-Server2_IP]
# set-ntp-service specify
# set ntp-server1 [ntp-server1_IP]
# set default-gateway [IP_Default Gateway] -> 192.168.46.1
# set netmask [Subnetzmaske] -> 255.255.255.0
# set interface [Interface_dhcpServer] -> lan
# set start-ip [IP-Range-Start] -> 192.168.46.10
# set end-ip [IP-Range Pool Ende] -> 192.168.46.100
# set mtu 1500 [MTU Werte anpassen – default 1500]
# end
</pre>
|}
'''Konfigurieren des IPSEC Tunnels auf dem FortiExtender:'''
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Im Feld ''Name'' wird der Tunnel-Name definiert.
# ''Remote Gateway'' kann auf ''static IP Address'' gestellt, und die Public IP-Adresse der FortiGate angegeben werden. Bei ''Interface'' wird das 4G Interface (in unserem Fall ist das ''lte1'') angewählt
# Pre-Shared-Key definieren
# IKE Version auf 1 lassen
# Als Mode wählen wir ''aggresive''
[[File:Fortinet-2680.jpg|750px|link=]]
----
'''Konfigurieren der Phase 1:'''
# Bei der Phase 1 Proposal die entsprechenden Algorithmen auswählen
# Die ''Diffie-Hellman Groups'' definieren
# Key Lifetime (in Sekunden) auf 86400 konfigurieren
# Eine Local ID setzen. In unserem Beispiel ''KRIZ-SE''. So kann gesteuert werden, wer sich auf die FortiGate verbinden darf.
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #f8e7ea;"| [[File:achtung.png|50px|link=]]
|
Es ist darauf zu achten, dass diese Parameter exakt identisch auf der FortiGate konfiguriert werden müssen!
|-
|}
[[File:Fortinet-2681.jpg|750px|link=]]
----
'''Konfigurieren der Phase 2:''' 
Nun muss die Phase 2 konfiguriert werden:
# Im ''Name'' Feld kann die Phase2 benannt werden.
# Im Feld ''Local Subnet*'' wird das lokale Netzwerk (LAN) konfiguriert. In unserem Fall ist dies 192.168.46.0/24
# ''Remote Subnet*'' wird das Netzwerk hinter der FortiGate konfiguriert (das Netz welches wir durch das VPN erreichen wollen). In unserem Fall nehmen wir 0.0.0.0/0 damit wir auch den Internet-Traffic von der FortiGate aus steuern können. Ein FortiExtender ist kein Ersatz für eine FortiGate. Das heisst, man kann keine UTM Features usw. konfigurieren.
# Bei den ''Proposal'' wird der Verschlüsselungs-Algorithmus konfiguriert.
# ''Perfekt Forward Secrecy (PFS)'' wird aktiviert.
# Die ''Diffie-Hellman Groups'' setzen wir auf 14.
# Die Key Lifetime wird auf 43200 Sekunden konfiguriert. Achtung - auf der FortiGate müssen wir diesen Wert dann anpassen!
Es ist darauf zu achten, dass alle Phase2-Parameter auf der FortiGate genau gleich konfiguriert werden.
[[File:Fortinet-2684.jpg|750px|link=]]
----
'''Policy Route konfigurieren:''' 
Damit der Traffic auch in den VPN-Tunnel geht, muss noch eine Policy Route konfiguriert werden. Da wir in unserem Fall das Netz 0.0.0.0/0 als Remote Netz konfiguriert haben, ist diese Route wie eine Standard Route zu betrachten. Sie wird einfach auf das VPN Interface geroutet (target.Home).
# ''Name:'' In diesem Feld kann der Route einen Namen gegeben werden
# ''Source:'' von welchem Netz aus die Route gilt (unser LAN beim Extender -> 192.168.46.0/24)
# Bei der ''Destination'' wird das Netz konfiguriert welches durch den Tunnel erreicht werden soll (in unserem Fall 0.0.0.0/0)
# Für ''Service'' wählen wir ''ALL''. Es wäre möglich hier einzelne Services wie HTTP, HTTPS zu konfigurieren. Dann werden nur diese Protokolle in den Tunnel geroutet.
# Beim Feld ''Target'' wird das Tunnel Interface angegeben (target.Home).
Diese Route ist nichts Anderes als eine Standardroute, die auf den IPSEC-Tunnel (target.Home) zeigt.
[[File:Fortinet-2682.jpg|750px|link=]]
----
'''Policy konfigurieren:''' 
Bevor jetzt der Traffic durch den Tunnel geht, braucht es mindestens eine Policy welche erlaubt den Traffic durch den Tunnel zu senden. Dabei wird das lokale Netzwerk auf die Destination (Netze hinter der FortiGate) freigeschaltet. In unserem Beispiel haben wir 0.0.0.0, was dem Objekt ''all'' entspricht.
# ''Name'' Der Rule muss ein Name vergeben werden.
# ''Source Interface'' Das Interface hinter welchem unser lokales Netz ist, auswählen (in unserem Beispiel ''lan'')
# ''Destination Interface'' wird das VPN Interface angewählt (''Home'')
# ''Source Addresses'' wird das lokale LAN Objekt angewählt (in unserem Beispiel local-se, welches die Adresse 192.168.46.0/24 konfiguriert hat)
# ''Destination Addresses'' werden die Netze welche auf der Remote-Seite angesprochen werden sollen, konfiguriert. Das Objekt ''all'' entspricht 0.0.0.0/0
# Die NAT Option kann ausgeschalten sein (wir machen kein Source NAT auf dem Extender durch den Tunnel)
[[File:Fortinet-2683.jpg|750px|link=]]
Wenn man von den Netzen hinter der FortiGate auf das lokale Netz vom Extender zugreiffen will, muss noch eine Bi-Direktionale Policy konfiguriert werden.
|}
----
'''Konfigurieren des Tunnels auf der FortiGate:''' 
Auf der FortiGate wird ein Site-to-Site VPN konfiguriert. Wir benutzen aber als Remote Gateway einen Dial-up User und erkennen mittels der ID die Remote-Seite.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über das Menu ''VPN -> IPsec Wizard'' einen neuen VPN-Tunnel erstellen.
# Im Namen wird der VPN-Tunnel benannt. Es wird auf dem WAN Interface ein VPN-Tunnel Interface mit diesem Namen erstellt. Achtung, der Name kann nachher nicht mehr geändert werden.
# Beim Template Typ ''Custom'' auswählen.
[[File:Fortinet-2685.jpg|750px|link=]]
----
'''Netzwerk Einstellungen konfigurieren:''' 
# Die Option ''Remote Gateway'' wird auf ''Dial-up User'' gestellt.
# Beim ''Interface'' muss das ausgehende Interface angegeben werden (meistens ''wan1'' oder ''wan2''). Bei diesem Interface wird dann automatisch das VPN-Tunnelinterface erstellt.
# ''Deatd Peer Detection'' auf ''On Idle'' konfigurieren.
[[File:Fortinet-2686.jpg|750px|link=]]
----
'''Authentifikation konfigurieren:'''
# Die Option ''Method'' setzen wir auf ''Pre-shared Key''
# Beim ''Pre-shared Key'' Feld wird der genau gleiche Key eingegeben wie auf dem FortiExtender!
# ''Mode'' muss auf ''aggresive'' gestellt werden.
# Die Peer Option wird auf ''Specific peer ID'' eingestellt.
# Die Peer ID ist die lokale ID vom FortiExtender. In unserem Fall ''KRIZ-SE''
[[File:Fortinet-2687.jpg|750px|link=]]
----
'''Phase 1 Parameter konfigurieren:''' 
Es ist wichtig, dass hier die selben Parameter wie auf dem FortiExtender in der Phase 1 konfiguriert werden!
# Für die ''Phase 1 Proposal'' haben wir folgende Werte konfiguriert: ''Encryption AES256, Athentication SHA256''
# Diffie-Hellman Group'' hat den Wert ''14''
# Die Key Lifetime (in Sekunden) muss wie auf dem Extender auf 86400 konfiguriert werden.
# Die ''XAUTH'' Option braucht es in diesem Fall nicht und wird ausgeschalten (''Disabled'')
[[File:Fortinet-2688.jpg|750px|link=]]
----
'''Phase 2 Parameter konfigurieren:''' 
In der Phase 2 wird ein Selektor für das Remote und lokale Netzwerk konfiguriert. Da wir möchten, dass von der Remote-Seite her über unsere FortiGate ins Internet verbunden wird, ist unser lokales Netz als 0.0.0.0/0 konfiguriert.
Die Remote-Adresse entspricht dem Netzwerk hinter dem FortiExtender, das wäre in unserem Beispiel 192.168.46.0/24.
# Beim Feld ''Local Address'' den Typ ''Subnet'' auswählen und das Netz ''0.0.0.0/0'' konfigurieren.
# Im Feld ''Rempte Address'' auch den Typ ''Subnet'' auswählen und das Netzwerk ''192.168.46.0/24'' konfigurieren.
# Über Advanced kommt man in die 'Phase 2 Proposal'' welche wir jetzt auch noch optimieren:
# ''Encryption'' wird auf ''AES256'' und ''Authentication'' auf ''SHA256'' konfiguriert. Alle anderen Werte entfernen wir.
# Wir aktivieren die Option ''Enable Replay Detection''
# Die Option ''Enable Perfect Forward Secrecy (PFS)'' wird auch eingeschalten.
# Nun kann der ''Defie-Hellman Group'' Wert auf 14 eingestellt werden.
# Die ''Key Lifetime'' auf ''Seconds'' mit dem Wert 43200 konfigurieren.
[[File:Fortinet-2689.jpg|750px|link=]]
----
'''Konfiguration der Routen:''' 
Damit die Remote-Seite 192.168.46.0/24 in den VPN-Tunnel geht, muss noch eine Route auf das Tunnel-Interface konfiguriert werden. Dazu empfiehlt es sich auch gleich noch eine Blackhole Route zu konfigurieren:
# Über das Menu ''Network -> Static Routes -> [[file:createnew.jpg|link=]] kann eine neue Route erstellt werden.
# Bei Destination wird das Remote-Netz angegeben (in unserem Fall 192.168.46.0/24)
# Bei ''Interface'' kommt das Tunnel-Interface (in unserm Fall ''VPN_extender''')
[[File:Fortinet-2693.jpg|750px|link=]]
Die Blackhole-Route wird wie folgt konfiguriert:
# ''Destination'' die IP-Adresse der Remoteseite (192.168.46.0/24)
# Beim ''Interface'' wird ''Blackhole'' angewählt
# Wichtig, die ''Administrative Distance'' muss grösser sein als jene der regulären Route, wir empfehlen ''254''
[[File:Fortinet-2694.jpg|750px|link=]]
Wer mehr über Blackhole-Route wissen möchte, kann dies im folgenden Artikel nachlesen:
* [[FortiGate:FAQ#Was_ist_eine_Blackhole-Route.3F]]
----
'''Konfigurieren der Firewall Regeln''' 
Nun müssen noch zwei Firewall Regeln konfiguriert werden:

Die erste Regel steuert die Kommunikation vom Remote Netzwerk (192.168.46.0/24) auf die lokalen Ressourcen in unserem Netz. Unser Netz hat in diesem Beispiel den Wert 10.60.60.0/24. In dieser Regel wird die NAT Option deaktiviert (wir wollen kein Source NAT durchführen).
[[File:Fortinet-2690.jpg|750px|link=]]
Danach braucht es noch eine zweite Regel für den Internet Zugang: Source ist das Remote Netzwerk (192.168.46.0/24), die Destination ist das Internet Interface (meistens wan1) und das Adressobjekt ''all''. Danach können die gewünschten Services angewählt werden. Hier müssen wir die NAT Option aktivieren. Es empfiehlt sich auch UTM-Features zu konfigurieren, um einen optimalen Schutz zu gewährleisten.
[[File:Fortinet-2691.jpg|750px|link=]]
----
Regelwerk auf der FortiGate:
[[File:Fortinet-2692.jpg|750px|link=]]
Wenn man ein Netzwerk hinter dem FortiExtender erreichen will, muss eine entsprechende Policy in die Gegenrichtung konfiguriert werden.

Falls man einen lokalen DNS erreichen will, muss man dafür auch noch eine Regel konfigurieren!
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''Konfiguration in der CLI mit folgenden Annahmen:'''
<pre>
Netzwerk Lan FortiGate : 10.60.60.0/24
Netzwerk Lan Extender : 192.168.46.0/24
Local ID Extender : KRIZ-SE
</pre>

'''Konfiguration VPN-Tunnel:'''
<pre>
config vpn ipsec phase1-interface
edit "VPN_extender"
set type dynamic
set interface "wan1"
set mode aggressive
set peertype one
set net-device disable
set proposal aes256-sha256
set dpd on-idle
set comments "VPN-Verbindung zu Außenstelle mit FortiExtender"
set dhgrp 14
set peerid "KRIZ-SE"
set psksecret [Pre-Shared-Key eingeben]
set dpd-retryinterval 60
next
end
config vpn ipsec phase2-interface
edit "Phase2-VPN-to_Extender"
set phase1name "VPN_extender"
set proposal aes256-sha256
set dhgrp 14
set keylifeseconds 43200
set src-subnet 0.0.0.0 0.0.0.0
set dst-subnet 192.168.46.0 255.255.255.0
next
end
</pre>
'''Konfiguration Routen:'''
<pre>
config router static
edit 1
set dst 192.168.46.0 255.255.255.0
set device "VPN_extender"
set comment "Remote Netz VPN Extender"
next
edit 2
set dst 192.168.46.0 255.255.255.0
set distance 254
set comment "Blackhole Route - VPN Extender"
set blackhole enable
next
end
</pre>
'''Konfiguration Adressen Objekte:'''
<pre>
config firewall address
edit "net-remote-vpn-192.168.46.0-24"
set comment "Remote VPN Netz - Extender"
set color 10
set subnet 192.168.46.0 255.255.255.0
next
edit "net-internal-10.60.60.0-24"
set comment "internal Network Ruesch"
set color 3
set subnet 10.60.60.0 255.255.255.0
next
end
</pre>
'''Konfiguration Firewall Regeln:'''
<pre>
config firewall policy
edit 1
set name "I_VPN-extender->LAN"
set srcintf "VPN_extender"
set dstintf "internal"
set srcaddr "net-remote-vpn-192.168.46.0-24"
set dstaddr "net-internal-10.60.60.0-24"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 2
set name "I_VPN-extender->INTERNET"
set srcintf "VPN_extender"
set dstintf "wan1"
set srcaddr "net-remote-vpn-192.168.46.0-24"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set av-profile "default"
set webfilter-profile "default"
set logtraffic all
set nat enable
next
end
</pre>
|}

''vielen Dank an Robert Kříž von Fortinet Schweiz''

==High Availability==
=== Wie wird ein HA-Failover Cluster erstellt? ===
Dieser Artikel beschreibt, wie ein HA Failover Cluster mit Fortigate Firewalls unter FortiOS 6.01 erstellt werden kann. Ziel ist untenstehendes Szenario:

[[file:Fortinet-2251.png|link=]]

'''Vorbedingungen:''' 
Eine HA Konfiguration setzt einige Vorbedingungen für beide Geräte voraus. Ein HA-Cluster kann nur erstellt werden wenn folgende Eigenschaften bei beiden Maschinen identisch sind:
* Gerätetyp (z.b: 2x Fortigate 200D)
* Revision
* Firmware
* FortiGuard Lizenzen
* Operating Mode (Transparent oder NAT)
* Festplattenkapazität

Wenn eines der beiden Geräte einen tieferen Lizenzstatus hat (weniger Funktionen lizenziert, oder kürzere Laufzeit) dann wird der gesamte Cluster automatisch auf diesen tieferen Lizenzstatus heruntergesetzt.

'''1. Konfiguration des Hostnamen auf dem Master'''
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2252.png|link=]]
| style="vertical-align:top" |
Bitte konfiguriere den Devicenamen auf dem Gerät, welches später die Rolle des Masters übernehmen soll. Diese Einstellung ist zu finden unter ''System -> Settings -> Hostname''
|}
'''2. Aktivieren der HA Funktion auf dem Master'''
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2254.png|link=]]
| style="vertical-align:top" |
Anschliessend kann die HA-Funktion auf dem Master unter ''System -> HA'' aktiviert werden.
* Als Mode wird Active-Passive gewählt.
* Die Device-Priorität bestimmt anschliessend darüber, welches der beiden Geräte als Master selektiert wird. Das Gerät mit der höheren Priorität wird vom Cluster zum Master auserwählt.
* Unter ''Group Name'' muss für den Cluster einen Gruppennamen und ein Passwort gewählt werden. Dieser Gruppenname muss innerhalb der eigenen Umgebung einmalig sein, respektive über die Heartbeat Interfaces darf keine andere Gruppe mit einem identischen Namen existieren.
* Session Pickup bestimmt, ob in einem Failover Fall bereits etablierte Sessions von der Slave Firewall akzeptiert werden, oder ob im Failoverfall jede Session neu aufgebaut werden muss.
* Unter Monitor Interfaces werden die Interfaces selektiert, anhand jener ein Failover erfolgt, wenn eines dieser Interfaces auf dem Master nicht mehr verfügbar ist. Ergo sollten hier nur die Interfaces gewählt werden, welche garantiert immer UP sind.
* Unter Heartbeat Interfaces muss mindestens ein Interface gewählt werden, über welches der Cluster die Statusinformationen austauscht. Empfohlen werden hier aus Redundanzgründen zwei dedizierte Interfaces. Es können hier theoretisch Interfaces verwendet werden, welche auch sonst verwendet werden. Es wird jedoch empfohlen für den Heartbeat zwei dedizierte, voneinander unabhängige Interfaces zu verwenden. Werden dedizierte Interfaces verwendet, so müssen diese nicht vorgängig mit einer IP vorkonfiguriert werden.
* Unter Heartbeat Interface Priority kann definert werden, welchem der beiden Interface der Vorzug gewählt werden soll. Wird zum Beispiel ein produktives und ein dediziertes Interface für den Heartbeat verwendet, so empfiehlt es sich, das dedizierte Interface mit einer höheren Priorität zu versehen.
|}

'''3. Aktivieren der HA Funktion auf dem Slave'''
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2253.png|link=]]
| style="vertical-align:top" |
Nun kann die HA-Funktion auf dem Slave ebenfalls ''System -> HA'' aktiviert werden.
* Als Mode wird ebenfalls Active-Passive gewählt.
* Die Device Priorität soll tiefer gewählt werden, als jene des Master.
* Unter ''Group Name'' und ''Password'' wird die selbe Gruppe und das selbe Passwort wie auf dem Master hinterlegt.
* Konfiguriere Session Pickup analog Master.
* Konfiguriere Monitor Interfaces analog Master.
* Konfiguriere Heartbeat Interfaces analog Master.
* Bestätige und schliesse ab.
|}

Sobald sich die beiden Clustermember nun über ein Heartbeat Interfaces sehen, beginnen sie den Cluster zu bilden. Der Slave wird neu gestartet und allenfalls mit der Konfiguration des Masters überschrieben. Nach einem Reboot sollte unter ''System -> HA'' eine Übersicht über den Clusterstatus zu sehen sein:

[[file:Fortinet-2255.png|link=]]

Auch auf der Konsole kann der Status angeschaut werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
fgt200-master # get system ha status
HA Health Status: OK
Model: FortiGate-200D
Mode: HA A-P
Group: 0
Debug: 0
Cluster Uptime: 0 days 00:07:01
Cluster state change time: 2018-07-17 16:34:31
Master selected using:
<2018/07/17 16:34:31> FG200D3916811639 is selected as the master because it has the largest value of override priority.
<2018/07/17 16:28:53> FG200D3916811639 is selected as the master because it's the only member in the cluster.
ses_pickup: enable, ses_pickup_delay=disable
override: enable
Configuration Status:
FG200D3916811639(updated 1 seconds ago): in-sync
FG200D3916811425(updated 1 seconds ago): in-sync
System Usage stats:
FG200D3916811639(updated 1 seconds ago):
sessions=22, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=13%
FG200D3916811425(updated 1 seconds ago):
sessions=19, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=12%
HBDEV stats:
FG200D3916811639(updated 1 seconds ago):
port15: physical/1000auto, up, rx-bytes/packets/dropped/errors=1551614/2217/0/0, tx=1647198/2222/0/0
port16: physical/1000auto, up, rx-bytes/packets/dropped/errors=1524874/2093/0/0, tx=1536540/2054/0/0
FG200D3916811425(updated 1 seconds ago):
port15: physical/1000auto, up, rx-bytes/packets/dropped/errors=1649104/2225/0/0, tx=1561984/2232/0/0
port16: physical/1000auto, up, rx-bytes/packets/dropped/errors=1537302/2055/0/0, tx=1532880/2104/0/0
MONDEV stats:
FG200D3916811639(updated 1 seconds ago):
port1: physical/1000auto, up, rx-bytes/packets/dropped/errors=266700/1415/0/0, tx=1429610/1381/0/0
wan1: physical/1000auto, up, rx-bytes/packets/dropped/errors=108967/614/0/0, tx=50166/420/0/0
FG200D3916811425(updated 1 seconds ago):
port1: physical/1000auto, up, rx-bytes/packets/dropped/errors=356552/1565/0/0, tx=1684592/1618/0/0
wan1: physical/1000auto, up, rx-bytes/packets/dropped/errors=122941/623/0/0, tx=37058/345/0/0
Master: fgt200-master , FG200D3916811639, cluster index = 0
Slave : fgt200-slave , FG200D3916811425, cluster index = 1
number of vcluster: 1
vcluster 1: work 169.254.0.1
Master: FG200D3916811639, operating cluster index = 0
Slave : FG200D3916811425, operating cluster index = 1
</pre>
|-
|}

Achtung hierbei: <pre>Status: OK</pre> heisst nicht zwingend, dass der Cluster wirklich OK ist. Eine genauere Analyse des Outputs ist erforderlich. So kann der Clustermember auch Status: OK haben, wenn nur ein Clustermember online ist. Dies würde beispielsweise mit folgendem Output vermerkt:
<pre>
Master selected using:
<2018/07/17 16:12:40> FG200D3916811639 is selected as the master because it's the only member in the cluster.
</pre>

'''Anpassen des Failover Verhaltens''' 
Wird obenstehendes Szenario realisiert, so wird nach der Bildung des Clusters der Member mit der Priorität=128 zum Master erkoren. Fällt der Master aus, übernimmt der Slave. Nachdem der ursprüngliche Master wieder verfügbar wird, wird jedoch der Master-Status nicht wieder an die Unit mit der Prio 128 zurückgegeben. Dieses Verhalten kann jedoch forciert werden, indem in der ha-Konfig im CLI override eingeschaltet wird:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
fg20-master# config system ha
fg20-master (ha) # set override enable
fg20-master (ha) # end
</pre>
|-
|}

'''Führen des HA-Links über eine öffentliche Infrastruktur''' 
Der HA-Traffic wird standardmässig nicht verschlüsselt. Muss der HA-Traffic über eine öffentliche Infrastruktur geführt werden, so empfiehlt es sich, die Authentifizierung sowie die Verschlüsselung dieses Traffics einzuschalten. Dies muss auf dem Master sowie auch auf dem Slave konfiguriert werden.
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
fg20-master# config system ha
fg20-master (ha) # set authentication enable
fg20-master (ha) # set encryption enable
fg20-master (ha) # end
</pre>
|-
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
fg20-slave # config system ha
fg20-slave (ha) # set authentication enable
fg20-slave (ha) # set encryption enable
fg20-slave (ha) # end
</pre>
|-
|}

Anschliessend empiehlt es sich, beide Clustermember neu zustarten, damit die HA Verbindung neu ausgehandelt wird.

'''Handling der Management Interfaces''' 
Bei grösseren Umgebungen existiert gemäss Best-Practices oftmals ein Management Netzwerk. Es empfiehlt sich, beide Cluster Nodes mit einem Management Port in diesem Management Netzwerk zu platzieren. Somit kann im Notfall auch via dieses Netzwerk auf beide Cluster Nodes zugegriffen werden. Damit dies funktioniert, muss zuerst auf dem Master in der HA Konfiguration definiert werden, welches Interface als Management Interface gewählt wird. Hierbei kann nicht das auf gewissen Appliances zur Verfügung stehende MGMT Interface gewählt werden. Diesem Management Interface kann ausserdem ein dedizierter, anderer DefaultGateway mitgegeben werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
fgt200-master (ha) # show
config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface "port14"
set gateway 192.168.11.1
next
end
end
</pre>
|-
|}

Anschliessend kann der gewählte Port auf beiden Units unterschiedlich konfiguriert werden. 
Auf dem Master:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
config system interface
edit "port14"
set ip 192.168.11.10 255.255.255.0
set allowaccess https ssh snmp fgfm ftm
next
end
</pre>
|-
|}

Auf dem Slave:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:1200px" ;|
<pre>
config system interface
edit "port14"
set ip 192.168.11.11 255.255.255.0
set allowaccess https ssh snmp fgfm ftm
next
end
</pre>
|-
|}

mehr Infos: https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-high-availability/virtual_clusteringConfig.htm

=== Wie kann ich im Cluster mich von der aktiven auf die passive Fortigate verbinden? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Falls man den Clustermembers keine dedizierte Management IP Adresse vergibt, kann man immer nur den aktiven Member per IP Adresse managen. Es gibt die Möglichkeit über die CLI den passiven Member anzusprechen. Dafür muss man die Device ID des passiven Members ermitteln. Dies funktioniert folgendermassen:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:550px" ;|
<pre>
fw-master # execute ha manage ?

fw-master # <id> please input peer box index.
fw-master # <0> Susidary unit FGT60Exxxxxxxxxxd
</pre>
|-
|}
In diesem Fall ist dies die ID des passiven Devices '''0'''

Nun kann man sich mit dem selben Befehl auf den passiven Member verbinden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:550px" ;|
<pre>

fw-master # execute ha manage <HA_device_index>
fw-master # execute ha manage 0

fw-slave login: admin
Password: ********
Welcome!

fw-slave $
</pre>
|-
|}
Es wird der Hostname des Slavey angezeigt, gefolgt von einem Dollar ($) Zeichen.

Um den Slave wieder zu verlassen kann der Befehl ''exit'' benutzt werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:550px" ;|
<pre>
fw-slave $ exit

fw-master #
</pre>
|-
|}

=== Was bedeutet die Meldung "slave and master have different hdisk status" in der CLI? ===
Beim Konfigurieren eines FortiGate HA-Clusters kann auf der Konsole auf dem passiven/Sekundären Gerät die folgende Meldung angezeigt werden: 
<code>slave and master have different hdisk status. Cannot work with HA master. Shutdown the box! The system is halted."</code>

Mögliche Ursachen für diese Fehlermeldungen sind:

'''Möglichkeit 1 - Keine Disk im Device''' 
Bei einem der FortiGate Devices handelt es sich um ein Modell bei welchem keine Harddisk vorhanden ist.
Dies kann über die CLI folgendermassen überprüft werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
# get system status
Version: FortiGate-300D v6.4.1,build1637,200604 (GA)
Virus-DB: 78.00196(2020-06-15 22:20)
Extended DB: 78.00196(2020-06-15 22:20)
Extreme DB: 1.00000(2018-04-09 18:07)
IPS-DB: 15.00864(2020-06-15 02:16)
IPS-ETDB: 6.00741(2015-12-01 02:30)
APP-DB: 15.00864(2020-06-15 02:16)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
Serial-Number: FGT3HDxxxxxxxxx
IPS Malicious URL Database: 2.00675(2020-06-15 05:04)
BIOS version: 05000002
System Part-Number: P14814-04
Log hard disk: Not available <--- Information über die Disk
Hostname: alsochlu-sg0e1
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 5 in NAT mode, 1 in TP mode
Virtual domain configuration: multiple
FIPS-CC mode: disable
Current HA mode: a-p, master
Cluster uptime: 914 days, 2 hours, 50 minutes, 7 seconds
Cluster state change time: 2020-06-10 13:38:01
Branch point: 1637
Release Version Information: GA
FortiOS x86-64: Yes

Wenn keine Disk vorhanden ist, wird man folgenden Output sehen: 
<code>"Log hard disk: Not available"</code>

Wenn eine Disk vorhanden ist: 
<code>"Log hard disk: Available"</code>
|}

'''Möglichkeit 2 - Beide FortiGate haben eine Disk aber eine der Disk ist nicht formatiert:''' 
Eine weitere möglichkeit ist, dass eine der Disk auf der FortiGate nicht formatiert ist und daher auch nicht genutzt werden kann.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-

Falls vorhanden erst die Logdaten sichern, falls vorhanden:
# execute log backup [IP-ADRESSE_ZIEL]
Dann die Harddisk formatieren:
# execute formatlogdisk

Formatting this storage will erase all data on it, including
logs, quarantine files;
WanOpt caches;
and require the unit to reboot.
Do you want to continue? (y/n)
|}

'''Möglichkeit 3 - Eine Disk ist defekt''' 
Eines der FortiGate-Geräte hat einen Festplattenfehler. Es muss ein HQIP-Test durchgeführt werden. Wie man einen HQIP Test durchführt kann demfolgenden Artikel entnommen werden:

* [[FortiGate:FAQ#Wie_kann_ich_auf_einem_FortiGate_Device_einen_Hardwaretest_ausf.C3.BChren_.28Troubleshooting.2FHQIP_Testing.29.3F|Überprüfen der Disk mit einem HQIP File]]
* [[FortiGate:FAQ#F.C3.BCr_FortiGate_Devices_der_.22E.22_Serie_sowie_FG-300D.2F500D_existiert_kein_HQIP_Image_wie_kann_ich_dennoch_einen_Hardwaretest_ausf.C3.BChren.3F|Überprüfen der Disk ohne HQIP File]]
Danach mit dem Resultat ein Support RMA Case über https://support.fortinet.com eröffnen um das defekte Gerät austauschen zu lassen.



== DoS ==
=== Wie kann ich die DoS Policy im FortiOS aktivieren? ===
Standardmässig sind die DoS Policy im FortiOS unter im Webgui nicht sichtbar. Diese müssen über die Feature-Einstellungen zuerst eingeschalten werden.

Um diese Sichtbar zu machen muss unter dem Menu ''System -> Feature Visibility der Schalter DoS Policy'' aktiviert werden.

[[Datei:Fortinet-2606.jpg]]

Über die CLI kann man dies folgendermassen einschalten:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config system settings
set gui-dos-policy enable
end
</pre>
|-
|}

=== Wie konfiguriere ich eine DoS Regel auf der FortiGate? ===

Das Menu um eine DoS Policy zu konfigurieren findet man im Menu ''Policy & Objects -> IPv4 DoS Policy''. Falls das Menu noch nicht vorhanden ist muss man es zuerst aktivieren:
[[FortiGate:FAQ#Wie_kann_ich_die_DoS_Policy_im_FortiOS_aktivieren.3F]]
[[Datei:Fortinet-2607.jpg]]

Jetzt über das Menu [[Datei:CreateNew.jpg]] kann eine neue Policy erstellt werden.

Nun kann das eingehende Interface definiert werden, die Source Adressen und die Destination Adressen. Weiter können die Services definiert werden, auf welche die DoS Regel zählen soll.

[[Datei:Fortinet-2608.jpg]]

Für Eingehenden Traffic vom WAN Interface kann man sehr gut als Source ALL auswählen. Die Destination kann auch auf ALL gesetzt werden und die Services auch. Diese Regel wird dann als Implizit Regel konfiguriert, und alle Ausnahme Regeln vor dieser angelegten Implizit Regel.

DoS Regeln sichern in gewissem Sinne das Netzwerk gegen abnormale Verhaltensmuster im Netzwerktraffic ab. Die Vorgeschlagenen Werte von Fortinet sind Richtwerte aber nicht in Stein gemeisselt. Um sein Netzwerk richtig abzusichern empfiehlt es sich, zuerst die Regeln auf Monitoring zu setzen und zu tracken wie der Traffic im Netzwerk normal ist. So kann dann der Schwellwert entsprechend angepasst werden. Man nimmt den gewünschten Schwellwert und rechnet noch eine Toleranz dazu. Zu beachten ist, je kleiner die Toleranz um so sicherer das Netz. Es muss aber auch beachtet werden, wenn die Toleranz zu klein ist, können auch Fehlalarme generiert werden.

Wo immer Vorsicht geboten ist, bei Voip Applikationen. Hier können schnell höhe Werte entstehen. Daher Empfiehlt es sich für den SIP Port (üblicherweise UDP5060) eine Ausnahme Regel zu definieren.

Auch in dem DoS Regelwerk wird die Reihenfolge von oben nach unten durchlaufen. Sobald ein Kriterium übereinstimmt wird die Regel beachtet und der Rest des DoS Regelwerk ignoriert. Daher macht es Sinn sich ein paar Gedanken zu machen.

Die Regeln kann man mit ziehen per Maus einfach an die gewünschte Position schieben.

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config firewall DoS-policy
edit 1
set comments "DoS - implicit wan1"
set interface "wan1"
set srcaddr "all"
set dstaddr "all"
set service "ALL"
config anomaly
edit "tcp_syn_flood"
set log enable
set action block
set threshold 2000
next
edit "tcp_port_scan"
set log enable
set action block
set threshold 1000
next
edit "tcp_src_session"
set log enable
set action block
set threshold 5000
next
edit "tcp_dst_session"
set log enable
set action block
set threshold 5000
next
edit "udp_flood"
set log enable
set action block
set threshold 2000
next
edit "udp_scan"
set log enable
set action block
set threshold 2000
next
edit "udp_src_session"
set log enable
set action block
set threshold 5000
next
edit "udp_dst_session"
set log enable
set action block
set threshold 5000
next
edit "icmp_flood"
set log enable
set action block
set threshold 250
next
edit "icmp_sweep"
set log enable
set action block
set threshold 100
next
edit "icmp_src_session"
set log enable
set action block
set threshold 300
next
edit "icmp_dst_session"
set log enable
set action block
set threshold 1000
next
edit "ip_src_session"
set status enable
set log enable
set action block
set threshold 5000
next
edit "ip_dst_session"
set status enable
set log enable
set action block
set threshold 5000
next
edit "sctp_flood"
set log enable
set action block
set threshold 2000
next
edit "sctp_scan"
set log enable
set action block
set threshold 1000
next
edit "sctp_src_session"
set log enable
set action block
set threshold 5000
next
edit "sctp_dst_session"
set log enable
set action block
set threshold 5000
next
end
next
end
</pre>
|-
|}

=== Was bedeuten die unterschiedlichen DoS Anomalien? ===

In der folgenden Tabelle kann entnommen werden, was mit den verschiedenen Anomalien gemeint ist und welche Schwellwerte auf der FortiGate vordefiniert sind:

{| class="wikitable" style="width:80%"
|- style="background:#89E871"
| '''L3 Anomalie'''
| '''Beschreibung'''
| '''Vordefinierter Schwellwert'''
|-
|
''ip_src_session''
|
Wenn die Anzahl der gleichzeitigen IP-Verbindungen von einer Quell-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|
''ip_dst_session''
|
Wenn die Anzahl der gleichzeitigen IP-Verbindungen zu einer Ziel-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|- style="background:#89E871"
| '''L4 Anomalie'''
| '''Beschreibung'''
| '''Vordefinierter Schwellwert'''
|-
|
''tcp_syn_flood''
|
Wenn die SYN-Paketrate neuer TCP-Verbindungen, einschliesslich der erneuten Übertragung, zu einer Ziel-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
2000 Pakete pro Sekunde
|-
|
''tcp_port_scan''
|
Wenn die SYN-Paketrate neuer TCP-Verbindungen, einschliesslich der erneuten Übertragung, von einer Source-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
1000 Pakete pro Sekunde
|-
|
''tcp_src_session''
|
Wenn die Anzahl der gleichzeitigen TCP-Verbindungen von einer Source-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|
''tcp_dst_session''
|
Wenn die Anzahl der gleichzeitigen TCP-Verbindungen zu einer Destination-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|
''udp_flood''
|
Wenn der UDP-Traffic zu einer Destination-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
2000 Pakete pro Sekunde
|-
|
''udp_scan''
|
Wenn die Anzahl der UDP-Session, die von einer Source-IP-Adresse stammen den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
2000 Pakete pro Sekunde
|-
|
''udp_src_session''
|
Wenn die Anzahl der gleichzeitigen UDP-Verbindungen von einer Source-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|
''udp_dst_session''
|
Wenn die Anzahl der gleichzeitigen UDP-Verbindungen zu einer Destination-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|
''icmp_flood''
|
Wenn die Anzahl der an eine Destination-IP-Adresse gesendeten ICMP-Pakete den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
250 Pakete pro Sekunde
|-
|
''icmp_sweep''
|
Wenn die Anzahl der ICMP-Pakete, die von einer Source-IP-Adresse stammen, den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
100 Pakete pro Sekunde
|-
|
''icmp_src_session''
|
Wenn die Anzahl der gleichzeitigen ICMP-Verbindungen von einer Source-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
300 gleichzeitige Sessions
|-
|
''icmp_dst_session''
|
Wenn die Anzahl der gleichzeitigen ICMP-Verbindungen zu einer Destination-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
1000 gleichzeitige Sessions
|-
|
''sctp_flood''
|
Wenn die Anzahl der an eine Ziel-IP-Adresse gesendeten SCTP-Pakete den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
2000 Pakete pro Sekunde
|-
|
''sctp_scan''
|
Wenn die Anzahl der SCTP-Sitzungen, die von einer Source-IP-Adresse stammen, den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
1000 Pakete pro Sekunde
|-
|
''sctp_src_session''
|
Wenn die Anzahl der gleichzeitigen SCTP-Verbindungen von einer Source-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|
''sctp_dst_session''
|
Wenn die Anzahl der gleichzeitigen SCTP-Verbindungen zu einer Destination-IP-Adresse den konfigurierten Schwellenwert überschreitet, wird die Aktion ausgeführt.
|
5000 gleichzeitige Sessions
|-
|}

* Informationen über das SCTP Protokoll: https://www.ionos.de/digitalguide/server/knowhow/sctp-stream-control-transmission-protocol/

=== Wie kann ich für eine DoS Policy weitere Informationen für eine Analyse auflisten? ===

In der CLI steht für eine DoS Policy folgendes Kommando zur Verfügung:

# diagnose ips anomaly [clear | config | filter | list | status]

Die verschiedenen Optionen für "ips anomaly" haben folgende Bedeutung:

• clear löscht die anomaly meters
• config listet die DOS-sensoren auf
• filter listet den "anomaly" filter auf
• list listet die "anomaly" meters auf
• status listet den "anomaly" status auf

Somit kann zBsp mit folgendem Befehl die konfigurierten DoS Policies aufgelistet werden:

# diagnose ips anomaly config
DoS sensors in kernel vd 0:
DoS id 2 proxy 0
0 tcp_syn_flood status 0 log 0 nac 0 action 0 threshold 2000
1 tcp_port_scan status 0 log 0 nac 0 action 0 threshold 1000
2 tcp_src_session status 1 log 1 nac 1 action 7 threshold 100
3 tcp_dst_session status 0 log 0 nac 0 action 0 threshold 5000
4 udp_flood status 0 log 0 nac 0 action 0 threshold 2000
5 udp_scan status 0 log 0 nac 0 action 0 threshold 2000
6 udp_src_session status 0 log 0 nac 0 action 0 threshold 5000
7 udp_dst_session status 0 log 0 nac 0 action 0 threshold 5000
8 icmp_flood status 0 log 0 nac 0 action 0 threshold 250
9 icmp_sweep status 0 log 0 nac 0 action 0 threshold 100
10 icmp_src_session status 0 log 0 nac 0 action 0 threshold 300
11 icmp_dst_session status 0 log 0 nac 0 action 0 threshold 1000
12 ip_src_session status 0 log 0 nac 0 action 0 threshold 5000
13 ip_dst_session status 0 log 0 nac 0 action 0 threshold 5000
14 sctp_flood status 0 log 0 nac 0 action 0 threshold 2000
15 sctp_scan status 0 log 0 nac 0 action 0 threshold 1000
16 sctp_src_session status 0 log 0 nac 0 action 0 threshold 5000
17 sctp_dst_session status 0 log 0 nac 0 action 0 threshold 5000
DoS id 1 proxy 0
0 tcp_syn_flood status 1 log 1 nac 0 action 7 threshold 2000
1 tcp_port_scan status 1 log 0 nac 0 action 0 threshold 1000
2 tcp_src_session status 1 log 0 nac 0 action 0 threshold 5000
3 tcp_dst_session status 1 log 0 nac 0 action 0 threshold 5000
4 udp_flood status 1 log 1 nac 0 action 7 threshold 2000
5 udp_scan status 1 log 0 nac 0 action 0 threshold 2000
6 udp_src_session status 1 log 0 nac 0 action 0 threshold 5000
7 udp_dst_session status 1 log 0 nac 0 action 0 threshold 5000
8 icmp_flood status 1 log 1 nac 0 action 7 threshold 250
9 icmp_sweep status 1 log 0 nac 0 action 0 threshold 100
10 icmp_src_session status 1 log 0 nac 0 action 0 threshold 300
11 icmp_dst_session status 1 log 0 nac 0 action 0 threshold 1000
12 ip_src_session status 0 log 0 nac 0 action 0 threshold 5000
13 ip_dst_session status 0 log 0 nac 0 action 0 threshold 5000
14 sctp_flood status 0 log 0 nac 0 action 0 threshold 2000
15 sctp_scan status 0 log 0 nac 0 action 0 threshold 1000
16 sctp_src_session status 0 log 0 nac 0 action 0 threshold 5000
17 sctp_dst_session status 0 log 0 nac 0 action 0 threshold 5000
total # DoS sensors: 2.

Nachfolgender Befehl listet alle IPv4 Adressen auf für welche ein "match" der DoS Policy ausgeführt wurde. Diese Liste zeigt nicht zwingend IPv4 Adressen die eine Attacke durchgeführt haben. Die Position "exp" (expiration) zeigt den Wert in Sekunden nachdem ein entsprechender Eintrag entfernt wird sofern kein weiterer "match" betreffend der IPv4 Adresse für diesen DoS Policy Eintrag stattfindet. Die Position "pps" (packet per second) zeigt an wieviele Packete pro Sekunden für die IPv4 Adressen registriert wurde. Die Position "freq" (frequency) zeigt die Frequenz für eine spezifische IPv4 Adresse für die eine DoS anomaly erkannt wurde:

# diagnose ips anomaly list
list nids meter:
id=udp_flood ip=198.41.0.4 dos_id=1 exp=988 pps=1 freq=6

id=udp_dst_session ip=198.41.0.4 dos_id=1 exp=5990 pps=0 freq=0

id=udp_scan ip=193.193.135.65 dos_id=1 exp=988 pps=2 freq=3

id=udp_src_session ip=193.193.135.65 dos_id=1 exp=5990 pps=0 freq=0

id=udp_flood ip=193.193.135.66 dos_id=1 exp=880 pps=3 freq=3

id=udp_flood ip=192.228.79.201 dos_id=1 exp=967 pps=0 freq=1

id=udp_dst_session ip=192.228.79.201 dos_id=1 exp=5969 pps=0 freq=0

total # of nids meters: 7.

Wenn durch "list" eine grosse Liste von Informationen ausgegeben wird kann diese mittels folgendem Befehl gefilter werden:

# diagnose ips anomaly filter
clear Clear anomaly filter.
id Anomaly ID.
ip IP and subnet mask.
pps pps
freq frequency

Der Status des Filters kann mit folgendem Befehl aufgelistet werden:

# diagnose ips anomaly filter
anomaly filter:
id any
ip 0.0.0.0 mask 0.0.0.0
nps 0 - 0
freq 0 - 0

Somit kann zBsp ein anhand eine Policy ID (id) oder zBsp anhand eine IPv4 Adresse (ip) ein Filter gesetzt werden:

# diagnose ips anomaly filter id 1
# diagnose ips anomaly filter
anomaly filter:
id 1
ip 0.0.0.0 mask 0.0.0.0
nps 0 - 0
freq 0 - 0

# diagnose ips anomaly filter ip 198.41.0.4 255.255.255.255
# diagnose ips anomaly filter
anomaly filter:
id 1
ip 198.41.0.4 mask 255.255.255.255
nps 0 - 0
freq 0 - 0

Um den Filter zurück zu setzen führe ein "clear" aus:

# diagnose ips anomaly filter clear
# diagnose ips anomaly filter
anomaly filter:
id 0
ip 0.0.0.0 mask 0.0.0.0
nps 0 - 0
freq 0 - 0

== Botnet ==
=== Wie schalte ich den Botnet- und CC-Schutz auf der FortiGate ein? (bis FortiOS 6.0) ===
[[File:fortiOS60.jpg|link=|link=]]

Im FortiOS 6.0 kann das Feature auf dem ausgehenden Interface Richtung Internet aktiviert werden. Das Interface muss in der Rolle ''WAN'' oder ''undefined'' sein.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[File:Fortinet-1999.jpg|link=]]
Wenn man auf ''botnet packages'' klickt kann man die Liste aufrufen, aus welcher ersichtlich ist, welche Botnetze und C&C Netze bekannt sind.
[[File:Fortinet-2500.jpg|link=|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system interface
edit wan1
set scan-botnet-connections block
next
end
</pre>
|-
|}

=== Wie schalte ich den Botnet und CC Schutz auf der FortiGate ein? (ab FortiOS 6.2) ===
[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] ]]
Im Gegensatz zum FortiOS 6.0 wird ab FortiOS 6.2 der Botnet- und C&C-Schutz über ein IPS Profil konfiguriert, welches in einer Firewall Regel aktiviert werden muss.

Hierfür muss eventuell bei den Features die Intrusion Prevention Option eingeschaltet werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Unter dem Menupunkt ''System -> Feature Visibility '' muss das Feature IPS Feature aktiviert werden.
[[File:Fortinet-1996.jpg|link=]]
|-
|
Jetzt kann unter den Security Profilen ein neues IPS Profil angelegt werden.
[[File:Fortinet-1997.jpg|link=]]
|-
|
Das IPS Profil muss jetzt an eine Policy gebunden werden: 
Policies können im Menupunk ''Policy & Objects -> IPv4 Policy ->'' [[File:createnew.jpg|link=]] neu erstellt werden:
[[File:Fortinet-1998.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
'''IPS Feature einschalten:'''
<pre>
config system settings
set gui-ips enable
end
</pre>
----
'''IPS Profil anlegen:'''
<pre>
config ips sensor
edit "Botnet-Sensor"
set scan-botnet-connections block
next
end
</pre>
----
'''IPS Profil in einer Policy aktivieren:'''
<pre>
config firewall policy
edit 1
set name "O_internal->Internet-all"
set srcintf "internal"
set dstintf "wan1"
set srcaddr "net-192.168.1.0-24"
set dstaddr "net-0.0.0.0-00"
set action accept
set schedule "always"
set service "ALL"
set utm-status enable
set logtraffic all
set ips-sensor "Botnet-Sensor"
set nat enable
next
end
</pre>
|}

Im Log sehen wir die geblockten Events am folgenden Ort:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Im Menu über ''Log & Report -> Intrusion Prevention''

[[File:Fortinet-2501.jpg|link=]]

Wenn der Event angeklickt wird, können noch mehr Details entnommen werden:

[[File:Fortinet-2502.jpg|link=]]
|-
|}

== Antivirus ==
=== Wo finde ich auf der FortiGuard Support Seite mehr Informationen betreffend den Antivirus Database Inhalte? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] 
Auf der Website von FortiGuard ist ebenfalls die Option «Antivirus» ausgewiesen (https://www.fortiguard.com/updates/antivirus).

Dort wird fortlaufend auf die aktuelle Version (latest version) hingewiesen inkl. den zuletzt erkannten Viren. 

Unter ''Services'' -> ''Anti-Virus'' sind weitere Informationen zum Produkt aufgelistet sind. Des Weiteren kann ein "Schnelltest" einer verdächtigen Datei vorgenommen werden.
[[file: Fortinet-3040.jpg |link=]]
Erweiterte Produkte-Infos sind unter folgendem Link zu finden:
https://www.fortinet.com/support/support-services/fortiguard-security-subscriptions/antivirus

=== Wie kann ich die AntiVirus Datenbank auf der FortiGate aktuell halten? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Die Antivirus Datenbank der FortiGate kann mit der ''Push Methode'', der ''Schedule Methode'' oder auch mittels Kombination beider Methoden geupdated werden.

Die ''Schedule Methode'' (geplannte Methode) ermöglicht es, dass in regelmässigen Abständen ein Update der Datenbank vorgenommen wird.
Man kann zwischen stündlich, täglich oder wöchentlich auswählen.

Mit der ''Push Option'' werden Push-Aktualisierungen akzeptiert. Das heisst, sobald eine neue Definition in der FortiGuard propagiert wird, bekommt die FortiGate ein Update gepusht. Die Push-Option stellt so sicher, dass die Antivirus Datenbank auf der FortiGate so aktuell wie möglich ist. Diese Option empfiehlt sich besonders in Hochsicherheitsumgebungen.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu ''System -> FortiGuard'' nach unten scrollen bis man den folgenden Menu-Abschnitt findet:
[[File:Fortinet-2730.jpg|550px|link=]]

* Accept push updates -> Ein- oder ausschalten für die Push Updates der AV-Datenbank
* Scheduled Updates -> Einstellen des Intervalls in welchem die AV-Datenbank von der FortiGuard her upgedatet werden soll. (alle [n] Stunden, täglich, wöchentlich)
|}

{| class="wikitable" style="width:100%"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system autoupdate push-update
set status [enable|disable]
end
</pre>

''Autoupdate konfigurieren Syntax:''

<pre>
config system autoupdate schedule
set status [Enable|disable] --> aktivieren oder deaktivieren
set frequency [every|daily|weekly] --> Intervall für Update eingeben (alle n Stunden, täglich, wöchentlich)
set time [hh:mm] --> hh:[1-23] Stunden, mm: [0-59] Minuten. Für Zufall innerhalb 1 Stunde mm auf 60 einstellen.
end
</pre>
''Beispiel Autoupdate alle zwei Stunden konfigurieren:''
<pre>
config system autoupdate schedule
set status enable
set frequency every
set time 02:60
end
</pre>
|}

Ein Update der verschiedenen UTM Databases kann mittels folgendem Befehl auch manuell ausgeführt werden:

# execute update-now

Desweiteren stehen folgende Befehle zur Verfügung um spezifische Databases auf den neusten Stand zu bringen:

# execute update-av Update AV engine/definitions
# execute update-geo-ip Update IP Geography DB
# execute update-ips Update IPS engine/definitions
# execute update-list Download update server list
# execute update-netscan Update netscan object
# execute update-src-ivs Update src-vis object

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Egal welche Methode gewählt wird, die Virenüberprüfung muss mindestens bei einer Firewall-Policy aktiviert sein. Ist dies nicht der Fall, wird die FortiGate keine Updates herunterladen.
|-
|}

Die Botnet-IPs und Botnet-Domänen Lizenz ist ab FortiOS 6.0.1 Teil der FortiGuard AntiVirus-Lizenz.

=== Wie kann ich auf der FortiGate die einzelnen Versionen der UTM Database überprüfen? ===

Auf einer FortiGate existieren etliche UTM Databases für die verschiedenen Funktionen wie IPS, Antivirus, GeoIP, Certification List usw. Diese werden laufend durch die Funktion "autoupdate" auf dem neusten Stand gehalten. Die aktuelle Konfiguration der Funktion "autoupdate" kann folgendermassen abgerufen werden:

# get system auto-update status
FDN availability: unavailable at Tue Jan 5 18:13:39 2016

Push update: disable
Scheduled update: enable
Update every: 6 hours at 0 minutes after the hour
Virus definitions update: enable
IPS definitions update: enable
Push address override: disable
Web proxy tunneling: disable

Nachdem die UTM Databases auf den neusten Stand gebracht wurden, können die verschiedenen detaillierten Informationen der Databases durch folgende Befehl abgerufen werden:

# get system auto-update version

AV Engine
---------
Version: 5.00227
Contract Expiry Date: n/a
Last Updated using manual update on Tue Dec 8 10:57:00 2015
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Virus Definitions
---------
Version: 16.00560
Contract Expiry Date: n/a
Last Updated using manual update on Fri Oct 19 08:31:00 2012
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Extended set
---------
Version: 1.00000
Contract Expiry Date: n/a
Last Updated using manual update on Wed Oct 17 15:46:00 2012
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Mobile Malware Definitions
---------
Version: 0.00000
Contract Expiry Date: n/a
Last Updated using manual update on Mon Jan 1 00:00:00 2001
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Attack Definitions
---------
Version: 6.00741
Contract Expiry Date: n/a
Last Updated using manual update on Tue Dec 1 02:30:00 2015
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Attack Extended Definitions
---------
Version: 0.00000
Contract Expiry Date: n/a
Last Updated using manual update on Mon Jan 1 00:00:00 2001
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

IPS Malicious URL Database
---------
Version: 1.00001
Contract Expiry Date: n/a
Last Updated using manual update on Thu Jan 1 01:01:00 2015
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Flow-based Virus Definitions
---------
Version: 1.00123
Contract Expiry Date: n/a
Last Updated using manual update on Tue Jul 21 14:19:00 2015
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Botnet Definitions
---------
Version: 1.00000
Contract Expiry Date: n/a
Last Updated using manual update on Mon May 28 22:51:00 2012
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

IPS Attack Engine
---------
Version: 3.00156
Contract Expiry Date: n/a
Last Updated using manual update on Thu Dec 10 13:40:00 2015
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Internet-service Database Apps
---------
Version: 2.00662
Contract Expiry Date: n/a
Last Updated using manual update on Tue Nov 17 11:56:00 2015
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Internet-service Database Maps
---------
Version: 0.00000
Contract Expiry Date: n/a
Last Updated using manual update on Mon Jan 1 00:00:00 2001
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Botnet Domain Database
---------
Version: 0.00000
Contract Expiry Date: n/a
Last Updated using manual update on Mon Jan 1 00:00:00 2001
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Vulnerability Compliance and Management
---------
Version: 1.00297-L
Contract Expiry Date: n/a
Last Updated using manual update on Fri Dec 4 19:31:00 2015
Last Update Attempt: n/a
Result: Updates Installed

Modem List
---------
Version: 0.000

Device and OS Identification
---------
Version: 1.00040
Contract Expiry Date: n/a
Last Updated using manual update on Tue Jan 5 17:26:00 2016
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

IP Geography DB
---------
Version: 1.044
Contract Expiry Date: n/a
Last Update Date: Wed Dec 2 22:57:32 2015

Certificate Bundle
---------
Version: 1.00001
Last Update Date: Wed Nov 4 16:07:00 2015

FDS Address
---------

URL White list
---------
Version: 0.00000
Contract Expiry Date: n/a
Last Updated using manual update on Mon Jan 1 00:00:00 2001
Last Update Attempt: Tue Jan 5 12:33:50 2016
Result: Updates Installed

Des Weiteren steht nachfolgendes Kommando zur Verfügung welches die einzelnen Antivirus Datenbanken, sowie dessen Inhalt / Einträge auflistet:

# diagnose antivirus database-info

=== Welche AntiVirus Datenbanken gibt es auf der FortiGate? ===
[[File:fortiOS56.png|25px|link=]] [[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] 
Es gibt mehrere FortiGuard-Antiviren-Datenbanken, die mit dem CLI-Befehl "config antivirus setting" konfiguriert werden können. Die Unterstützung für die einzelnen Datenbanktypen variiert je nach FortiGate-Modell.

Alle FortiGate-Geräte enthalten die normale Datenbank. Die normale Datenbank enthält Signaturen für Viren, die in den letzten Monaten erkannt wurden und durch das FortiGuard Global Security Research Team ermittelt wurden. Sie ist die kleinste Datenbank und führt daher die schnellsten Überprüfungen durch. Diese Datenbank erkennt jedoch nicht alle bekannten Viren.

Die meisten FortiGate-Modelle unterstützen die erweiterte Datenbank. Die erweiterte Datenbank erkennt auch Viren welche nicht mehr aktiv sind. Viele gängige Plattformen sind immer noch anfällig für diese Viren, oder diese könnten zu einem späteren Zeitpunkt ein Problem darstellen.

Die Extreme-Datenbank ist für den Einsatz in Hochsicherheitsumgebungen vorgesehen. Die Extremdatenbank erkennt alle bekannten Viren, auch solche, welche es auf ältere Betriebssysteme absehen, welche nicht mehr weit verbreitet sind.

FortiGuard Antivirus Datenbanken:

'''Normal''' - enthält häufige aktuelle Angriffe und ist für alle Modelle verfügbar. Alle FortiGate-Geräte enthalten die normale Datenbank. Die normale Datenbank enthält Signaturen für Viren, die in den letzten Monaten erkannt wurden und vom FortiGuard Global Security Research Team ermittelt wurden. Sie ist die kleinste Datenbank und führt daher die schnellsten Überprüfungen durch. Diese Datenbank erkennt jedoch nicht alle bekannten Viren.

'''Extended''' - umfasst normale und zusätzliche neuere aktuell nicht aktive Viren. Viele gängige Plattformen sind immer noch anfällig für solche Viren, welche später ein Problem darstellen könnten.

'''Extreme''' - umfasst "extended" und zusätzlich ruhende Viren. Sie ist für den Einsatz in Hochsicherheitsumgebungen vorgesehen. Die Extremdatenbank erkennt alle bekannten Viren, auch solche, die auf ältere Betriebssysteme abzielen welche nicht mehr weit verbreitet sind.

----
Ab [[File:fortiOS64.png|25px|link=]]:
FortiGate verwendet die Erweiterte DB als Standard-AntiVirus-DB.
Die Option "Normale DB" wird nicht mehr unterstützt.

Für FortiGate-Modelle welche die Extreme DB unterstützen, steht die Option zwischen "Extended DB" oder "Extreme DB" zur Auswahl.

Unter "Antiviren-Einstellungen konfigurieren" wurde der Parameter default-db entfernt.
FortiGate-Modelle, die Extreme-Set-Datenbanken unterstützen, haben den neuen Parameter use-extreme-db.
Standardmäßig ist use-extreme-db deaktiviert, so dass die FortiGate die normalen und Extended-Set-Datenbanken verwendet.
Wenn use-extreme-db aktiviert ist, wird von der FortiGate die Extreme-Set-Datenbank verwendet

<pre>
AntiVirus settings in the CLI.

- On low end models, use-extreme-db is hidden.
This example shows the CLI captured on FortiGate-101E.

(settings) # show full-configuration
# config antivirus settings
set grayware enable
set override-timeout 0
end

- On higher end models, use-extreme-db is available.
This example shows the CLI captured on FortiGate-600D.

(settings) # show full-configuration
# config antivirus settings
set use-extreme-db enable
set grayware enable
set override-timeout 0
end

(settings)set use-extreme-db ?
enable <----- Enable extreme AVDB.
disable <----- Disable extreme AVDB.
</pre>



=== Wie kann ich unter auf der FortiGate für die "autoupdate" Funktion der UTM Databases einen explizit Proxy konfigurieren? ===

Ein FortiOS resp. eine FortiGate benutzt um deren UTM Databases auf den neusten Stand zu bringen die "autoupdate" Funktion. Weitere Informationen zu dieser "autoupdate" Funktion siehe nachfolgender Artikel:

[[FortiGate-6.0-6.4: AQ#Wie_kann_ich_die_AntiVirus_Datenbank_auf_der_FortiGate_aktuell_halten.3F]]

Diese "autoupdate" Funktion benützt keine explizit Proxy Konfiguration, sondern ist transparent. Dies bedeutet: Soll die "autoupdate" Funktion über einen explizit Proxy durchgeführt werden, so muss dies über die CLI konfiguriert werden! Bei dieser explizit Proxy Konfiguration für "autoupdate" ist folgendes zu berücksichtigen: Username und Passwort welcher benutzt wird um sich beim explizit Proxy anzumelden ist hier optional. Das FortiOS benutzt den explizit Proxy um sich via HTTP CONNECT Methode gemäss RFC 2616 zu verbinden. Diese Methode wird benutzt um SSL Traffic zu "tunneln". Aus diesem Grund muss auf dem explizit Proxy kontrolliert werden ob dies erlaubt ist, da dieser Vorgang im normal Fall über den explizit Proxy verhindert wird. Es sollte ebenfalls kontrolliert werden welche Ports freigegeben auf dem explizit Proxy um das Internet zu erreichen. Unter normalen Umständen, sofern keine Einschränkungen auf dem explizit Proxy implementiert sind, wären dies die privilegierten Ports 1-1024. Die FortiOS "autoupdate" Funktion benutzt den TCP-Port 8890 was wiederum keinem privilegierter Port entspricht. Aus diesem Grund muss dieser nicht privilegierter Port auf dem explizit Proxy Funktion freigeschaltet werden damit das Fortinet Distribution Network (FDN) erreichbar ist.

# config system autoupdate tunneling
# set status [enable | disable]
# set address [gebe die entsprechende IPv4 Adresse oder FQDN des explizit Proxy an]
# set port [gebe den entsprechenden Proxy Port an zB "8080"]
# set username [optional gebe für die Anmeldung an den explizit Proxy einen Usernamen an]
# set password [gebe für die Anmeldung an den explizit Proxy sofern ein Username definiert wurde ein entsprechendes Passwort an]
# end

=== Was ist die Option Virus Outbreak Prevention? ===
Die FortiGuard Virus Outbreak Prevention ist eine zusätzliche Schutzebene, welche das Netzwerk vor neu auftauchender Malware schützt.
Schnelle Virenausbrüche können ein Netzwerk infizieren, bevor Signaturen entwickelt werden können, um diese zu stoppen.
Die Outbreak Prevention Option stoppt diese Virenausbrüche, bis Signaturen in der FortiGuard verfügbar sind.
Die FortiGate muss über eine FortiGuard Virus Outbreak Service (VOS) Lizenz verfügen, bevor sie die Anfrage in Echtzeit an FortiGuard sendet und so einen Zero-Day Virenangriff verhindert.

Die FortiGate nutzt für neue Bedrohungen eine hashbasierte Virenerkennung welche von den AV-Signaturen noch nicht erkannt werden.
Wenn die Datei an den Scanunit-Deamon gesendet wird, wird die Datei im Puffer gehasht (optional werden Archivinhalte extrahiert)
und eine Anforderung (oder mehrere, je nach Anzahl der Dateien in einem gescannten Archiv) an den URL-Filter-Deamon gesendet.
Nach einem Abgleich mit seinem Anforderungscache auf bekannte Signaturen sendet der URL-Filter-Deamon eine Antivirus-Anforderung mit
den verbleibenden Signaturen an die FortiGuard. Die FortiGuard gibt eine Bewertung zurück, anhand jener bestimmt wird, ob der Scanunit-Deamon die Datei als schädlich melden soll oder nicht. Aufträge bleiben im Scanunit-Deamon so lange ausgesetzt, bis der Requester eine Antwort erhält oder die Anfrage in ein Time-Out läuft.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Über das Menu ''Security Profiles -> AntiVirus'' auf das entsprechende Profil zugreifen oder ein Neues anlegen.
# Was passiert wenn ein Virus erkannt wird? [blocken oder nur monitoren]
# FortiOS 6.4 Feature set (Scan Modus Flow oder Proxy Based einstellen)
# Die Protokolle auswählen, für welche das AV-Profil scannen soll (in userem Fall HTTP)
# Firus Outbreak Prevention aktivieren in dem die Option '' Use FortiGuard Outbreak Prevention Database'' eingeschalten wird.
[[File:Fortinet-2731.jpg|550px|link=]]
|}

{| class="wikitable" style="width:100%"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
''Syntax:'' 
<pre>
config antitvirus profile
edit [PROFIL_NAME]
config [Protokoll]
set options scan
set outbreak-prevention [disable|files|full-archive]
-> disable = Outbreak Prevention wird in diesem Protokoll nicht angewendet
-> files = Files werden gescannt
-> full-archive = Files und Archivierte Files (ohne Passwort) werden gescannt
end
</pre>
''Beispiel für ein AntiVirus Profil scannen auf HTTP mit Outbreak Prevention:''
<pre>
config antivirus profile
edit "av_outbreak"
config http
set options scan
set outbreak-prevention full-archive
end
next
end
</pre>
|}

Wir sehen das Outbreak Prevensions Verdikt der Datei also_test.com im scanunit deamon:

{| class="wikitable" style="width:100%"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose debug application scanunit -1
Debug messages will be on for 30 minutes.
# diagnose debug enable

# su 4739 job 1 open
su 4739 req vfid 1 id 1 ep 0 new request, size 313, policy id 1, policy type 0
su 4739 req vfid 1 id 1 ep 0 received; ack 1, data type: 0
su 4739 job 1 request info:
su 4739 job 1 client 10.20.0.20:39412 server 198.18.250.15:80
su 4739 job 1 object_name 'also_test.com'
su 4739 file-typing NOT WANTED options 0x0 file_filter no
su 4739 enable databases 0b (core mmdb extended)
su 4739 job 1 begin http scan
su 4739 scan file 'also_test.com' bytes 68
su 4739 job 1 outbreak-prevention scan, level 0, filename 'also_test.com'
su 4739 scan result 0
su 4739 job 1 end http scan
su 4739 job 1 inc pending tasks (1)
su 4739 not wanted for analytics: analytics submission is disabled (m 0 r 0)
su 4739 job 1 suspend
su 4739 outbreak-prevention recv error
su 4739 ftgd avquery id 0 status 1
su 4739 job 1 outbreak-prevention infected entryid=0
su 4739 report AVQUERY infection priority 1
su 4739 insert infection AVQUERY SUCCEEDED loc (nil) off 0 sz 0 at index 0 total infections 1 error 0
su 4739 job 1 dec pending tasks 0
su 4739 job 1 send result
su 4739 job 1 close
su 4739 outbreak-prevention recv error

# diagnose debug disable
# diagnose debug reset
</pre>
|}

=== Wie kann ich für die Antivirus Engine die maximale File-Grösse konfigurieren? ===
Die maximale File-Grösse für ein Scanning beträgt bei allen FortiGate-Modellen 10 Mb.
Wenn dieser Wert erhöht werden möchte, so kann dies via CLI mit folgendem Befehl vorgenommen werden (in unserem Beispiel wird neu der Wert ''20'' für 20 Mb gesetzt):

[[File:fortiOS60.png|25px|link=]] '''Wichtig''': Der Befehl ist für OS 6.2, wie auch für OS 6.4 unterschiedlich!!!

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config firewall profile-protocol-options
edit <profile_name>
config http
set uncompressed-oversize-limit 20
end
end
end
</pre>
|-
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
[[File:fortiOS62.png|25px|link=]] '''Wichtig''': Der Befehl ist für OS 6.2, wie auch für OS 6.4 unterschiedlich!!!
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config firewall profile-protocol-options
edit "protocol"
config ssh
set uncompressed-oversize-limit 20
end
end
end
</pre>
|-
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
[[File:fortiOS64.png|25px|link=]] '''Wichtig''': Der Befehl ist für OS 6.2, wie auch für OS 6.4 unterschiedlich!!!
|}

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config firewall profile-protocol-options
edit "protocol"
config ssh
set uncompressed-oversize-limit 20
end
end
end
</pre>
|-
|}

=== Welche Datei-Formate werden auf der Antivirus Engine unterstützt? ===
* 7z
* arj
* cab
* lzh
* rar
* tar
* zip
* bzip
* gzip
* bzip2
* xz
* bat
* msc
* uue
* mime
* base64
* binhex
* bin [[File:fortiOS62.png|25px|link=]][[File:fortiOS64.png|25px|link=]]
* elf
* exe
* hta
* html
* jad
* class
* cod
* javascript
* msoffice
* msofficex
* fsg
* upx
* petite
* aspack
* prc [[File:fortiOS62.png|25px|link=]][[File:fortiOS64.png|25px|link=]]
* sis
* hlp
* activemime
* jpeg
* gif
* tiff
* png
* bmp
* ignored [[File:fortiOS60.png|25px|link=]]
* unknown
* mpeg
* mov
* mp3
* wma
* wav
* pdf
* avi
* rm
* torrent
* hibun [[File:fortiOS60.png|25px|link=]]
* msi
* mach-o
* dmg
*.net
* xar
* chm
* iso
* crx

=== Welche Database und Features können für die Antivirus Engine aktiviert werden? ===
Für die Antivirus Engine stehen auf einem FortiOS folgende Databases und Funktionen zur Verfügung:

• '''Normal Database''' Beinhaltet die "Wild Virus" sowie die "üblichen Viren". Für eine normale Absicherung resp. Schutz gegen Virus sollte diese Datenbank benutzt werden!

• '''Extended Database''' Beinhaltet "Wild Virus" sowie eine umfangreiche Definition der "Zoo Virus". "Zoo Viruses" sind in den normalen Studien nicht mehr aufgeführt da sie sehr selten. Dies bedeutet: diese
Database sollte nur in "High Security" Umgebungen benutzt werden!

• '''Extrem Database''' Beinhaltet "Wild Virus" sowie der "Zoo Virus". "Zoo-Viruses" sind in den normalen Studien nicht mehr aufgeführt da sie sehr selten. Der Unterschied zum "extended" Modus ist, dass in der "extrem" alle "Zoo Virus" enthalten sind. Diese Datenbank sollte nur in "High Security" Umgebungen benutzt werden!

• '''Mobile Malware Database''' Beinhaltet Mobile Malware für Android!

• '''Grayware Funktion''' Grayware beinhaltet die Definitionen für "Adware" oder auch Dialer genannt!

• '''Heuristic''' Verhaltensbasierende analytische Antivirus Überprüfung!

• '''Scan Mode (Flow- & Proxy-Mode)''' [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] Benützt Flow-Mode mit kompakter Antivirus Datenbank sowie erweiterte Technik für Antivirus Scan! Auf [[File:fortiOS60.png|25px|link=]] ist lediglich Flow-Mode verfügbar.

• '''Block Executables (Email)''' Im Antivirus Profile können Executables Files (.exe) für IMAP, POP3, SMTP und MAPI geblockt werden! 
• '''Content Disarm and Reconstruction (CDR)''' Entfernt schadhafte Inhalte bevor diese dem User übermittelt werden. 
• '''Advance Threat Protection (ATP)''' [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]] Automatisierte Schadware (Virus, Trojaner etc.) Erkennung in Echtzeit – auch für die Public Cloud 
• '''Virus Outbreak Prevention''' [[File:fortiOS64.png|25px|link=]] Hash-Signaturen die von Malware Drittanbietern erweitert und von FortiGuard bereitgestellt wird. Bei Übereinstimmung von FortiGuard Datenquelle wird Datei bösartig eingestuft 
• '''File Signature Check'''[[File:fortiOS64.png|25px|link=]]

=== Wie kann ich auf der FortiGate die Antivirus Funktion konfigurieren? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]
# Als Erstes muss auf der FortiGate unter ''System'' -> ''Feature Visibility'' die Option ''AntiVirus'' aktiviert worden sein.

[[file: Fortinet-3037.jpg |link=]]

# Das standardmässig (default) aktivierte AntiVirus-Profil kann unter ''Security'' -> ''Profiles AntiVirus'' bearbeitet werden.
# Nun kann vom ''Scan Mode'' auf ''Full'', und ''Detect Viruses'' auf ''Block'' gesetzt werden.
# Bei ''APT Protection Options'' nun ''Use Virus Outbreak Prevention Database'' aktivieren um einem zusätzlichen Sicherheits-Layer zu implementieren und so frühzeitig Viren-Ausbrüche verhindern zu können.

[[file: Fortinet-3038.jpg |link=]]

[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
Ist Proxy-Based ausgewählt worden, so erscheint unter den AntiVirus Profilen ein rotes ''P'' welches auf den aktivieren Proxy-Modus hinweist.

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
'''WICHTIG:'''
Je nachdem welcher Modus (Proxy- oder Flow-based) gewählt wurde, werden im Dropdown-Menü nur die möglichen Features angezeigt, welche auch technisch möglich sind. Bei Proxy-based können auch die Features von Flow-based angewählt werden.
|-
|}

=== Wie kann ich verhindern, dass für HTTP "Streaming Content" die Antivirus Funktion benützt wird? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
Wenn über HTTP Streaming Content aufgerufen wird, so versucht die Antivirus Engine diesen Streaming Content zu scannen sofern ein Antivirus Profile für HTTP in einer entsprechenden Firewall Policy Rule konfiguriert wurde. Möchte man dies verhindern, so kann das Protocol Options Profile, das zusammen mit dem Antivirus Profile in der entsprechenden Firewall Policy Rule benutzt wird, durch folgende Konfiguration ein Antivirus Scan verhindert werden:

# config firewall profile-protocol-options
# edit [Name des entsprechenden Profiles]
# config http
# set streaming-content-bypass [enable | disable]
# end
# end

Diese Konfiguration gilt jedoch nur für HTTP und nicht für andere Protokolle resp. Services wie zBsp HTTPS. Eine andere Möglichkeit ein Scanning durch die Antivirus Engine zu verhindern ist den MIME Header heranzuziehen um einen Scan zu verhindern. Diese Funktion steht jedoch innerhalb der Antivirus-Funktion nicht zur Verfügung. Ein MIME Header kann stattdessen über die "content-header" Funktion des Webfilters konfiguriert werden. Um die Konfiguration durchzuführen muss als erster Schritt der MIME Header des Contents eruiert werden. Dies kann zBsp über WireShark durchgeführt werden. Nachfolgend die MIME Header Informationen aus WireShark betreffend YouTube:

Hypertext Transfer Protocol
HTTP/1.0 200 OK\r\n
Request Version: HTTP/1.0
Response Code: 200
Server: DCLK-AdSvr\r\n
'''Content-Type: video/x-ms-asf\r\n'''
X-Google-Inred-Content-Type: video/x-ms-asf\r\n
Content-Length: 410\r\n
Content-Encoding: gzip\r\n

Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Request Version: HTTP/1.1
Response Code: 200
Last-Modified: Mon, 14 Sep 2009 00:40:51 GMT\r\n
'''Content-Type: video/x-flv\r\n'''
Content-Length: 200994\r\n
Connection: close\r\n
Content-Disposition: attachment; filename="video.flv"\r\n
Expires: Thu, 29 Oct 2009 09:06:24 GMT\r\n
Cache-Control: public,max-age=3600\r\n
Date: Thu, 29 Oct 2009 08:06:24 GMT\r\n
Server: gvs 1.0\r\n

Die relevanten Informationen um einen "content-header" Konfiguration durchzuführen, sind die "Content-Type" Informationen. In unserem Beispiel sind das die folgenden Positionen:

Content-Type: video/x-ms-asf\r\n
Content-Type: video/x-flv\r\n

In der "content-header" Konfiguration muss anhand "RegEx" die benötigten Informationen betreffend dem MIME Header welcher konfiguriert werden soll, definiert werden. Möchte man alle Video-, wie auch Audio-MIME Header definieren, so muss folgendes definiert werden:

video\\/.*
audio\\/.*

Das Zeichen "/" stellt im RegEx ein Sonderzeichen dar. Dadurch kann nicht einfach "video/" definiert werden weil Sonderzeichen mit "\\" escaped werden müssen! Nun kann die "content-header" Konfiguration durchgeführt werden:

# config webfilter content-header
# edit [gebe einen Integer an – zBsp "1"]
# set comment [setze einen Kommentar zBsp "Exclude Video Audio Antivirus"]
# config entries
# edit "video\\/.*" [Name des Modells]
# set action [allow | block | exempt]
# next
# edit "audio\\/.*"
# set action [allow | block | exempt]
# next
# end
# set name [setze einen Namen für den "content-header" - zBsp "video-audio-exempt"]
# next
# end

Durch die Konfiguration "exempt" wird der definierte MIME Header resp. "content-header" vom Antivirus Scan ausgeschlossen. Nun kann dieser "content-header" innerhalb eines WebFilters konfiguriert werden:

# config webfilter profile
# edit [wähle den Namen des entsprechenden Webfilter Profiles]
# config web
# set content-header-list [gebe den entsprechenden Integer an für "content-header"]
# end
# next
# end

Nun kann der entsprechende Webfilter zu der entsprechenden Firewall Policy Rule hinzugefügt werden!

=== Wie kann ich für eine FortiGate eine Antivirus-Quarantäne konfigurieren? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Ausgehend davon, dass eine FortiGate über eine Disk verfügt, für welche das "disk" Logging aktiviert werden kann oder die Logs zu einem FortiAnalyzer übermittelt werden, kann eine Quarantäne für Antivirus konfiguriert werden. Die ''Quarantine''-Funktion wird innerhalb des Antivirus-Profiles für die verschiedenen Services / Ports mit folgenden Befehlen aktiviert:

# config antivirus profile
# edit [Name des entsprechenden Antivirus Profiles]
# config [http | ftp | imap | pop3 | smtp | mapi | nntp]
# set options [avmonitor | quarantine | scan]
# end
# end

Um die Quarantäne zu aktivieren muss erst "quarantine" für die Option "options" aktiviert werden, wobei dies nur ermöglicht wird, wenn "disk" Logging für die FortiGate aktiviert wird und / oder ein Logging für den FortiAnalyzer. Danach kann die Quarantäne über folgende Befehle in der CLI konfiguriert werden:

# config antivirus quarantine
# set agelimit [maximale Zeitdauer in Stunden für Quarantäne Files wenn "destination" NULL ist; 0 - 479]
# set maxfilesize [setze maximale Filegrösse welche für Quarantäne in MB 0 - 500 MB; 0 = Unlimited]
# set quarantine-quota [Quota Space in MB 0 - 17599427]
# set drop-infected [imap | smtp | pop3 | http | ftp | im | nntp | imaps | smtps | pop3s | https | ftps | mapi | cifs | mm1 | mm3 | mm4 | mm7]
# set store-infected [imap | smtp | pop3 | http | ftp | im | nntp | imaps | smtps | pop3s | https | ftps | mapi | cifs | mm1 | mm3 | mm4 | mm7]
# set drop-blocked [imap | smtp | pop3 | http | ftp | im | nntp | imaps | smtps | pop3s | https | ftps | mapi | cifs | mm1 | mm3 | mm4 | mm7]
# set store-blocked [imap | smtp | pop3 | http | ftp | im | nntp | imaps | smtps | pop3s | https | ftps | mapi | cifs | mm1 | mm3 | mm4 | mm7]
# set drop-heuristic [imap | smtp | pop3 | http | ftp | im | nntp | imaps | smtps | pop3s | https | ftps | mapi | cifs | mm1 | mm3 | mm4 | mm7]
# set store-heuristic [imap | smtp | pop3 | http | ftp | im | nntp | imaps | smtps | pop3s | https | ftps | mapi | cifs | mm1 | mm3 | mm4 | mm7]
# set lowspace [drop-new | ovrw-old]
# set destination [NULL | disk | FortiAnalyzer]
# end

Für die Konfiguration "destination" gilt: NULL deaktiviert die Quarantäne. Die Option "disk" steht nur dann zur Verfügung, wenn für die FortiGate das Logging "disk" aktiviert werden kann. FortiAnalyzer steht dann zur Verfügung wenn Logging über FortiAnalyzer konfiguriert wurde.

=== Wie kann ich auf einer FortiGate die Antivirus Funktion vorübergehend deaktivieren? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]
Wenn aus irgendwelchen Gründen die konfigurierte Antivirus Funktion deaktiviert werden soll, so kann dies anhand des folgenden CLI Befehls durchgeführt werden:

# diagnose antivirus bypass [on | off]

Mittels diesem Befehl wird auf globaler Ebene ein Bypass für die Antivirus Funktion aktiviert, resp. deaktiviert ohne die Konfiguration der Antivirus Funktion zu verändern.

== WebFilter ==

=== Was muss als Grundlage für eine WebFilter-Konfiguration beachten werden? ===
Wenn ein WebFilter auf einer FortiGate konfiguriert werden soll, muss zu Beginn die korrekte Zeitzone konfiguriert werden. Wenn die Zeitzone nicht korrekt konfiguriert wird nutzt die WebFilter Funktion der FortiGuard die falsche Datenbank. Dies hat zur Folge, dass zBsp die US Datenbank anstelle der europäischen bezogen wird. Um die korrekte Zeitzone zu konfigurieren kann nachfolgender Artikel konsultiert werden:

[[FortiGate:FAQ#Wie_kann_ich_einen_beliebigen_Zeitserver_auf_der_FortiGate_konfigurieren.3F]]
Genau so gilt als Grundlage für eine einwandfreie Funktion des WebFilters die Konfiguration des DNS Server für das FortiOS um die entsprechenden FortiGuard Abfragen durchführen zu können. Wie dies konfiguriert wird kann folgendem Artikel entnommen werden:

[[FortiGate:FAQ#Wie_konfiguriere_ich_auf_einer_FortiGate_die_System_DNS_Server.3F]]

Die WebFilter Funktion eines FortiOS basiert auf einer Online-Abfrage bezogen auf die Kategorien der FortiGuard. Das bedeutet, es werden Informationen zu FortiGuard gesendet um die Kategorisierung zu überprüfen. Dabei werden vom FortiOS folgende Informationen für die Kategorisierung zu FortiGuard gesendet:

* FortiGate Serien Nummer
* FortiGate Source IP Adresse
* Website Komplette URL, inkl. Schema, Hostname und Pfad

Das Resultat der Abfrage für die Kategorisierung wird lokal auf dem FortiOS in den Cache geschrieben. Die zuständige Stelle, welche dieses Verhalten steuert ist:

# config system fortiguard
# set webfilter-force-off [enable | disable]
# set webfilter-cache-ttl [TTL für WebFilter Cache in Sekunden 300 - 86400; Standard 3600]
# set webfilter-cache [enable | disable]
# set webfilter-license {integer} Zeitintervall zwischen den Lizenzprüfungen des FortiGuard Webfilters (zw. [0-0-4294967295) [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
# set webfilter-expiration {integer} wann die Lizenz des FortiGuard Webfilter verfällt (zw. [0-4294967295]) [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
# set webfilter-timeout [Timout in Sekunden für FortiGuard Abfrage 1 - 30; Standard 15]
# set
# end

Sollte die WebFilter Abfrage zu FortiGuard aus irgendwelchen Gründen gestoppt werden, kann die Option "webfilter-force-off" auf "enable" gesetzt werden. Die Konfiguration "webfilter-cache" steht ebenfalls in Zusammenhang mit folgenden Konfigurationen (je nach OS noch mit zusätzlichen Möglichkeiten):

# config webfilter fortiguard
# set cache-mode [ db-ver | ttl; Standard ttl]
# set cache-mem-percent [Prozent vom Memory 1 - 15; Standard 2]
# set cache-prefix-match [enable | disable]
# set ovrd-auth-port-http [Port für FortiGuard Web Filter HTTP override; Standard 8008]
# set ovrd-auth-port-https [Port für FortiGuard Web Filter HTTPS override; Standard 8010]
# set ovrd-auth-port-warning [Port für FortiGuard Web Filter Warning override; Standard 8020]
# set ovrd-auth-port-https-flow {integer} [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
# set ovrd-auth-https [enable | disable]
# set warn-auth-https [enable | disable]
# set close-ports [enable | disable]
# set ovrd-auth-port {integer} [[File:fortiOS62.png|25px|link=]]
# set request-packet-size-limit [Maximum Packet Size in bytes für FortiGuard 576 - 10 000; Standard 0 = 1100 bytes]
# end

Der "cache-mode" ist per Standard auf "TTL" gesetzt, was wiederum dem Standard innerhalb der "system fortiguard" Konfiguration entspricht. Dabei gilt folgendes: Ein entsprechender Eintrag im WebFilter Cache wird gelöscht sobald der Wert "TTL" abgelaufen ist, welcher unter FortiGuard gesetzt wurde! Wird der "cache-mode" anstelle von ‘’TTL’’ auf "db-ver" gesetzt, so wird für den WebFilter Cache eine Datenbank im Memory angelegt welche der Grösse des Werts "cache-mem-percent" entspricht. Die WebFilter Cache Einträge verbleiben in der Datenbank, bis ein entsprechender Eintrag in der Datenbank durch FortiGuard geändert wird oder über FortiGuard verändert wird (force).

=== Wie kann ich für die WebFilter Funktion ein URL / Site bei Fortinet rekategoriesieren lassen? ===

Wenn in einer entsprechenden Firewall Policy ein WebFilter aktiviert ist, und ein Host / Client eine Internet-Seite / URL aufruft, wird diese Seite durch FortiGuard überprüft. Handelt es sich um eine nicht kategorisierte Seite, wird diese unter die FortiGate-Kategorien "Unrated". Wenn nun diese Seite / URL kategorisiert in FortiGuard neu oder rekategorisiert werden soll, falls diese falsch eingestuft wurde, wähle folgenden Link:

https://www.fortiguard.com/webfilter?q=&version=8

Gebe in der Mitte bei ''Search URL'' die entsprechende Seite / URL ein mit dessen FQDN (Full Qualified Domain Name). Nachdem die Eingabe bestätigt wurde, wird das entsprechende Resultat angezeigt sprich, in welcher Kategorie sich die Seite / URL befindet sowie die Statistik der Abfragen in FortiGuard für diese Seite / URL:
[[Datei:Fortinet-3041.jpg]]

Möchte man eine Anfrage für die Kategorisierung absetzen, resp. eine Re-Kategorisierung vornehmen lassen, so kann auf der linken Seite ''Submit a site for categorization'' angewählt werden.
[[Datei:Fortinet-3042.jpg]]

Anschliessend die endsprechenden Felder ausfüllen und mittels Captcha bestätigen:
[[Datei:Fortinet-3043.jpg]]

Jede Anfrage sollte innerhalb von 24 Stunden von Fortinet beantwortet werden. Als Bestätigung erhält man von Fortinet folgendes Email:

-------------- email outpout --------------
[[Datei:Fortinet-3044.jpg]]

=== Wie kann ein WebFilter Profil mit Black- / Whitelisting konfigurieren? ===
Wenn man einen WebFilter für HTTPS sowie für HTTP konfiguriert, gelten folgende Profile als Voraussetzung:

• SSL Inspection Profile (HTTPS)
- SSL Certificate Inspection (HTTPS basierend auf Zertifikat CN; Common Name)
- Full SSL Inspection (HTTPS uneingeschränkte Funktion der "deep inspection")
• Proxy Options Profile (HTTP)[[File:fortiOS60.png|25px|link=]] // Protocol Option [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Wenn Full SSL Inspection (''deep inspection'') durchgeführt werden soll, gilt als Voraussetzung, dass das entsprechende Fortinet_CA_SSLProxy Zertifikat bei jedem Host / Client als vertrauenswürdiges Stammzertifikat importiert wird. Nur so kann eine uneingeschränkte "deep inspection" durchgeführt werden / sichergestellt werden. Der verschlüsselte Traffic des Host / Clients wird dann aufgebrochen und eine uneingeschränkte Prüfung in allen Bereichen für diesen Traffic wird durchgeführt! Wird keine Full SSL Inspection durchgeführt, kann anhand der ''SSL Certificate Inspection'' für HTTPS eine Zertifikats-Prüfung durchgeführt werden. Dies bedeutet: Im "TLS Handshake" der HTTPS-Verbindung wird der Hostname des Server-Namens innerhalb der "Client Hello" Message herausgefiltert (CN = Common Name). Dies wiederum bedeutet: Wenn ein gültiger Hostname herausgefiltert werden kann, ist dies die Basis des Hostname-Abfrage für die FortiGuard WebFilter Kategorien. Wenn kein gültiger Hostname herausgefiltert werden kann, wird ein CN (Common Name) basierende Überprüfung durchgeführt. So wird der CN-Name des Zertifikats für die Abfrage der FortiGuard Webfilter Kategorie genutzt. Wenn die Option "block-invalid-hostname" innerhalb des WebFilters aktiviert ist, und der CN-Name des Zertifikates ein ungültiger Domain-Name ist, so wird die Seite geblockt und ein entsprechender Log-Eintrag wird erstellt. Somit müssen zu Beginn die entsprechenden Profile als Grundlage für die WebFilter-Funktion konfiguriert und entschieden werden, ob für das ''Proxy Options Profile'' eine ''SSL Certificate Inspection'' oder ''Full SSL Inspection'' für HTTPS konfiguriert werden möchte:

'''Proxy Options Profile Konfiguration (HTTP)'''
Security Profiles > Proxy Options > Create New
[[File:fortiOS60.png|25px|link=]]
[[Datei:Fortinet-3045.jpg]]

[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
[[Datei:Fortinet-3046.jpg]]

# config firewall profile-protocol-options [[File:fortiOS60.png|25px|link=]]
# config firewall [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
# edit [Name des entsprechenden Proxy Options Profile zBsp "local-default.intra"] [[File:fortiOS60.png|25px|link=]]
# edit [policy ID] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
# Configure protocol options.
set name {string} [Name eingeben, max. Länge 35]
set comment {string} [optionaler Kommentar, max. Länge 255]
set replacemsg-group {string} [Name der Ersatz-Meldung]
# set comment [gebe einen Kommentar ein zB "Unencrypted default profile local-sg0e0" – max. Länge 255]
# unset replacemsg-group
# set oversize-log enable
# set switching-protocols-log enable
# # config http
# set ports 80
# set status enable
# set inspect-all disable
# set options clientcomfort
# set comfort-interval 10
# set comfort-amount 1
# set range-block disable
# unset post-lang
# set fortinet-bar disable
# set streaming-content-bypass enable
# set switching-protocols bypass
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# set block-page-status-code 200
# set retry-count 0
# end
# config ftp
# set ports 21
# set status enable
# set inspect-all disable
# set options clientcomfort
# set comfort-interval 10
# set comfort-amount 1
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# end
# config imap
# set ports 143
# set status enable
# set inspect-all disable
# set options fragmail
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# end
# config mapi
# set ports 135
# set status enable
# set options fragmail
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# end
# config pop3
# set ports 110
# set status enable
# set inspect-all disable
# set options fragmail
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# end
# config smtp
# set ports 25
# set status enable
# set inspect-all disable
# set options fragmail
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# set server-busy disable
# end
# config nntp
# set ports 119
# set status enable
# set inspect-all disable
# unset options
# set oversize-limit 10
# set uncompressed-oversize-limit 10
# set uncompressed-nest-limit 12
# set scan-bzip2 disable
# end
# config dns
# set ports 53
# set status enable
# end
# config mail-signature
# set status disable
# unset signature
# end
# set rpc-over-http enable
# end

'''SSL Inspection Profile Konfiguration (HTTPS SSL Certificate Inspection)'''
Security Profiles > SSL Inspection > Create New
[[File:fortiOS60.png|25px|link=]]
[[Datei:Fortinet-3047.jpg]]

[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
[[Datei:Fortinet-3048.jpg]]

# config firewall ssl-ssh-profile
# edit [wähle ein entsprechendes SSL Inspection Profile zBsp "local-default.intra"]
# set comment [gebe einen Kommentar ein zBsp "Encrypted default profile local-sg0e0"]
# config ssl
# set inspect-all disable
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config https
# set ports 443
# set status certificate-inspection
# set client-cert-request bypass
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config ftps
# set ports 990
# set status disable
# set client-cert-request bypass
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-server-cert block
# end
# config imaps
# set ports 993
# set status disable
# set client-cert-request inspect
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config pop3s
# set ports 995
# set status disable
# set client-cert-request inspect
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config smtps
# set ports 465
# set status disable
# set client-cert-request inspect
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# set whitelist disable
# end
# config ssl-exempt
# end
# set server-cert-mode re-sign
# set caname Fortinet_CA_SSLProxy
# set untrusted-caname Fortinet_CA_Untrusted
# set certname Fortinet_CA_SSLProxy
# end
# config ssl-server
# end
# set ssl-invalid-server-cert-log enable
# set use-ssl-server disable
# end

'''SSL Inspection Profile Konfiguration (HTTPS Full SSL Inspection)'''
Security Profiles > SSL/SSH Inspection > Create New
[[File:fortiOS60.png|25px|link=]]
[[Datei:Fortinet-3049.jpg]]

[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]
[[Datei:Fortinet-3050.jpg]]

# config firewall ssl-ssh-profile
# edit [wähle ein entsprechendes SSL Inspection Profile zBsp "local-default.intra"]
# set comment [gebe einen Kommentar ein zBsp "Encrypted default profile local-sg0e0"]
# config ssl
# set inspect-all disable
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config https
# set ports 443
# set status deep-inspection
# set client-cert-request bypass
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config ftps
# set ports 990
# set status deep-inspection
# set client-cert-request bypass
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config imaps
# set ports 993
# set status deep-inspection
# set client-cert-request inspect
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config pop3s
# set ports 995
# set status deep-inspection
# set client-cert-request inspect
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# end
# config smtps
# set ports 465
# set status deep-inspection
# set client-cert-request inspect
# set unsupported-ssl bypass
# set allow-invalid-server-cert disable
# set untrusted-cert block
# set whitelist disable
# end
# config ssl-exempt
# end
# set server-cert-mode re-sign
# set caname Fortinet_CA_SSLProxy
# set untrusted-caname Fortinet_CA_Untrusted
# set certname Fortinet_CA_SSLProxy
# end
# config ssl-server
# end
# set ssl-invalid-server-cert-log enable
# set rpc-over-https enable
# set use-ssl-server disable
# end

Wenn ein WebFilter konfiguriert wird, so ist es sinnvoll im Vorfeld bei dieser Konfiguration ein Blacklisting / Whitelisting zu konfigurieren. Diese Konfiguration erlaubt es, Webseiten direkt in diese lokalen Kategorieren für Blacklisting / Whitlisting zu verschieben resp. zu konfigurieren. Durch diese Konfiguration wird ein "override" der FortiGuard Kategorien durchgeführt. Per Standard existieren bereits zwei lokale Kategorieren (custome1/2) die herangezogen werden können um ein Blacklisting / Whitelisting zu konfigurieren. Dazu müssen diese zwei existenten lokalen Kategorien umbenannt oder neue hinzugefügt werden. Diese Konfiguration kann via CLI durchgeführt werden:

# config webfiler ftgd-local-cat
# get
== [ custome1 ]
desc: custome1
== [ custome2 ]
desc: custome2
# rename custome1 to whitelist
# rename custome2 to blacklist
# get
== [ whitelist ]
desc: whitelist
== [ blacklist ]
desc: blacklist
# end

Um eine neue, lokale Kategorie zu erstellen kann folgendes durchgeführt werden:
# config webfiler ftgd-local-cat
# edit warning
# end
# edit authentication
# end
# end

Danach sind die neu erstellten lokalen Kategorien über folgenden Menüpunkt im Mgmt. Web Interface ersichtlich:
Security Profiles > Web Rating Overrides > Custom Categories
[[Datei:Fortinet-3051.jpg]]
[[Datei:Fortinet-3052.jpg]]

Eine Seite kann nachträglich folgendermassen einer lokalen Kategorie hinzugefügt werden:
[[Datei:Fortinet-3053.jpg]]
[[Datei:Fortinet-3054.jpg]]

Nun kann der WebFilter konfiguriert werden indem die lokalen Kategorieren definiert werden. Hierzu wird die Position "FortiGuard category based filter" aktiviere und innerhalb der "Local Categories" mittels rechtem Mausklick kann für jeden Eintrag die entsprechende Aktion, welche ausgeführt werden soll definiert werden (wie zBsp Block, Monitor usw.):
Security Profiles > Web Filter > Create New
[[Datei:Fortinet-3055.jpg]]

Danach werden für die FortiGuard die Kategorien mit der gleichen Vorgehensweise deren Aktionen konfiguriert. Um eine entsprechende Kategorie zu erlauben sollte die Aktion "Monitor" gewählt werden um für eine spätere Auswertung die entsprechenden Informationen aufzuzeichnen. Anschliessend kann innerhalb der einzelnen Kategorie weitere Aktionen gewählt werden. Um einen WebFilter für die FortiGuard Kategorien zu konfigurieren resp. eine saubere Grundlage zu bieten empfehlen wir folgenden Basis-Konfiguration:

Potentially Liable Alles auf Block
Adult/Mature Content Alles auf Block ausser Alcohol und Tabaco auf Monitor
Bandwidth Consuming Alles auf Monitor
Security Risk Alles auf Block
General Interest - Personal Alles auf Monitor
General Interest - Business Alles auf Monitor
Unrated Alles auf Monitor

Des Weiteren empfehlen wir für eine WebFilter Konfiguration folgende Einstellungen:
[[Datei:Fortinet-3056.jpg]]
[[Datei:Fortinet-3057.jpg]]
[[Datei:Fortinet-3058.jpg]]

'''Log all URLs''' Durch die Aktivierung dieser Position wird für jeden URL in jedem Fall ein Logging durchgeführt auch wenn FortiGuard nicht zur Verfügung steht. Wir empfehlen innerhalb der FortiGuard Kategorieren "FortiGuard category based filter" für jede Kategorie welche zugelassen wird in der Aktion auf "Monitor" anstelle "Allow" zu konfigurieren damit jede einzelne URL in das WebFilter Log geschrieben wird und somit für eine spätere Auswertung sämtliche Informationen zur Verfügung stehen!

'''Category Usae Quota''' Diese Position erlaubt eine Zeit-, wie auch volumenbasierende Konfiguration der FortiGuard Kategorien. Dies bedeutet, dass für eine bestimmte Kategorie eine spezifische Zeit oder Volumen definiert werden kann!

'''Allow users to override blocked categories''' Durch diese Konfiguration wird den einzelnen User, welche in einer spezifischen Gruppe sind erlaubt ein "override" durchzuführen. Erhält ein entsprechender User, welcher Mitglied der definierten Gruppe ist eine "Block" für eine entsprechende Seite, kann dieser auf der geblockten Seite ein "override" ausführen. Ebenso kann anstelle eines "override" ein "switch to" ausgeführt werden. Dies bedeutet, dass dem User ermöglicht wird zu einem spezifischen WebFilter Profil zu wechseln. Dieser "switch to" kann anhand User, Gruppen, IP und "Ask" eingeschränkt und konfiguriert werden.

'''Search Engines''' Durch die Aktivierung dieser Funktion versucht der WebFilter nur erlaubte Kategorien innerhalb der entsprechenden Suchmaschinen-Ergebnisse aufzulisten. Zusätzlich kann anhand "Log all search keyword" der Suchtext für die Suche geloggt werden! Bei beiden Funktionen ist folgendes zu berücksichtigen: Da die entsprechenden Suchmaschinen HTTPS für die Suche verwenden, kann die WebFilter Funktion die gewünschten Ergebnisse nur dann erreichen, wenn für HTTPS ''Full SSL Inspection'' verwendet wird. Der ''YouTube Education Filter'' bietet eine Möglichkeit, wobei durch Aktivierung ein Passwort zu definieren ist um eine Verbindung zum YouTube Education Account aufzubauen. Dieser wiederum bietet die Möglichkeit YouTube Filme / Movies zu diesem YouTube Education Account hinzuzufügen. Somit sind nur diese definierten YouTube Filme / Movies zugelassen. Es ist nicht möglich basierend der YouTube Kategorien im YouTube Education Account eine Konfiguration zu erstellen da keine offiziellen YouTube Kategorien existieren. Für diese Konfiguration ist die Full SSL Inspection die Grundvoraussetzung da ansonsten die Konfiguration über HTTPS durch die User umgangen werden kann! Weitere Informationen zur Konfiguration des YouTube Education Filters siehe nachfolgender Artikel: [[FortiGate:FAQ#Was_ist_.22YouTube_Education_Filter.22.3F]]

'''Static URL Filter''' Durch "Block invalid URLs" werden Seiten blockiert welche über keinen gültigen Domain Namen verfügen! Durch die Aktivierung der "URL Filter"-Funktion wird über Wildcard, Simple sowie Regex ermöglicht Internetseiten, URLs sowie Domains von einer UTM-Aktion auszunehmen ("Exempt"). Ebenso können Aktionen wie Monitor, Allow und Block konfiguriert werden. Bei dem hier gezeigten WebFilter wurden Seiten wie *.apple.com, *.microsoft.com mit der Aktion "Exempt" konfiguriert. Für diese Seiten wird kein UTM Feature, wie zBsp Antivirus ausgeführt! Weitere Informationen zu dieser Konfiguration kann nachfolgendem Artikel entnommen werden: [[FortiGate:FAQ#Wie_k.C3.B6nnen_mittels_einem_WebFilter_Profil_bestimmte_URLs_von_den_UTM_Features_ausgeschlossen_werden.3F]] Im FortiOS ist die Position "Block malicious URLs discovered by FortiSandbox" aufgeführt und steht im Zusammenhang mit der FortiSandbox Funktion und kann nur dann genutzt werden, wenn diese auf dem FortiOS aktiviert und konfiguriert wurde. Durch den Web Content Filter kann eine Seite anhand der Definition des Pattern, der Wildcard oder Reg. Expression eingestuft werden Aktionen wie Block oder Exempt sind möglich. Für diese Funktion gilt Full SSL Inspection als Voraussetzung da ein Content Filter für den verschlüsselten Traffic nur dann durchgeführt werden kann, wenn eine "deep inspection" ausgeführt wird.

'''Rating Options''' Die Position "Allow websites when a rating error occurs" steuert das Verhalten der WebFilter Funktion, wenn eine Abfrage der Kategorisierung des WebFilters nicht auf der FortiGuard durchgeführt werden kann. Ist diese Abfrage aus irgendwelchen Gründen nicht erfolgreich, wird der Zugriff des Users auf diese entsprechende Seite geblockt! Unter normalen Umständen empfehlen wir diese Funktion zu aktivieren. Durch "Rate URLs by domain and IP Adress" wird zusätzlich für die Kategorisierung zur Domaine die öffentliche IPv4 Adresse der entsprechenden Seite / URL ebenfalls auf FortiGuard überprüft. Wir empfehlen diese Funktion zu aktivieren um die zusätzliche Überprüfung durchzuführen! Durch die Funktion "Block HTTP redirects by rating" werden "redirects" in der Überprüfung durch den WebFilter miteinbezogen. Wir empfehlen auch diese Funktion zu aktivieren! Durch "Rate images by URL" werden die hinterlegten URLs der Images überprüft. Handelt es sich um einen URL für die betroffene Kategorie, für welche ein Block konfiguriert wurde, wird das entsprechende Image durch den Proxy entfernt und mit einem "blank" Image ersetzt.

'''Proxy Options''' Durch die Aktivierung von "Restrict Google account usage to specific domains" kann die entsprechende Goolge Domain konfiguriert werden und so der Zugriff auf diese Domain eingeschränkt werden. Für diese Funktion gilt Full SSL Inspection als Grundvoraussetzung. Durch die Aktivierung von "Provide details for blocked HTTP 4xx and 5xx errors" werden die Fehlermeldungen des Web Servers direkt zurück gegeben anstelle der Fehlermeldungen des FortiOS Proxy Servers. Um die detaillierten HTTP errors des Server zu erhalten sollte diese Position aktiviert werden! Soll verhindert werden dass eine HTTP Post Action durch einen User ausgeführt werden kann, muss die Position "HTTP Post Action" auf Block gesetzt werden. Wenn dies durchgeführt wird kann zBsp ein User kein Upload mehr auf einen Web Server durchführen werden. Für diese Funktion gilt Full SSL Inspection als Voraussetzung. Durch die Aktivierung der Funktionen "Remove Java Applets, Remove AcitveX und Remove Cookies" wird dem Proxy Server ermöglicht diese Funktionen zu entfernen! Die entsprechenden Profile sind nun konfiguriert und können einer entsprechenden Firewall Policy Rule hinzugefügt werden. Dabei ist folgendes zu beachten: In der Firewall Policy Rule sollten die entsprechenden Services / Ports explizit definiert werden. Dies bedeutet, dass auf Service "All" verzichtet werden sollte. Nachfolgendes Beispiel zeigt eine Firewall Policy Rule für welche HTTP / HTTPS ist der unverschlüsselter Traffic (Proxy Options Profile) sowie für den verschlüsselten Traffic (SSL Inspection Profile) ein WebFilter Profile aktiviert wurde:

Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-3059.jpg]]

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
'''Nice to know''':
Ab OS 6.2 ist es möglich den UTM-Status komplett auszuschalten, resp. die Full Inspection ist vorhanden und konfiguriert, jedoch auf '' und somit inaktiv.
Um die Standard-Einstellungen der ''no inspection'' in der CLI anschauen zu können, kann folgender Befehl ausgeführt werden:
# config firewall policy
# edit 1
# sh config firewall policy
edit 1
set uuid 05d88354-4817-51e9-7494-06cb70accbf0
set srcintf "wan2"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set inspection-mode proxy
set http-policy-redirect enable
set ssh-policy-redirect enable
set nat enable
next
end
# sh fu | grep ssl-ssh-profile
set ssl-ssh-profile "no-inspection"
# end
|}

=== Wie kann ich ein WebFilter Profil konfigurieren um einzelne URL / Sites von der Full SSL Inspection auszuschliessen? ===
Wenn ein WebFilter Profil in Zusammenhang mit Full SSL Inspection konfiguriert wird, können Situationen eintreten in denen eine bestimmte URL/Site von der Full SSL Inspection ausgeschlossen werden muss. Diese Funktion wird innerhalb des Full SSL Inspection Profile durch "ssl-exempt" zur Verfügung gestellt. Dabei können WebFilter lokale Kategorien, FortiGuard Kategorien sowie einzelne Adressen basierend auf IPv4 oder FQDN Adress-Objekten von der Full SSL Inspection ausgeschlossen werden. Die Konfiguration kann über Mgmt. Web Interface oder CLI durchgeführt werden:

Security Profiles > SSL/SSH Inspection > [wähle das entsprechende Full SSL Inspection Profil] > Edit > Exempt from SSL Inspection

[[Datei:Fortinet-3060.jpg]]

# config firewall ssl-ssh-profile
# edit [wähle das entsprechende Full SSL Inspection Profile]
# set whitelist [enable | disable]
# config ssl-exempt
# edit [gebe eine entsprechenden Integer an zB "1"]
# set type [fortiguard-category | address]
# set fortiguard-category [gebe die entsprechende FortiGuard Kategorie an; Für eine Liste benütze ?]
# set address [gebe ein entsprechendes Adress Objekt an FQDN oder IPv4]
# next
# end

Die Position "Reputable Websites", welche der Konfiguration "whitelist" in der CLI entspricht, muss bei der "ssl-exempt" Konfiguration berücksichtigt werden! Dies bedeutet: Wenn diese Funktion deaktiviert wird, wird für die definierten Web-Kategorieren und / oder Adressen unter dem Menü-Punkt "Exempt from SSL Inspection" keine SSL Inspection durchgeführt! Es wird jedoch für die definierten Web-Kategorien und Adressen die UTM Funktionen ausgeführt, sofern diese konfiguriert wurden. Wird die Position "Reputable Websites" aktiviert, so wird für die definierten Web-Kategorien und / oder Adressen unter "Exempt from SSL Inspection" die UTM Funktionen ausgeführt und / oder ausgeschlossen, welche gemäss folgender Konfiguration in der CLI im WebFilter Profile erfasst wurde:

# config webfilter profile
# edit [Name des entsprechenden WebFilter Profiles]
# config web
# set whitelist [exempt-av | exempt-webcontent | exempt-activex-java-cookie | exempt-dlp | exempt-rangeblock | extended-log-others]
# end
# end

Somit kann anhand "Reputable Website" die Funktion "ssl-exempt" erweitert werden um die UTM Features, wie zBsp Antivirus, auszuschliessen! Bei der Konfiguration "ssl-exempt" ist des Weiteren zu berücksichtigen, dass im WebFilter-Profil lokale Kategorien konfiguriert werden und der Funktion "ssl-exempt" via "type fortiguard-category" als FortiGuard «local categorie» hinzugefügt werden. Dadurch können die URL / Sites über das Mgmt. Web-Interface dieser lokalen Kategorie angefügt und somit automatisch zur "ssl-exempt" Funktion hinzugefügt werden. Wie lokale Kategorien konfiguriert werden kann nachfolgendem Artikel entnommen werden:

[[FortiGate:FAQ#Wie_kann_ein_WebFilter_Profil_mit_Black-_.2F_Whitelisting_konfigurieren.3F]]

=== Wie können mittels einem WebFilter Profil bestimmte URLs von den UTM Features ausgeschlossen werden? ===
Wenn ein WebFilter Profil konfiguriert wird, können innerhalb dieses WebFilter Profils bestimmte URLs anhand von ''Wildcards'' oder ''Regular Expressions'' unter der Position "URL Filters" konfiguriert werden. Folgende Möglichkeiten stehen zur Verfügung:

Security Profiles > WebFilter > [wähle das entsprechende WebFilter Profil] > Edit > URL Filter > Create
[[Datei:Fortinet-3061.jpg]]
[[Datei:Fortinet-3062.jpg]]

Dabei kommt dem Vorgang (Action) "Exempt" eine spezielle Funktion zu. Wird die Action "Exempt" gewählt, so wird der definierte URL (sei es als Wildcard oder Regular Expression) von sämtlichen UTM Features wie zBsp Antivirus ausgeschlossen. Möchte man nur definierte UTM Features ausschliessen, steht via CLI diese Konfiguration detaillierter zur Verfügung:

# config webfilter urlfilter
# edit [Integer für URL-Filter - zBsp "1"]
# config entries
# edit [gebe einen entsprechenden Integer an zBsp "1"]
# set url [gebe eine entsprechenden URL an zBsp basierend auf Wildcard "*.apple.com"]
# set type [simple | regex | wildcard]
# set action [exempt | block | allow | monitor]
# set exempt [setze die entsprechend auszuschliessende Option, sofern "action exempt" gesetzt ist; av | web-content | activex-java-cookie | dlp | fortiguard | range-block all]
# set status [enable | disable]
# unset referrer-host
# end
# end

Somit steht für die Action ''Exempt'' folgendes zur Verfügung um ein UTM Feature auszuschliessen:

* activex-java-cookie ActiveX, Java, and cookie filtering
* all Exempt from all
* av Antivirus filtering
* dlp DLP scanning
* filepattern File pattern matching
* fortiguard FortiGuard web filtering
* pass Pass single connection from all
* range-block Exempt range block feature
* web-content Web filter content matching

Wird als Action "Exempt" gewählt, so wird "set exempt" im Hintergrund standardmässig wie folgt konfiguriert:

# set exempt av web-content activex-java-cookie dlp fortiguard range-block all

=== Wie kann ich für ein WebFilter Profil bestimmte MIME Header blockieren? ===

=== Was ist "YouTube Education Filter"? ===
Der YouTube Education Filter war eine Möglichkeit für Unternehmen, wie zBsp Schulen, einen Account auf YouTube zu erstellen und dort anhand eines YouTube Accounts zu definieren, welche YouTube Movies / Videos freigegeben werden. Dieser Service wird seit 1. Juli 2016 seitens Google nicht mehr unterstütz.
Google stellt Informationen zur Einschränkung von YouTube-Inhalten zur Verfügung, wie zBsp die Einschränkung von YouTube-Inhalten, die den Nutzern der G Suite zur Verfügung stehen. Derzeit umfasst die von Google angebotene Möglichkeit, unangemessenen Inhalt einzuschränken mittels Prüfung von: DNS, HTTP-Header und Chromebooks. Dies kann wie folgt konfiguriert werden (wo ''Restricted YouTube Access'' aktiviert wird):
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
Security Profiles > Web Filter > Search Engines
[[Datei:Fortinet-3063.jpg]]
|- style="background:#89E871"

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
config webfilter profile
edit "webfilter"
config web
set safe-search url
end
next
end
|-
|}

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:'''
|-
|
Security Profiles > Web Filter > Search Engines
[[Datei:Fortinet-3064.jpg]]
|- style="background:#89E871"

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
config webfilter profile
edit "webfilter"
config web
set youtube-restrict strict
end
next
end
|-
|}

Weitergehende Informationen können hier entnommen werden:
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/659877/youtube-education-filter

=== Wie kann für die WebFilter Funktion ein Troubleshooting durchgeführt werden? ===
Wenn für die WebFilter Funktion ein Troubleshooting durchgeführt werden soll, muss das WebFilter Cache berücksichtig werden, welches durch die FortiGuard Abfragen zur Kategorisierung im Hintergrund erstellt wird. Um die WebFilter Cache Informationen anzuschauen, zu löschen, TTLs der Einträge anzuschauen usw. stehen folgende Befehle zur Verfügung:

# diagnose test application urlfilter
1. This menu
2. Clear WF cache
3. Display WF cache contents
4. Display WF cache TTL list
6. Display WF cache in tree format
7. Toggle switch for dumping unrated packet
10. Print debug values
11. Clear Spam Filter cache
13. Toggle switch for dumping expired license packets
14. Show running timers (except request timers)
144. Show running timers (including request timers)
15. Send INIT requests.
16. Display WF cache contents of prefix type
19. Display object counts
20. Display FTGD TCP stats
21. Display FTGD quota list
22. Reset all user quotas
99. Restart the urlfilter daemon

Debug levels:
Warning messages: 1 (0x001)
Block events: 2 (0x002)
Pass events: 4 (0x004)
URL request events: 8 (0x008)
Cache events: 16 (0x010)
Prefix events: 32 (0x020)
Prefix delete subtree events: 64 (0x040)
Add after prefix events: 128 (0x080)
CMDB events: 256 (0x100)
DNS resolver messages: 512 (0x200)
Keyword search messages: 1024 (0x400)
INIT request messages: 2048 (0x800)
Quota messages: 4096 (0x1000)

Somit kann zBsp anhand folgenden Befehls der Caches des WebFilters ausgelesen werden:

# diagnose test application urlfilter 3

Saving to file [/tmp/urcCache.txt]

Cache Contents:
-=-=-=-=-=-=-=-
Cache Mode: TTL
Cache DB Ver: 17.33301

Domain |IP DB Ver T URL
'''34'''000000|'''34'''000000 17.33299 P Bhttp://www.ecall.ch/
34000000|34000000 17.33296 P Chttps://apctrl1.fortinet.com/
34000000|34000000 17.33295 P Chttps://logctrl1.fortinet.com/
34000000|00000000 17.33292 P Bhttp://ocsp2.globalsign.com/
34000000|00000000 17.33292 P Bhttp://ocsp.globalsign.com/
29000000|29000000 17.33282 E Bhttp://yahoo.com/
29000000|00000000 17.32731 E Dhttps://cse.google.com/

Die Spalte "Domain" sowie "IP" gibt die FortiGuard Kategorie in "hexdecimalen" Wert wieder! Um den Cache Inhalt des WebFilters zu löschen benutze folgende Befehl:

# diagnose test application urlfilter 2

Eine andere Möglichkeit den Cache des WebFilters zu löschen ist den Deamon/Service des WebFilters neu zu starten:

# diagnose test application urlfilter 99

Ebenso steht mit nachfolgendem Befehl betreffend WebFilter eine Statistik zur Verfügung:

# diagnose webfilter fortiguard statistics list

Rating Statistics:
=====================
DNS failures : 4
DNS lookups : 9
Data send failures : 0
Data read failures : 0
Wrong package type : 0
Hash table miss : 1
Unknown server : 0
Incorrect CRC : 0
Proxy request failures : 0
Request timeout : 26
Total requests : 23908
Requests to FortiGuard servers : 2535
Server errored responses : 0
Relayed rating : 0
Invalid profile : 0

Allowed : 0
Blocked : 1
Logged : 23903
Blocked Errors : 0
Allowed Errors : 5
Monitors : 23902
Authenticates : 0
Warnings: : 0
Ovrd request timeout : 0
Ovrd send failures : 0
Ovrd read failures : 0
Ovrd errored responses : 0

Cache Statistics:
=====================
Maximum memory : 42284892
Memory usage : 44832

Nodes : 1
Leaves : 0
Prefix nodes : 0
Exact nodes : 0

Requests : 1
Misses : 1
Hits : 0
Prefix hits : 0
Exact hits : 0

No cache directives : 0
Add after prefix : 0
Invalid DB put : 0
DB updates : 2

Percent full : 0%
Branches : 100%
Leaves : 0%
Prefix nodes : 0%
Exact nodes : 0%

Miss rate : 100%
Hit rate : 0%
Prefix hits : 0%
Exact hits : 0%

Diese Statistik kann mit nachfolgendem Befehl zurückgesetzt werden:

# diagnose webfilter fortiguard statistics flush

Möchte man den "Embeded Content" für eine Anfrage eines Host / Client im Zusammenhang mit dem WebFilter untersuchen um zBsp Teile einer geblockten Seite zu untersuchen, kann dies anhand des folgendem Debug Befehl durchgeführt werden:

1. Konfiguriere "Putty" für logging, um alle Informationen in ein Log aufzuzeichnen (Category > Session > Logging > All session output)
2. Erstelle eine Konsolen-Verbindung zur FortiGate (RS232 basierend resp. Seriell)
3. Führe ein Login durch und gebe folgendes ein:

'''Setze den Debug Filter zurück'''

# diagnose debug reset

'''Aktiviere für den debug "output" den "timestamp"'''

# diagnose debug console timestamp enable

'''Setze einen neuen Debug Filter urlfilter'''

# diagnose debug urlfilter src-addr [IPv4 Adressee des Hosts / Clients von dem der Test ausgeführt wird zBsp "198.18.0.21"]
# diagnose debug application urlfilter -1

Zusätzlich zu "src-addr" steht ebenfalls "test-url" zur Verfügung welcher durch Angaben eines entsprechenden URLs für "test-url" werden die Resultate für FortiGuard Kategorisierung zurückgegeben!

'''Aktiviere den Debug Modus mit dem gesetzen Debug Filter:'''

# diagnose debug enable

Nachfolgend ein Beispiel eines Outputs (Ausschnitt) des oben stehenden "debug" Filters anhand Source Adresse 198.18.0.21 sowie auf die Seite "www.also.com":

--------------- output debug urlfilter src-addr / -1 ---------------

# msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23940, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23941, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/en/6000/index.jsp"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23945, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/6000/print.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23943, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/6000/html5boilerplate/main.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23944, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/6000/screen.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23942, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/6000/html5boilerplate/normalize.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23947, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/6000/dev_also_com.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23946, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/6000/dev_also_com_2.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23951, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/6000_1/html5boilerplate_1/modernizr-262min.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=fonts.googleapis.com:80, id=23948, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/css?family=PT+Sans+Narrow|Raleway:400,500,600,700,800|Dancing+Script|Sanchez"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23950, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/css/1010_ctv/magnific-popup.css"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23952, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/js/jquery-core/1.11.2/jquery-1.11.2.min.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23953, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/js/jquery-core/2.1.3/jquery-2.1.3.min.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23954, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/6000_1/jquery/jquerywaypointsmin.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23955, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/6000_1/jquery/jquerytouchSwipemin.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23956, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/6000_1/bootstrap/bootstrap.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23957, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/6000_1/plugins.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23958, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/6000_1/metronome.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)
msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.also.com:80, id=23959, vfname='root', vfid=0, profile='VDOM-root-default', type=0, client=198.18.0.21, url_source=1, url="/ec/cms2/media/js_1/knockout/knockoutmin.js"
Not running keyword search. It is not a supported search site site
Checking urlfilter list 1
Stop quota EP 198.18.0.21, cat 0
Url filter exempt action (7f)

--------------- output debug urlfilter src-addr / -1 ---------------

Nachdem der Debug ausgeführt wurde sollte dieser wieder deaktiviert, sowie der Filter zurückgesetzt werden:

'''Deaktiviere den Debug Modus:'''

# diagnose debug disable

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

'''Kontrolliere den Debug Filter ob dieser zurückgesetzt wurde:'''

# diagnose debug info

== DNS Filter ==
== IPS ==
=== Wie kann ich die Industrie Signaturen auf der FortiGate aktivieren? ===

[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]]

Im FortiOS sind die ''Industrie Signaturen'' beim IPS integriert. Diese sind aber defaultmässig deaktiviert und müssen über die CLI aktiviert werden.
Mit folgendem Befehl können die Industrie Signaturen aktiviert werden:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config ips global
set exclude-signatures none
end
</pre>
|}

Um die Signaturen wieder auszuschliessen (exclude) wird folgender Syntax verwendet:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config ips global
set exclude-signatures industrial
end
</pre>
|}

== Traffic Shaper / TOS / DSCP ==

=== Wie behebe ich bei kleineren FortiGate Modellen im Trafficshapping das Problem des TCP saw-toothing? ===
[[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Bei kleineren FortiGate Geräten (Entry Level) kann es bei langsamen Upload-Geschwindigkeiten zu Problemen kommen. Die begrenzte Upload-Geschwindigkeit wird durch TCP Saw-toothing verursacht wenn der Burst-Traffic die Geschwindigkeits-Limmite überschreitet.
Grund dafür ist, dass die FortiGate den Traffic nicht ordnungsgemäss in die Queue stellt, und auf dem ausgehenden Interface die Burstcontroll angewendet werden soll.

Dies kann man ab dem FortiOS 6.2.1 wie folgt beheben: 
Stellt den gesamten Traffic als 'default-class-id 10' und das wird für den gesamten Traffic verwendet.

Anwendung eines garantierten Prozentsatzes von 80 % und maximal 96 % beim Traffic-Shaping der Interfacebandbreite, welche auf 880 MB konfiguriert ist.
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config firewall shaping-profile
# edit <profile name>
# set type queuing
# set default-class-id 10
# config shaping-entries
# edit 1
# set class-id 10
# set guaranteed-bandwidth-percentage 80
# set maximum-bandwidth-percentage 96
# set burst-in-msec 1000 <range from 0 to 2000>
# set cburst-in-msec 1800 <range from 0 to 2000>
# end
# end
</pre>
|}
Anpassen des Grenzwertes: Den Grenzwert sollte man so konfigurieren, dass dieser sich unter dem Wert von cburst befindet, welcher höher ist als der Wert des Burst-Traffics.
Der Wert beträgt zwischen 1000ms (50%) bis hin zu 1800ms (90%) der (outgoing Bandbreite) Obergrenze der erreichbaren Höchstgeschwindigkeit.
Diese Werte können bei Bedarf niedriger gestellt werden.

Man kann dies mit folgenden Befehlen überprüfen:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose netlink intf-class list wan2
# diagnose netlink intf-qdisc list wan2
</pre>

In der folgenden Konfiguration soll die ausgehende Bandbreite auf 880 MB insgesamt 900 MB angewendet werden:
<pre>
# config system interface
# edit wan2
# set outbandwidth 880000
# set egress-shaping-profile <?name of shaping-profile>
# end
# end
</pre>
|}


===Wie kann ich eine unbeschränkte Speed-Limite im Traffic-Shaper setzen?===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

Wenn eine unbeschränkte Bandbreite zugelassen werden möchten, kann dies lediglich via CLI mit dem Wert (null) vorgenommen werden. 
[[file: Fortinet-3011.jpg|750px|link=]]

[[file: Fortinet-3012.jpg|750px|link=]]

[[file: Fortinet-3013.jpg|750px|link=]]

Eine Traffic Shaping Policy kann wie folgt erstellt werden: 
[[file: Fortinet-3014.jpg|750px|link=]]
Zu beachtende Parameter (in / out): 
[[file: Fortinet-3015.jpg|750px|link=]]

[[file: Fortinet-3016.jpg|750px|link=]]

Bei ''Application Category'' kann nun''VoIp'' ausgewählt werden und bei ''Application'' -> ''SIP'': 
[[file: Fortinet-3017.jpg|750px|link=]]

[[file: Fortinet-3018.jpg|750px|link=]]

=== Kann ich auf einem FortiGate Device den IP-Paketen DSCP Informationen hinzufügen? ===
[[File:fortiOS60.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS64.png|25px|link=]]

In verschiedenen Situationen werden den IP-Paketen in einem internen Netzwerk ToS/DSCP Informationen hinzugefügt. Damit kann für einen bestimmten Traffic Typ, wie zum Beispiel VoIP, eine bestimmte Bandbreite, respektive eine Priorität verliehen werden.
Üblicherweise werden solche Markierungen auf einem Core-Switch durchgeführt.

Wenn jedoch eine Markierung über einen Switch nicht möglich ist, aber die Markierung der IP-Pakete erforderlich ist, dass diese im Backbone Bereich des ISP's priorisiert werden, so ist es möglich dies ebenfalls über das FortiOS durchzuführen. ToS ist in RFC 791 definiert und durch RFC 1349 erweitert. DSCP ist die Ablösung von ToS und wird im RFC 2474 definiert. Nachfolgende Links geben vertieft Auskunft über ToS und DSCP:
* http://bogpeople.com/networking/dscp.shtml
* http://en.wikipedia.org/wiki/Differentiated_Services_Code_Point#Classification_and_marking
* https://de.wikipedia.org/wiki/DiffServ

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| '''DSCP Tabelle:'''
|-
|
Damit IP-Pakete markiert werden können, müssen die Informationen des Providers/Services bekannt sein, wie diese Pakete markiert werden sollen.
Wenn nun ein Provider zBsp "AF41" verlangt, wäre dies "Precedence 4" was wiederum "Class Selector 4" entspricht. Nachfolgend eine Tabelle für DSCP wie diese Informationen interpretiert werden: 
[[file:Fortinet-324.jpg|550px|link=]]
----
Aus dieser DSCP Tabelle kann entnommen werden, dass zum Bespiel "AF41" der binäre Wert wie folgt bestimmt wird:
<pre>
Class Selector 4 = 100xxx
AF41 = xxx010

Ergibt = '''100010''' (oder Dezimal 34)
</pre>
|}
Mit diesen Informationen kann der entsprechender Traffic-Shaper konfiguriert werden. Damit dieser in der entsprechenden Traffic-Shaper Policy benutzt wird um den Traffic mit DSCP Informationen zu markieren:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
* Über das Menu ''Policy & Objects -> Traffic Shapers ->'' [[file:createnew.jpg|link=]] ein neues Traffic-Shaper Profil anlegen. 
[[File:Fortinet-3010.jpg|550px|link=]]
* Im Feld ''DSCP'' kann jetzt der Binäre-Wert, welcher gemäss der oberen Tabelle ermittelt wurde, eingetragen werden.
[[File:Fortinet-2673.jpg|550px|link=]]
|- style="background:#89E871"
| '''Konfiguration in der CLI'''
|-
|
Über die CLI wird die DSCP Information folgendermassen im Traffic-Shaper Profil konfiguriert:
<pre>
# config firewall shaper traffic-shaper
# edit [Name für das Profile] --> zum Beispiel "Citrix-CS4-AF41"
# set priority high
# set diffserv [enable | disable]
# set diffservcode [DSCP Code] --> zum Beispiel "100010"]
# end
</pre>
|}
Danach muss der neu konfigurierte "Traffic Shaper" in einer "Traffic Shaper Policy" definiert werden. Dabei ist zu beachten, dass die Traffic Shaper Policy so definiert wird, dass diese mit der entsprechenden IPv4 Firewall Policy Rule korrespondiert. Es muss ebenfalls darauf geachtet werden, dass die Policy über eine Übereinstimmung verfügt (matching criteria).

Als Beispiel möchten wir ausgehender VoIP Traffic markieren. Es existieren folgende IPv4 Firewall Regeln:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
[[File:Fortinet-2674.jpg|750px|link=]]

Somit ergibt sich folgende Traffic Shaper Policy welche über eine entsprechende Übereinstimmung verfügt (matching criteria):
Jetzt ist darauf zu achten, dass in der Traffic Shaper Policy eine entsprechende Übereinstimmung gewährleistet ist (matching criteria):
* Über das Menu ''Policy & Objects -> Traffic Shaping Policy -> [[file:createnew.jpg|link=]] '' kann eine Traffic Shaper Policy erstellt werden.
[[File:Fortinet-2675.jpg|550px|link=]]
Durch diese Konfiguration werden nun IP Pakete in der IPv4 Firewall Policy '''(ID17)'' durch den Traffic Shaper, welcher über die entsprechende Traffic Shaper Policy eingebunden wurde, markiert!
|}

== SIP / VoIP ==
=== Was im FortiOS als "SIP ALG" zu verstehen und soll ich diese Funktion benutzen? ===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

In den meisten Fällen sollte anstelle des "SIP Session Helpers" der "SIP ALG" (SIP Application Layer Gateway) benutzt werden.
Der "SIP ALG" ist seit FortiOS 5.2 standard. Zusätzlich wird das SIP Protokoll im "SIP ALG" vor Angriffen im SIP-Bereich geschützt. Dies bedeutet zBsp., dass Sessions limitiert, Syntax betreffend SIP, sowie SDP Inhalte usw. der Nachrichten überprüft werden. Zusätzlich wird über den "SIP ALG" ein detailliertes Logging, wie auch Reporting zur Verfügung gestellt. Nachfolgende Darstellung zeigt wie der "SIP ALG" in seinem Grundkonstrukt implementiert ist: 
[[Datei:Fortinet-3005.jpg]]

'''Der SIP ALG unterstützt folgende Funktionen:''' 
* Alle Features implementiert im "Session Helper" sowie NAT, SIP und RTP Pinholes (Real Time Protocol Pinholes)
* Zusätzlich, im Gegensatz zum Session Helper, kann auf dem SIP ALG folgendes durchgeführt werden:
* SIP TCP und UDP Support
* SIP Message Order Überprüfung
* konfigurierbare Header Line Lenght Maximum
* Message Fragment Assembly (TCP)
* Wenn SIP Nachrichten fragmentiert sind (vers. Pakete) fügt der SIP ALG diese wieder zusammen und schickt diese als Ganzes weiter.
* L4 Protocol Translation
* Message Flood Protection
* DoS Protection für "flooding INVITE, REGISTER" und andere Methoden
* SIP message Type Filtering
* SIP Statistik und Logging
* SIP über IPv6
* SIP über SSL/TLS
* Deep SIP Message Syntax Checking (SIP Header Inspection oder SIP Fuzzing Protection
* Hosted NAT Traversal
* SIP High Availability (HA)
* Geographical Redundancy (HA)
* SIP Per Request Method Message Rate Limitation (schützt SIP Server vor SIP-Überlastung und DoS-Attacken)
* RTP Bypass (RTP Pinholing)
* SIP NAT
* IP Topology Hiding 
Diese Aufstellung zeigt das hinter "SIP" (VoIP) mehr steckt als man glaubt, und aus diesem Grund komplizierter ist als eine normale TCP/UDP-basierte Anwendung. Aufgrund der Komplexität der Signalisierung und der Protokolle bei "SIP", sowie der Inkonsistenzen die sich ergeben, wenn eine Firewall die Source-Adresse und Source-Port Daten mit NAT ändert, ist es schwierig für "SIP" eine Firewall ungehindert zu überwinden. "SIP" (VoIP) verwendet zwei verschiedene Protokolle: eines für die Signalisierung (zwischen dem Client und dem SIP/VoIP-Server) und eines für die Medien (zwischen den Clients). Die Port-/IP-Adresspaare, welche von den Medienprotokollen (RTP/RTCP) für jede Sitzung verwendet werden, werden von den Signalisierungsprotokollen dynamisch verhandelt. Firewalls müssen diese Informationen dynamisch mitverfolgen, warten und zum entsprechenden Zeitpunkt ausgewählte Ports für die Sitzungen auf sichere Weise öffnen und wieder schließen. Mehrere Medien-Ports werden über die Signalisierungssitzung dynamisch verhandelt; die Verhandlungen über die Medien-Ports sind in der Nutzlast der Signalisierungsprotokolle enthalten (IP-Adress- und Port-Informationen). Firewalls müssen für jedes Packet eine "Deep Inspection" durchführen, um diese Informationen zu erhalten und die Sitzungen dynamisch zu warten; dies erfordert zusätzliche Verarbeitungskapazitäten der Firewall. Die Source- und Destination-IP-Adressen sind in dies SIP/VoIP-Signalisierungspakete eingebettet. Eine Firewall mit NAT-Unterstützung übersetzt IP-Adressen und -Ports auf IP-Header-Ebene für Pakete. Vollsymmetrische NAT-Firewalls passen ihre NAT-Anbindungen häufig neu an und können so zufällig die "Pinholes" schließen, über die eingehende Pakete in das zu schützende Netzwerk gelangen. In diesem Fall kann der Dienstanbieter keine eingehenden Anrufe an den Kunden weiterleiten. Für die erfolgreiche Unterstützung von "SIP" muss mittels NAT-Firewall eine "Deep Packet Inspection" durchführen und die eingebettete IP-Adress- und Portinformationen bei der Weiterleitung via Firewall transformieren können. Genau hier setzt der "SIP ALG" an und übernimmt diese Arbeit in verschiedenen Bereichen. Dies bedeutet, dass er die SIP und SDP Informationen analysiert, passt die Pakete an (zBsp. für NAT), schützt das Protokoll auf DoS sowie IPS Ebene usw. Bei einigen SIP-Implementierungen, welche von Hersteller zu Hersteller verschieden sein können, kann es zu Problemen kommen. Das heisst, dass zBsp. weil über SIP Befehle gesendet wird diese durch den "SIP ALG" nicht erkannt werden. Diese Befehle - da nicht erkannt - werden als "unknown" eingestuft und entsprechend geblockt. Um dies zu verhindern kann diese spezifische Funktion zu Erkennung der Befehle, resp. die SIP Funktion deaktiviert werden damit "unknown" nicht geblockt wird. Wie hier aufgezeigt ist "SIP" resp. "VoIP" eine komplexe Materie und es existieren etliche verschiedenen Provider mit eigenen Implementierungen usw. Security-Technisch gesehen ist/wäre es sinnvoll den "SIP ALG" anhand eines "VoIP Profiles" zu benutzen. Dies ist jedoch höchst anspruchsvoll und komplex. Aus diesem Grund empfehlen wir die Funktion des "SIP Session Helpers" auf einer FortiGate in normaler Umgebungen zu löschen/deaktivieren und die Funktion des "SIP ALG" nicht zu benutzen. Der "SIP Session Helper" gelöscht/ deaktiviert, resp. "SIP ALG" disabled wird, kann hier entnommen werden: 

'''Vorbereitung: ''' 
* SIP-Server Konfiguration anpassen (falls NAT verwendet wird)
-> Wenn der SIP-Verkehr beim Durchlaufen der FortiGate genatted ist, muss der SIP-Server so konfiguriert werden, dass seine öffentliche IP-Adresse im Application Header verwendet wird. Alle anderen VoIP-Geräte müssen ebenfalls mit ihrer öffentlichen IP-Adresse auf den SIP-Server verweisen.
* öffnen der Firewall-Regeln auf der FortiGate
-> Firewall-Richtlinien müssen jetzt ausdrücklich zugelassen werden, dass alle UDP-Ports für den Audio-Verkehr geöffnet werden können (und nicht nur die SIP- oder SCCP-Control-Ports). 

Session Helper entfernen: 

Folgenden Befehl unter system session-helper ausführen: 

#config system session-helper
show 

Unter den angezeigten Einstellungen befindet sich eine, die dem folgenden Beispiel ähnelt: 
<pre>
#edit 13
set name sip
set protocol 17
set port 5060
next
</pre>
Hier ist Eintrag 13 welcher auf den SIP-Verkehr verweist und den UDP-Port 5060 für die Signalisierung verwendet.
In diesem Beispiel würden die nächsten Befehle zum entfernen des entsprechenden Eintrags wie folgt lauten: 
#delete 13
end
'''Wichtig''': Es ist nicht zwingend erforderlich, dass der SIP-Eintrag 13 ist. Es ist somit zu prüfen welcher Eintrag die SIP-Helper-Einstellungen hat.

Anpassen des default -voip -alg-mode (standardmässig ist dieser auf proxy-based eingestellt): 

Folgende Befehle müssen ausgeführt werden (gültig ab OS 6.2.2): 

#config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end



Nichts desto trotz nachfolgend einige Hinweise auf was geachtet werden muss wenn zwar der "SIP Session Helper" gelöscht wird, jedoch dennoch der "SIP ALG" anhand eines "VoIP Profiles" benutzt wird: 
'''Deaktiviere "unknown" SIP-Befehle'''

#config voip profile
#edit [Name des VoIP Profiles]
#config sip
#set block-unknown disable
#end

'''Deaktiviere NAT-Funktion innerhalb SIP'''

#config voip profile
#edit [Name des VoIP Profiles]
#config sip
#set nat-trace disable
#end

'''Aktiviere NAT-Register Funktion innerhalb SIP'''

#config voip profile
#edit [Name des VoIP Profiles]
#config sip
#set register-contact-trace enable
#end

Nachfolgend eine Liste aller CLI-Befehle welche für VoIP-Profile aufgerufen werden kann:


<pre>

'''config voip profile'''
Description: Configure VoIP profiles

edit <name>
set comment {var-string}
config sip
Description: SIP.
set status [disable|enable]
set rtp [disable|enable]
set nat-port-range {user}
set open-register-pinhole [disable|enable]
set open-contact-pinhole [disable|enable]
set strict-register [disable|enable]
set register-rate {integer}
set invite-rate {integer}
set max-dialogs {integer}
set max-line-length {integer}
set block-long-lines [disable|enable]
set block-unknown [disable|enable]
set call-keepalive {integer}
set block-ack [disable|enable]
set block-bye [disable|enable]
set block-cancel [disable|enable]
set block-info [disable|enable]
set block-invite [disable|enable]
set block-message [disable|enable]
set block-notify [disable|enable]
set block-options [disable|enable]
set block-prack [disable|enable]
set block-publish [disable|enable]
set block-refer [disable|enable]
set block-register [disable|enable]
set block-subscribe [disable|enable]
set block-update [disable|enable]
set register-contact-trace [disable|enable]
set open-via-pinhole [disable|enable]
set open-record-route-pinhole [disable|enable]
set rfc2543-branch [disable|enable]
set log-violations [disable|enable]
set log-call-summary [disable|enable]
set nat-trace [disable|enable]
set subscribe-rate {integer}
set message-rate {integer}
set notify-rate {integer}
set refer-rate {integer}
set update-rate {integer}
set options-rate {integer}
set ack-rate {integer}
set prack-rate {integer}
set info-rate {integer}
set publish-rate {integer}
set bye-rate {integer}
set cancel-rate {integer}
set preserve-override [disable|enable]
set no-sdp-fixup [disable|enable]
set contact-fixup [disable|enable]
set max-idle-dialogs {integer}
set block-geo-red-options [disable|enable]
set hosted-nat-traversal [disable|enable]
set hnt-restrict-source-ip [disable|enable]
set max-body-length {integer}
set unknown-header [discard|pass|...]
set malformed-request-line [discard|pass|...]
set malformed-header-via [discard|pass|...]
set malformed-header-from [discard|pass|...]
set malformed-header-to [discard|pass|...]
set malformed-header-call-id [discard|pass|...]
set malformed-header-cseq [discard|pass|...]
set malformed-header-rack [discard|pass|...]
set malformed-header-rseq [discard|pass|...]
set malformed-header-contact [discard|pass|...]
set malformed-header-record-route [discard|pass|...]
set malformed-header-route [discard|pass|...]
set malformed-header-expires [discard|pass|...]
set malformed-header-content-type [discard|pass|...]
set malformed-header-content-length [discard|pass|...]
set malformed-header-max-forwards [discard|pass|...]
set malformed-header-allow [discard|pass|...]
set malformed-header-p-asserted-identity [discard|pass|...]
set malformed-header-sdp-v [discard|pass|...]
set malformed-header-sdp-o [discard|pass|...]
set malformed-header-sdp-s [discard|pass|...]
set malformed-header-sdp-i [discard|pass|...]
set malformed-header-sdp-c [discard|pass|...]
set malformed-header-sdp-b [discard|pass|...]
set malformed-header-sdp-z [discard|pass|...]
set malformed-header-sdp-k [discard|pass|...]
set malformed-header-sdp-a [discard|pass|...]
set malformed-header-sdp-t [discard|pass|...]
set malformed-header-sdp-r [discard|pass|...]
set malformed-header-sdp-m [discard|pass|...]
set provisional-invite-expiry-time {integer}
set ips-rtp [disable|enable]
set ssl-mode [off|full]
set ssl-send-empty-frags [enable|disable]
set ssl-client-renegotiation [allow|deny|...]
set ssl-algorithm [high|medium|...]
set ssl-pfs [require|deny|...]
set ssl-min-version [ssl-3.0|tls-1.0|...]
set ssl-max-version [ssl-3.0|tls-1.0|...]
set ssl-client-certificate {string}
set ssl-server-certificate {string}
set ssl-auth-client {string}
set ssl-auth-server {string}
end
config sccp
Description: SCCP.
set status [disable|enable]
set block-mcast [disable|enable]
set verify-header [disable|enable]
set log-call-summary [disable|enable]
set log-violations [disable|enable]
set max-calls {integer}
end
next
end
</pre>

===Was ist zu beachten, wenn SIP (VoIP) über eine Fortigate implementiert wird?===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

Wenn SIP resp. VoIP über eine FortiGate unter FortiOS 6.2 implementiert/ konfiguriert wird ist folgendes wichtig: 
Im FortiOS gibt es zwei Funktionen welche den SIP Traffic manipulieren.
# '''Session Helper'''
# '''ALG''' (Application Layer Gateway)
Diese zwei Funktionen werden über eine globale Einstellung / Konfiguration gesteuert:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system settings
# set default-voip-alg-mode [proxy-based | kernel-helper-based]
# end
</pre>
|}

{| class="wikitable" style="width:800px"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Die Optionen "proxy-based" und/oder "kernel-helper-based" haben folgende Bedeutung: 
* '''proxy-based''' = Default VoIP ALG is "proxy-based" (SIP ALG läuft im User Space)
* '''kernel-helper-based''' = Default VoIP ALG is "kernel-helper-based" (SIP Helper läuft im Kernel Mode)
Somit wird durch folgende Konfiguration entweder der "ALG" oder der "Session Helper" 
als Standard aktiviert:

* proxy-based = ALG
* kernel-helper-based = Session Helper
|}

Um den "ALG" somit als Standard zu aktivieren, und den "Session Helper" zu deaktivieren, muss folgendes konfiguriert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Session Helper als Standard konfigurieren:
<pre>
config system settings
set default-voip-alg-mode kernel-helper-based
end
</pre>
----
Den Session Helper löschen:
<pre>
# show system session-helper | grep sip -f
</pre>
Durch den <code>grep</code> Befehl und den Parameter <code>-f</code> wird uns nur der Session-Helper angezeigt, welcher SIP enthält. In unserem Fall hat dieser die ID ''12''
<pre>
config system session-helper
edit 12
set name sip <---
set protocol 17
set port 5060
next
end
</pre>
Den gefundenen "Integer" - in unserem Beispiel die zwölf(12):
<pre>
config system session-helper
delete [INTEGER_WERT --> in unserem Fall 12]
end
</pre>

<pre>
config system session-helper
delete 12
end
</pre>
----
''Deaktivieren der globalen "sip"-Funktionen:'' 
<pre>
config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end
</pre>

Damit die Konfiguration aktiviert wird ''muss'' ein Neustart des Devices durchgeführt werden:
<pre>
execute reboot
</pre>

Danach wird SIP resp. VoIP nicht mehr durch die FortiGate speziell über den "ALG" oder den "Session Helper" verarbeitet da der "Session Helper" nicht mehr existiert und der "ALG" nur dann genutzt wird, wenn auf einer Firewall Policy ein "VoIP Profile" konfiguriert wurde. Aus diesem Grund sollte darauf geachtet werden, dass "kein" VoIP Profile auf einer entsprechenden Firewall Policy Rule konfiguriert wurde. Nur so ist gewährleistet, dass die FortiGate betreffend SIP resp. VoIP den Traffic normal verarbeitet ohne in den SIP / VoIP Traffic einzugreifen. Wenn dennoch ein "VoIP Profile" benutzt wird sollte man sich der Problematik bewusst sein und folgenden Artikel berücksichtigen: 
https://fortinet.also.ch/wiki/index.php?title=FortiGate:FAQ#SIP_.2F_VoIP -> 65.1 Was im FortiOS als "SIP ALG" zu verstehen und soll ich diese Funktion benutzen?
|}

Ausgehend davon, dass SIP (VoIP) nicht benutzt wird, respektive die Konfiguration zur Nichtbenutzung korrekt durchgeführt wurde, kann mit nachfolgenden Befehlen dies bestätigt werden. Die Befehle können durchgeführt werden um festzustellen ob der "Session Helper" und / oder der "ALG" für SIP (VoIP) benutzt werden. Wurde die Konfiguration korrekt durchgeführt, bestätigen diese Kommandos dass SIP (VoIP) weder über den "Session Helper" noch über den "ALG" verarbeitet werden da die "counter" im Output für diese Kommandos auf Null stehen. Damit diese Überprüfung korrekt durchgeführt werden kann, muss dementsprechend SIP (VoIP) Traffic durchgeführt werden: 
''SIP Session Helper'' 

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# diagnose sys sip status
dialogs: max=131072, used=0
mappings: used=0
dialog hash by ID: size=8192, used=0, depth=0
dialog hash by RTP: size=8192, used=0, depth=0
mapping hash: size=8192, used=0, depth=0
count0: 0
count1: 0
count2: 0
count3: 0
count4: 0
</pre>
''SIP ALG'' 
<pre>
# diagnose sys sip-proxy stats
sip stats

vdom name: root
---------------------------
active-sessions: 0
calls-attempted: 0
calls-established: 0
calls-failed: 0

calls-active: 0
registers-active: 0

| received | blocked | unknown form | long headers
req-type | req resp| req resp| req resp| req resp
UNKNOWN 0 0 0 0 0 0 0 0
ACK 0 0 0 0 0 0 0 0
BYE 0 0 0 0 0 0 0 0
CANCEL 0 0 0 0 0 0 0 0
INFO 0 0 0 0 0 0 0 0
INVITE 0 0 0 0 0 0 0 0
MESSAGE 0 0 0 0 0 0 0 0
NOTIFY 0 0 0 0 0 0 0 0
OPTIONS 0 0 0 0 0 0 0 0
PRACK 0 0 0 0 0 0 0 0
PUBLISH 0 0 0 0 0 0 0 0
REFER 0 0 0 0 0 0 0 0
REGISTER 0 0 0 0 0 0 0 0
SUBSCRIBE 0 0 0 0 0 0 0 0
UPDATE 0 0 0 0 0 0 0 0
PING 0 0 0 0 0 0 0 0
YAHOOREF 0 0 0 0 0 0 0 0
</pre>
|}

===Wie konfiguriere ich ein VoIP Profile und was bedeuten die entsprechenden Parameter?===
[[File:fortiOS64.png|25px|link=]][[File:fortiOS62.png|25px|link=]][[File:fortiOS60.png|25px|link=]]

Bevor ein "VoIP Profile" konfiguriert wird unter FortiOS 6.2 sollte man sich der Problematik bewusst sein dh. dazu sollte folgende zwei Artikel konsultiert werden: 
https://fortinet.also.ch/wiki/index.php?title=FortiGate:FAQ#SIP_.2F_VoIP
65.1 - Was ist unter «SIP ALG» zu verstehen und soll ich diese Funktion benutzen?
65.2 - Was ist unter zu beachten wenn SIP (VoIP) über eine Fortigate implementiert wird?
Wenn ein "VoIP Profile" konfiguriert werden möchte muss das entsprechende Feature resp. Menü auf dem Mgmt.-Web Interface aktiviert werden. 

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Über das Menu:''System -> Feature Visibility'' kann das VoIP Feature eingeschaltet werden: 
[[File:Fortinet-3002.jpg|link=]]
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config system settings
set gui-voip-profile [enable|disable]
end
</pre>
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Sobald die Funktion aktiviert ist, erscheint unter "Security Profiles" -> "VoIP" der entsprechende Punkt: 
[[File:Fortinet-3003.jpg|750px|link=]]
WICHTIG: Wenn sich nur eine limitierte Anzahl Verbindungen registrieren dürfen, so kann bei «REGISTER» die gewünschte Anzahl eingetragen werden. Wird der Wert auf 0 (null = default) belassen, so können sich unbeschränkte Anzahl Verbindungen registrieren. Das Gleiche gilt für die Anzahl der «INVITE». 

----
[[File:Fortinet-3006.jpg|750px|link=]]

Die Positionen "REGISTER" und "INVITE" geben an wie viele Requests per Second und Policy über SIP akzeptiert werden.
* "REGISTER" ist der Wert der Verbindungen darstellt welche benützt werden um Geräte am Controller anzumelden.
* "INVITE" stellt den Wert des effektiven Call dar.
* "SCCP" steht für das proprietäre CISCO Protokoll und wird nur im Zusammenhang mit diesem benutzt.

Dies bedeutet, wenn der Wert 100 gesetzt wird so können sich über das entsprechende konfigurierte "VoIP Profile" das für eine Firewall Policy konfiguriert wurde nicht mehr als zBsp. 100 Devices am Controller registrieren (REGISTER). Wenn "INVITE" auf 100 gesetzt wird, können sich über die entsprechende Policy nicht mehr als 100 Anrufe (INVITE) durchgeführt werden.
----
Nachdem ein entsprechendes "VoIP Profile" konfiguriert wurde, kann dieses in einer entsprechenden Firewall Policy eingebunden werden: 
[[File:Fortinet-3004.jpg|750px|link=]]
{| class="wikitable" style="width:100%"
|-
| style="width:50px;background-color: #DE8A2E;"| [[File:tipp.png|50px|link=]]
| style="background-color: #ffe29b"|
Vorsicht bei der Implementierung, dass für "outgoing" sowie "incoming" ein korrektes NAT (Network Address Translation) für den VoIP-Traffic konfiguriert wird!
|}
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Auf der CLI stehen für das "VoIP Profile" unzählige Optionen zur Verfügung: 
<pre>
# config voip profile
# edit [Name des entsprechenden Profil]
# set comment [Gebe einen entsprechenden Kommentar an]
# config sip
# set status [disable | enable]
# set rtp [disable | enable]
# set open-register-pinhole [disable | enable]
# set open-contact-pinhole [disable | enable]
# set strict-register [disable | enable]
# set register-rate [Integer]
# set invite-rate [Integer]
# set max-dialogs [Integer]
# set max-line-length [Integer]
# set block-long-lines [disable | enable]
# set block-unknown [disable | enable]
# set call-keepalive [Integer]
# set block-ack [disable | enable]
# set block-bye [disable | enable]
# set block-cancel [disable | enable]
# set block-info [disable | enable]
# set block-invite [disable | enable]
# set block-message [disable | enable]
# set block-notify [disable | enable]
# set block-options [disable | enable]
# set block-prack [disable | enable]
# set block-publish [disable | enable]
# set block-refer [disable | enable]
# set block-register [disable | enable]
# set block-subscribe [disable | enable]
# set block-update [disable | enable]
# set register-contact-trace [disable | enable]
# set open-via-pinhole [disable | enable]
# set open-record-route-pinhole [disable | enable]
# set rfc2543-branch [disable | enable]
# set log-violations [disable | enable]
# set log-call-summary [disable | enable]
# set nat-trace [disable | enable]
# set subscribe-rate [Integer]
# set message-rate [Integer]
# set notify-rate [Integer]
# set refer-rate [Integer]
# set update-rate [Integer]
# set options-rate [Integer]
# set ack-rate [Integer]
# set prack-rate [Integer]
# set info-rate [Integer]
# set publish-rate [Integer]
# set bye-rate [Integer]
# set cancel-rate [Integer]
# set preserve-override [disable | enable]
# set no-sdp-fixup [disable | enable]
# set contact-fixup [disable | enable]
# set max-idle-dialogs [Integer]
# set block-geo-red-options [disable | enable]
# set hosted-nat-traversal [disable | enable]
# set hnt-restrict-source-ip [disable | enable]
# set max-body-length [Integer]
# set unknown-header [discard | pass | respond]
# set malformed-request-line [discard | pass | respond]
# set malformed-header-via [discard | pass | respond]
# set malformed-header-from [discard | pass | respond]
# set malformed-header-to [discard | pass | respond]
# set malformed-header-call-id [discard | pass | respond]
# set malformed-header-cseq [discard | pass | respond]
# set malformed-header-rack [discard | pass | respond]
# set malformed-header-rseq [discard | pass | respond]
# set malformed-header-contact [discard | pass | respond]
# set malformed-header-record-route [discard | pass | respond]
# set malformed-header-route [discard | pass | respond]
# set malformed-header-expires [discard | pass | respond]
# set malformed-header-content-type [discard | pass | respond]
# set malformed-header-content-length [discard | pass | respond]
# set malformed-header-max-forwards [discard | pass | respond]
# set malformed-header-allow [discard | pass | respond]
# set malformed-header-p-asserted-identity [discard | pass | respond]
# set malformed-header-sdp-v [discard | pass | respond]
# set malformed-header-sdp-o [discard | pass | respond]
# set malformed-header-sdp-s [discard | pass | respond]
# set malformed-header-sdp-i [discard | pass | respond]
# set malformed-header-sdp-c [discard | pass | respond]
# set malformed-header-sdp-b [discard | pass | respond]
# set malformed-header-sdp-z [discard | pass | respond]
# set malformed-header-sdp-k [discard | pass | respond]
# set malformed-header-sdp-a [discard | pass | respond]
# set malformed-header-sdp-t [discard | pass | respond]
# set malformed-header-sdp-r [discard | pass | respond]
# set malformed-header-sdp-m [discard | pass | respond]
# set provisional-invite-expiry-time [Integer]
# set ips-rtp [disable | enable]
# set ssl-mode [off | full]
# set ssl-send-empty-frags [enable | disable]
# set ssl-client-renegotiation [allow | deny | secure]
# set ssl-algorithm [high | medium | low]
# set ssl-pfs [require | deny | allow]
# set ssl-min-version [ssl-3.0 | tls-1.0 | tls-1.1 | tls-1.2]
# set ssl-max-version [ssl-3.0 | tls-1.0 | tls-1.1 | tls-1.2]
# set ssl-client-certificate [string]
# set ssl-server-certificate [string]
# set ssl-server-certificate [string]
# set ssl-auth-client [string]
# set ssl-auth-server [string]
# end
# config sccp
# set status [disable | enable]
# set block-mcast [disable | enable]
# set verify-header [disable | enable]
# set log-call-summary [disable | enable]
# set log-violations [disable | enable]
# set max-calls [Integer]
# end
# end
</pre>
|}
Weitere Informationen welche Option welche Funktion besitzt kann dem nachfolgendem Link entnommen werden: 
https://docs.fortinet.com/document/fortigate/6.2.1/cli-reference/449620
Ebenso sind diverse VoIP spezifische CLI-Befehle ersichtlich: 
https://docs.fortinet.com/document/fortigate/6.2.1/cli-reference/424620/voip-profile

=== Wie kann man auf der FortiGate ein Debug für VoIP durchführen? ===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

Ausgehend davon, dass der SIP-Helper und / oder SIP ALG benutzt wird, kann mit nachfolgenden Kommandos ein Debug für SIP ausgeführt werden: 
# Konfiguriere "putty" für ein logging dh., alle Informationen werden in ein Log aufgezeichnet (Category > Session > Logging > All session output)
# Erstelle eine SSH Verbindung zur FortiGate
# Führe ein Login durch und gebe folgendes ein:
{| class="wikitable" style="width:100%"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Alle Debug Filter zurücksetzen:
<pre>
# diagnose debug reset
</pre>
----
Einen Filter für die SIP Applikation setzen:
<pre>
# diagnose debug application sip -1
</pre>
----
Den Debug Modus aktiveren (Output an die Console senden):
<pre>
# diagnose debug enable
</pre>
'''Bei der Konfiguration des Debug''' 
Levels für "diagnose debug application sip" wird dem Debug mit "-1" angewiesen den tiefsten Debug Level zu setzen. Wenn ein dedizierter Debug Level gesetzt werden soll stehen folgende Debug Level zur Verfügung: 

1 Configuration changes, mainly addition/deletion/modification of virtual domains
2 TCP connection accepts or connects, redirect creation
4 Create or delete a session
16 Any IO read or write
32 An ASCII dump of all data read or written
64 Include HEX dump in the above output
128 Any activity related to the use of the FortiCarrier dynamic profile feature to determine the correct profile-group to use
256 Log summary of interesting fields in a SIP call
1024 Any activity related to SIP geo-redundancy
2048 Any activity related to HA syncing of SIP calls
Zusätzlich gibt es die Möglichkeit zum Debug Filter ein "log-filter" für den SIP ALG zu setzen welcher, sofern gesetzt, für das Kommando "diagnose debug application sip" angewendet: 
# diagnose sys sip-proxy log-filter ?
list Display the current filter
clear Clear the current filter
vd Index of virtual domain. -1 matches all
src-addr4 IPv4 source address range to filter by
dst-addr4 IPv4 destination address range to filter by
src-addr6 IPv6 source address range to filter by
dst-addr6 IPv6 destination address range to filter by
src-port Source port to filter by
dst-port Destination port to filter by
policy Policy to filter by
policy-type Policy-type to filter by
voip-profile VoIP profile to filter by
negate Negate the specified filter parameter 

Ein Filter wird anhand der zur Verfügung stehenden Filter Parameter gesetzt. 
Beispiel:
<pre>
# diagnose sys sip-proxy log-filter src-addr4 198.18.0.60 255.255.255.255
</pre>
Ein gesetzter Filter kann zur Kontrolle anhand «list» aufgeführt werden:
<pre>
# diagnose sys sip-proxy log-filter list
</pre>
Um den gesamten Filter zurück zu setzen führe folgendes aus: 
<pre>
# diagnose sys sip-proxy log-filter clear
</pre>
----
Nachdem das Troubleshooting erfolgreich durchgeführt wurde setze alle Filter zurück und deaktiviere den Debug Modus: 
<pre>
# diagnose debug disable
# diagnose debug reset
</pre>
|}

=== Was ist ein Session Helper mit “Pinhole” und wie kann dies konfiguriert werden? ===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

'''Funktion:''' 
In diesem Beispiel wird die Adresse des Medienempfängers im SIP-SDP-Payload an die genattete IP-Adresse angepasst.
[[file:Fortinet-3001.jpg|750px|link=]]
'''Wichtig zu berücksichtigen:''' 
Es muss beachtet werden dass ein Pinhole geöffnet wird und die Firewallregel zustandsabhängig sind. Nur so kann die Rückmeldung / Antwortverkehr ermöglicht werden.
Dies ist auch zu berücksichtigen wenn nicht explizit eine Firewallregel erstellt wurde um den eingehenden Datenverkehr zuzulassen, da dieses Konzept auch bei einigen anderen Protokollen verwendet wird (zBsp. NAT-T für IPsec).

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
config voip profile
edit "voip-profile-name"
config sip
set strict-register [enable|disable]
...
end
next
end
</pre>
|}


== NTP ==
=== Wie kann ich einen beliebigen Zeitserver auf der FortiGate konfigurieren? ===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

Der Zeitserver auf einer FortiGate ist eine ''globale'' Einstellung. Dieser Punkt ist zu berücksichtigen, wenn auf der FortiGate mit VDOMs gearbeitet wird. Die Zeit-Einstellungen sind somit im GLOBAL zu finden.

Die Zeitzone wird folgendermassen konfiguriert:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# Den Menupunkt '''System -> Settings''' anwählen
# Im Bereich ''Time Zone'' den Pfeil anwählen und die gewünschte Zeitzone auswählen.
[[file:Fortinet-6000.jpg|link=]]
|- style="background:#89E871"
|'''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set timezone <ZEITZONEN_INDEX>
# end
</pre>

'''BEISPIEL''' Zeitzone 26 (GMT+1:00) Amsterdam, Berlin, Bern, Rome, Stockholm, Vienna setzen.
<pre>
# config system global
# set timezone 26
# end
</pre>
|-
|}

Wie kann der gewünschte Zeitzonen Index ermittelt werden?
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system global
# set timezone ? --> Erzeugt eine Liste mit allen Zeitzonen Codes:
01 (GMT-11:00) Midway Island, Samoa
02 (GMT-10:00) Hawaii
03 (GMT-9:00) Alaska
04 (GMT-8:00) Pacific Time (US & Canada)
05 (GMT-7:00) Arizona
81 (GMT-7:00) Baja California Sur, Chihuahua
06 (GMT-7:00) Mountain Time (US & Canada)
07 (GMT-6:00) Central America
08 (GMT-6:00) Central Time (US & Canada)
09 (GMT-6:00) Mexico City
10 (GMT-6:00) Saskatchewan
11 (GMT-5:00) Bogota, Lima,Quito
12 (GMT-5:00) Eastern Time (US & Canada)
13 (GMT-5:00) Indiana (East)
74 (GMT-4:00) Caracas
14 (GMT-4:00) Atlantic Time (Canada)
77 (GMT-4:00) Georgetown
15 (GMT-4:00) La Paz
87 (GMT-4:00) Paraguay
16 (GMT-3:00) Santiago
17 (GMT-3:30) Newfoundland
18 (GMT-3:00) Brasilia
19 (GMT-3:00) Buenos Aires
20 (GMT-3:00) Nuuk (Greenland)
75 (GMT-3:00) Uruguay
21 (GMT-2:00) Mid-Atlantic
22 (GMT-1:00) Azores
23 (GMT-1:00) Cape Verde Is.
24 (GMT) Monrovia
80 (GMT) Greenwich Mean Time
79 (GMT) Casablanca
25 (GMT) Dublin, Edinburgh, Lisbon, London
26 (GMT+1:00) Amsterdam, Berlin, Bern, Rome, Stockholm, Vienna
27 (GMT+1:00) Belgrade, Bratislava, Budapest, Ljubljana, Prague
28 (GMT+1:00) Brussels, Copenhagen, Madrid, Paris
78 (GMT+1:00) Namibia
29 (GMT+1:00) Sarajevo, Skopje, Warsaw, Zagreb
30 (GMT+1:00) West Central Africa
31 (GMT+2:00) Athens, Sofia, Vilnius
32 (GMT+2:00) Bucharest
33 (GMT+2:00) Cairo
34 (GMT+2:00) Harare, Pretoria
35 (GMT+2:00) Helsinki, Riga, Tallinn
36 (GMT+2:00) Jerusalem
37 (GMT+3:00) Baghdad
38 (GMT+3:00) Kuwait, Riyadh
83 (GMT+3:00) Moscow
84 (GMT+3:00) Minsk
40 (GMT+3:00) Nairobi
85 (GMT+3:00) Istanbul
41 (GMT+3:30) Tehran
42 (GMT+4:00) Abu Dhabi, Muscat
43 (GMT+4:00) Baku
39 (GMT+3:00) St. Petersburg, Volgograd
44 (GMT+4:30) Kabul
46 (GMT+5:00) Islamabad, Karachi, Tashkent
47 (GMT+5:30) Kolkata, Chennai, Mumbai, New Delhi
51 (GMT+5:30) Sri Jayawardenepara
48 (GMT+5:45) Kathmandu
45 (GMT+5:00) Ekaterinburg
49 (GMT+6:00) Almaty, Novosibirsk
50 (GMT+6:00) Astana, Dhaka
52 (GMT+6:30) Rangoon
53 (GMT+7:00) Bangkok, Hanoi, Jakarta
54 (GMT+7:00) Krasnoyarsk
55 (GMT+8:00) Beijing, ChongQing, HongKong, Urumgi, Irkutsk
56 (GMT+8:00) Ulaan Bataar
57 (GMT+8:00) Kuala Lumpur, Singapore
58 (GMT+8:00) Perth
59 (GMT+8:00) Taipei
60 (GMT+9:00) Osaka, Sapporo, Tokyo, Seoul
62 (GMT+9:30) Adelaide
63 (GMT+9:30) Darwin
61 (GMT+9:00) Yakutsk
64 (GMT+10:00) Brisbane
65 (GMT+10:00) Canberra, Melbourne, Sydney
66 (GMT+10:00) Guam, Port Moresby
67 (GMT+10:00) Hobart
68 (GMT+10:00) Vladivostok
69 (GMT+10:00) Magadan
70 (GMT+11:00) Solomon Is., New Caledonia
71 (GMT+12:00) Auckland, Wellington
72 (GMT+12:00) Fiji, Kamchatka, Marshall Is.
00 (GMT+12:00) Eniwetok, Kwajalein
82 (GMT+12:45) Chatham Islands
73 (GMT+13:00) Nuku'alofa
86 (GMT+13:00) Samoa
76 (GMT+14:00) Kiritimati
</pre>
|}
Ein eigener Zeitserver kann auf der FortiGate nur über die CLI konfiguriert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
# config system ntp
# set ntpsync enable
# set type custom
# set syncinterval 360
# config ntpserver
# edit 1
# set server "<NTP-SERVER-NAME oder IP>"
# next
# edit 2 --> so kann ein zweiter NTP Server konfiguriert werden
# set server "<NTP-SERVER2-NAME oder IP>"
# next
# end
# end
</pre>
'''BEISPIEL:'''NTP Server Konfiguration mit ch.pool.ntp.org
<pre>
# config system ntp
# set ntpsync enable
# set type custom
# set syncinterval 360
# config ntpserver
# edit 1
# set server "ch.pool.ntp.org"
# next
# end
# end
</pre>
|}

=== Wie kann ich den NTP-Dienst auf einem Interface aktivieren? ===
[[File:fortiOS64.png|25px|link=]] [[File:fortiOS62.png|25px|link=]] [[File:fortiOS60.png|25px|link=]]

Wenn ich möchte, dass der System NTP Server auf einem Interface aktiviert ist, damit dieser als dhcp Parameter an die Clients propagiert werden kann, muss man diesen in den System Einstellungen aktivieren:

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
# System -> Settings im Bereich System Time
# ''Setup device as local NTP server'' anwählen
# ''Listen on Interfaces'' in dieses Feld klicken
# vom Seitenmenu können die gewünschten Interfaces ausgewählt werden
# mit Apply wird die Konfiguration aktiv
[[file:Fortinet-6001.jpg|link=]]
|- style="background:#89E871"
|'''Konfiguration über die CLI:'''
|-
|
<pre>
# config system ntp
# set server-mode enable
# set interface "<INTERFACE1> <INTERFACE2> ... <INTERFACEn>"
# end
</pre>

'''BEISPIEL''' Wir konfigurieren das Interface internal1 und internal2 als NTP Server:
<pre>
# config system ntp
# set server-mode enable
# set interface "internal1 internal2"
# end
</pre>
|-
|}
DHCP Option für NTP Server konfigurieren. Die restlichen DHCP Optionen sind bereits konfiguriert.

{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Einrichten des Zeitservers beim DHCP Server:
# Auf dem Interface, auf welchem der DHCP Serverdienst läuft in die DHCP Optionen gehen
# Bei den DHCP Optionen die Checkbox "Advanced" anwählen
# Mode auf server stellen
# NTP Server Specify setzen
# Die Interface IP Adresse im Feld angeben
# Die Zeitzone als "Same as System" übernehmen
[[file:Fortinet-6002.jpg|link=]]
|- style="background:#89E871"
|'''Konfiguration über die CLI:'''
|-
|
<pre>
# config system dhcp server
# edit <INTIGER>
# set timezone-option default
# set ntp-server1 <INTERFACE IP ADRESSE>
# next
# end
</pre>
'''BEISPIEL:''' Wir konfigurieren den NTP Server mit der IP Adresse 192.168.1.99 (IP Adresse vom Interface)
<pre>
# config system dhcp server
# edit 1
# set timezone-option default
# set ntp-server1 192.168.1.99
# next
# end
</pre>
|-
|}

== PCI Compliance ==

== Wireless-Controller ==
=== Wo finde ich Informationen betreffend FortiGate Wireless-Controller und Forti Access Points? ===

Nachfolgender Artikel gibt Auskunft über die verschiedenen Konfigurationen und den Betrieb von Forti Access Points im Zusammenhang mit dem FortiGate Wireless Controller:

[[FortiAP:FAQ]]

=== Wie konfiguriere ich einen Remote Access Point mit Split Tunnel? ===
'''Vorbemerkungen:''' 
Ziel dieser Anleitung ist es, mit einem FortiAP-24D a eine gesicherte Remoteverbindung von einem Aussenstandort zu einem Hauptstandort zu erstellen. Es handelt sich hier um ein typisches Szenario, welches eingesetzt werden soll, um kleine Aussenstandorte oder HomeOffice Mitarbeiter anzubinden. Die Dokumentation wurde mit einem AP24d erstellt. Es eignen sich aber grundsätzlich auch folgende Access Points um ein solches Szenario zu etablieren:
* FAP-11C
* FAP-14C
* FAP-21D
* FAP-24D
* FAP-25D
* FAP-28C

'''Ausgangslage:''' 
{| class="wikitable" style="width:1200px;"
|- style="vertical-align:top;"
| style="vertical-align:top; width:870px;" | Zielarchitektur
| style="vertical-align:top" | Verwendete Geräte
|-
| style="vertical-align:top" |
[[file:Fortinet-2225.png|link=]]
| style="vertical-align:top" |
* Fortigate 60E Beta3
* FortiAP-24D
|}

'''Vorbedingungen:''' 
* Die Firewall im Main Office ist korrekt konfiguriert, so dass Clients im LAN über den WAN Anschluss ins Internet kommen.
* Die Firewall im Main Office wird direkt und ohne weitere Router mit einer public IP vom Provider von der WAN Seite verbunden.
* Der FortiAP befindet sich auf Werkseinstellungen, kriegt via DHCP am WAN Port eine IP, einen gültigen Default Gatway, sowie einen gültigen DNS Server.
* Der FortiAP ist in der Lage über den am Ort vorhandenen Internetanschluss mindestens über die Ports 53TCP/UDP, 443TCP, 5246/UDP, 5247/UDP ins Internet zu kommunizieren.

'''Konfigurationsschritte''' 
1. Einschalten von CAPWAP auf WAN Interface
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2226.png|link=]]
| style="vertical-align:top" |
Die Verwaltung der Access Points über die Fortigate geschieht mit dem Protokoll CAPWAP. Damit die Fortigate Firewall Access Points über das WAN Interface verwalten kann, muss auf diesem Interface CAPWAP aktiviert werden.
|}

2. Erstellen der SSID
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2227.png|link=]]
| style="vertical-align:top" |
Unter ''Wifi & Switch Controller -> SSID -> + Create New'' wird eine neue SSID erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Damit später das Splitt-Tunneling funktioneirt ist es insbesondere sehr wichtig, dass der Defaultgateway der IP der Fortigate auf diesem Interface entspricht. Die anderen Parameter wie Name, SSID, Security Mode, IP Range etc. können nach gutdünken angepasst werden.

Nachdem diese SSID konfiguriert wurde, muss ein zusätzlicher Parameter wie folgt auf der CLI konfiguriert werden:

<pre># config wireless-controller vap
# edit [Name of SSID Profil]
# set split-tunneling enable
# end</pre>
|}
3. Erstellen FortiAP Profil
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2229.png|link=]]
| style="vertical-align:top" |
Unter ''Wifi & Switch Controller -> FortiAP Profiles -> + Create New'' wird ein neues FortiAP Profil erstellt. Dabei müssen die gelb markierten Parameter konfiguriert werden. Inbesondere wichtig ist hier, dass der korrekte AP Typ (AP-24d in diesem Fall) gewählt wird, und dass die zuvor erstellte SSID gewählt wird.

Verfügt der Access Point zusätzlich über LAN Ports, so kann definiert werden, welches Netz an diesen LAN Ports ausgegeben werden soll. Es kann entweder das Netz am Remotestandort ausgegeben werden (Bridge to WAN) oder auch mittels NAT gearbeitet werden. Wird gewünscht dass hier das selbe Netz wie bei der SSID verwendet werden kann, so muss dies ebenfalls mittels "Bridge to SSID" und wahl des entsprechenden Netzes hinterlegt werden.

Nachdem das FortiAP Profile konfiguriert wurde, können über die CLI zusätzlich die Netze konfiguriert werden, welche eben nicht über den VPN Tunnel gehen sollen, sondern lokal ausgekoppelt werden sollen. Im obenstehenden Beispiel wäre dies das Netz 192.168.1.0/24 welches sich hinter dem Swisscom Router befindet. Somit hat ein Gerät hinter dem FortiAP folgende Kommunikationsmöglichkeiten:

* Zugriff via CAPWAP-Tunnel auf interne Ressourcen des Hauptstandortes
* Zugriff via CAPWAP-Tunnel über den Hauptstandort auf Ressourcen aus dem Internet
* Zugriff auf Ressourcen aus dem lokalen Netz am Aussenstandort

<pre>
# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Use a integer example "1"]
# set dest-ip [IPv4 address as 192.168.1.0/24]
# end
</pre>
Wird gewünscht, dass nur gewisse Netze an den Hauptstandort geroutet werden sollen, und alles andere (inklusive Internetverkehr) lokal ausgekoppelt werden soll, so muss mit einer umgekehrten Maskierung gearbeitet werden, und hier in der Konfiguration alle Netze angegeben werden, welche nicht durch den Tunnel sollen.

Der hier konfigurierte CAPWAP Tunnel wird ausserdem standardmässig nicht mit DTLS verschlüsselt. Dies muss ebenfalls in der CLI konfiguriert werden:

<pre>
# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy dtls-enabled
# end
</pre>

Der durch die DTLS Verschlüsselung anfallende Overhead beträgt je nach AccessPoint ca. 20%.
|}
4. Vorprovisionieren des AP
{| class="wikitable" style="width:1200px;"
| style="vertical-align:top; width:600px;" |
[[file:Fortinet-2230.png|link=]]
| style="vertical-align:top" |
Unter ''Wifi & Switch Controller -> Managed FortiAPs -> + Create New'' kann nun der zu verbindende Accesspoint vorkonfiguriert werden. Wichtig hierbei ist die korrekte Seriennummer, sowie das entsprechende vorgängig erstellte FortiAP Profil. Hat sich der Access Point bereits bei der Fortigate gemeldet, so sieht man dies anhand der IP unter der Kategorie ''Managed AP Status''.
|}
5. Erstellen der Firewall Policy 
Damit der Datenverkehr zwischen dem AP und dem Internet, sowie zwischen dem AP und den internen Ressourcen gewährleistet werden kann, benötigt es auch entsprechende Firewall Regeln: 
[[file:Fortinet-2228.png]] 
6. Definieren der Management IP auf dem AP 
Damit der AP nun den Weg zu seinem Controller findet, wenn er das erste Mal am Remote Standort eingesteckt wird, müssen wir ihm hierfür die IP konfigurieren. Dies geschieht auf dem Accesspoint direkt. Ein nicht konfigurierter Accesspoint hat standardmässig die IP 192.168.1.2 auf dem WAN Port. Auf diese kann man sich mittels Telnet verbinden, um die entsprechende Konfiguration vorzunehmen. Ein Zugriff auf den Access Point ist allenfalls auch via USB und FortiExplorer möglich. (Siehe [http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-getting-started-54/4-Using-the-CLI/Connecting%20to%20the%20CLI%20locally%20with%20FortiExplorer.htm FortiExplorer Handbuch])
<pre>
C:\Users\huberch>telnet 192.168.1.2
FAP24D3X15001883 # login: admin
FAP24D3X15001883 # cfg -a AC_IPADDR_1=172.20.120.142
FAP24D3X15001883 # cfg -c
FAP24D3X15001883 # exit
</pre>
7. Verbinden 
Nachdem der Access Point mit dem Internet verbunden wurde, wird er innerhalb von 3 - 5 Minuten eine Verbindung zu seinem Fortigate Controller aufnehmen. Dies kann im GUI überprüft werden: 
[[file:Fortinet-2231.png]]

'''Quellen und weiterführende Informationen:'''
* https://forum.fortinet.com/tm.aspx?m=118515
* http://cookbook.fortinet.com/fortiap-remote-access/

== Log ==
=== Wie muss eine Fortigate konfiguriert werden, damit sie zu Analysezwecken auf ein Kiwi Syslog loggt?===
'''Einleitung:''' 
Die folgende Anleitung wird dann relevan, wenn von einer Fortigate Firewall auf einen Syslogserver geloggt werden muss, ohne dass auf FortiCloud zurückgegriffen werden kann (wenn beispielsweise kein Internetzugriff existiert). Kiwi Syslog ist ein kostenfreier Basic-Syslogserver, welcher unter Windows installiert werden kann.

'''Konfiguration Fortigate:''' 
Damit die Fortigate Firewall möglichst viel Logs auf den Syslogserver schreiben kann, müssen einige Einstellungen vorgenommen werden:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config log memory setting
set status enable
end

config log null-device setting
set status enable
end

config log gui-display
set resolve-hosts enable
set resolve-apps enable
end

config log setting
set fwpolicy-implicit-log enable
set local-in-allow enable
set local-in-deny-unicast enable
set local-in-deny-broadcast enable
set local-out enable
set log-invalid-packet enable
end
</pre>
|-
|}

Mit folgender Einstellung wird der Firewall mitgeteilt, wo der Syslogserver steht, an welchen die Logs gesendet werden sollen:
{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config log syslogd setting
set status enable
set server "ip-des-syslog-servers"
end
</pre>
|-
|}
Die Firewall sendet nun die Syslogs der hier konfigurierten IP via 514 UDP.

Damit allenfalls auch erlaubter Traffic geloggt wird, muss das Logging pro gewünschte Firewallregel eingeschaltet werden:

{| class="wikitable"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
| style="width:850px" ;|
<pre>
config firewall policy
edit 1
set logtraffic all
end
</pre>
|-
|}

'''Konfiguration Kiwi Syslog Server''' 
Der Installer für den Kiwi Syslogserver kann [https://www.kiwisyslog.com/free-tools/kiwi-free-syslog-server hier] oder hier:
[[Datei:Kiwi-Syslog-Server-9.6.3-Freeware.zip]] heruntergeladen werden.

Nach der Installation des Tools muss folgender Parameter unter dem Menüpunkt Setup angepasst, und die IP des lokalen Adapters angewählt werden, auf dem die Logs empfangen werden:

[[file:Fortinet-2246.png|link=]]

Sobald diese Einstellung gespeichert wurde, kommen die Logs im Kiwi Syslog Programm an.

[[file:Fortinet-2247.png|link=]]

FortiAP:FAQ

2020-10-22T07:00:14Z

Michelle Crapella-Papet: /* Wo befindet sich auf dem FortiOS für einen Forti Access Point das "root" des WebServers? */

FortiAP:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x. Die hier zur Verfügung gestellten Informationen und Konfiguratinen betreffen nicht die FortiAP-S mit UTM Features. Wenn FortiAP-S ohne UTM Features betrieben werden können diese über einen FortGate Wireless Controller verwaltet werden!
 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== FAQ ==

== Documentation ==

=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:

http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)

'''Cookbook Supplementary Recipes FortiOS:'''
[[Datei:extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf]] (Extending the range of a wireless network by using mesh topology)
[[Datei:Configuration_of_meshed_WiFi_network.pdf]] (Configuration of meshed WiFi network)
[[Datei:using-a-fortiap-in-bridge-mode-to-add-wireless-access.pdf]] (Using a FortAP in Bridge mode to add wireless access)
[[Datei:using-a-fortiap-in-tunnel-mode-to-add-wireless-access.pdf]] (Using a FortAP in Tunnel mode to add wireless access)
[[Datei:using-MAC-access-control-to-allow-access-to-the-wireless-network.pdf]] (Using MAC access control to allow access to the wireless network)

[[Datei:Secure WLAN Sales Presentation_R1.pptx]] (The Fortinet Secure WLAN Presentation)
[[Datei:Secure WLAN Sales Presentation_R2.pptx]] (The Fortinet Secure WLAN Presentation)
[[Datei:Secure WLAN Sales Presentation_R3.pptx]] (The Fortinet Secure WLAN Presentation)

[[Datei:FortiAP_Quick_Sales_Guide_2014.pdf]] (The Fortinet FortiAP Quick Sales Guide)
[[Datei:Fortinet-Secure-Wireless-LAN-Solutions-Guide.pdf]] (The Fortinet Secure Wireless LAN Solutions Guide 2015)

[[Datei:FortiAP_Technical_FAQ_-_January_2014.pdf]] (Fortinet FortiAP Technical FAQ)
[[Datei:Fortinet Secure WLAN FAQ.pdf]] (Fortniet Secure Wireless LAN (WLAN) Solution)
[[Datei:Securing Wireless Networks for PCI.pdf]] (Fortinet Securing Wireless Networks for PCI Compliance)
[[Datei:FortiAP_5-2-Update-Q1-2015.pptx]] (Fortinet FortiAP 5.2 WLAN Update Q1 2015)
[[Datei:wlc-ivo.pptx]] (Fortinet Secure Access Solution)

==== FortiOS 4 MR3 ====
[[Datei:fortigate-wireless-40-mr3.pdf]] (FortiOS 4.0 MR3 Handbook - Deploying Wireless Networks

[[Datei:FortiOS_4MR3_Wireless_Controller_Overview_v4.pdf]] (FortiOS 4.0 MR3 Wireless Controller Overview)

==== FortiOS 5.0 ====
[[Datei:fortigate-wireless-50.pdf]] (FortiOS 5.0 Handbook - Deploying Wireless Networks)
[[Datei:FortiAP_CLI_50.pdf]] (FortiOS 5.0 FortiAP Command Line Interface)

[[Datei:wirless-technical-training-FOS-5.0-update-v2.pptx]] (FortiOS 5.0 "Wireless Technical Training")

==== FortiOS 5.2 ====

[[Datei:fortigate-wireless-52.pdf]] (FortiOS 5.2 Handbook - Deploying Wireless Networks)
[[Datei:FortiAP_CLI_52.pdf]] (FortiOS 5.2 FortiAP Command Line Interface)

==== FortiOS 5.4 ====

[[Datei:Fortigate-Wireless-54.pdf]] (FortiOS 5.4 Handbook - Deploying Wireless Networks)
[http://cookbook.fortinet.com/supported-upgrade-paths-fortiap FortiAP-Upgradepath auf 5.4.x] (FortiAP 5.4 Supported Upgrade Path)

==== FortiOS 5.6 ====

* [[Datei:FortiAP-ReleaseNote-5.6.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.3.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.4.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.5.pdf]]

* [http://cookbook.fortinet.com/supported-upgrade-paths-fortiap FortiAP-Upgradepath auf 5.6.x]
* [[Datei:Fortigate-Wireless-56.pdf]]

* [[Datei:AV-Engine-ReleaseNotes-56.pdf]]

==== FortiOS 6.0 ====

* [http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ FortiAP-Upgradepath auf 6.0.x]
* [[Datei:FortiGate-Wireless-60.pdf]]
----
''FortiAP Release Notes''
* [[Datei:FortiAP-ReleaseNote-6.0.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.3.pdf]]
----
''FortiAP-S und FortiAP-W Release Notes''
* [[Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.3.pdf]]
----
==== FortiOS 6.2 ====
* [https://docs.fortinet.com/document/fortiap/6.2.0/fortiwifi-and-fortiap-configuration-guide/692236/troubleshooting|Link Troubleshooting FortiAP]

=== Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind? ===

http://pub.kb.fortinet.com/index/

== Hardware ==

=== Welche Forti Access Point Produkte Linien existieren und was sind die Unterschiede? ===

Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:

• Light Forti Access Point

Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.
Diese Access Points müssen zwingen mit einem FortiGate Wireless Controller oder FortiCloud
Wireless Controller betrieben werden. Diese Forti Access Points verfügen über keine UTM
Features lokal auf den Forti Access Points sondern die UTM Features werden über die FortiGate
betrieben resp. bereitgestellt und verwaltet.

• Thick Forti Access Point

Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Dies bedeutet:
FortiGate Devices mit integriertem Radio (2.4 GHz / 5 GHz). Zusätzlich können diese Devices
(Thick Forti Access Points) mit Light Forti Access Points erweitert werden. Die UTM Features
werden wie bei den Light Forti Access Points über die FortiGate (FWF) zur Verfügung gestellt
sowie verwaltet.

• Smart Forti Access Point

Smart Forti Access Point verfügen über lokale UTM Features auf den Smart Forti Access Point
(FortiAP-S) und können nur über FortiCloud Wirless Controller verwaltet werden sofern diese
mit UTM Features eingesetzt werden. Werden Smart Forti Access Point resp. FortiAP-S ohne UTM
Features eingesetzt, können diese auch über einen FortiGate Wireless Controller verwaltet
werden! Weiter Infos siehe nachfolgender Artikel:

[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Forti_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

Nachfolgende Kurzübersicht zeigt ebenfalls welcher Forti Access Point über welche Platform eingesetzt werden kann:

[[Datei:Fortinet-2147.jpg]]

Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:

[[Datei:Fortinet-2133.jpg]]

=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP Hardware und Produkte? ===

Die beste Uerbsicht für FortiAP Produkte bieten die folgenden Dokumente sowie Links:

[[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]]
[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]]

Desweiteren hat Fortinet eine Wireless Brochure Released, die eine generelle Uebersicht bietet:

[[Datei:Wireless_Brochure.pdf]] (Unified Access LayerArchitecture)
[[Datei:FortiOS_Wireless.pdf]] (FortiOS 5 Wireless LAN Controller)

Weitere Informationen betreffend technischem Aufbau eines FortiAP Produktes siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_Forti_Access_Point_Produkts_aus.3F]]

Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt:

'''Hardware Overview – FortiAP (Indoor)'''

[[Datei:Fortinet-1362.jpg]]

'''Hardware Overview – FortiAP (Outdoor)'''

[[Datei:Fortinet-1363.jpg]]

'''Hardware Overview – FortiAP (Remote)'''

[[Datei:Fortinet-1364.jpg]]

=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP-S Hardware und Produkte? ===

Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über einen FortiGate Wireless Controller verwaltet werden können wenn UTM Features auf den "Smart Forti Access Point" resp. "FortiAP-S" eingesetzt werden, sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" (FortiAP-S) nur dann anwendbar wenn diese "ohne" UTM Features betrieben werden. Nur ohne UTM Features können "Smart Forti Access Point" über einen FortiGate Wireless Controller verwaltet und betrieben werden. In so einer Situation sind diese hier gezeigten Konfigurationen anwendbar. Siehe auch folgender Artikel:

[[FortiAP:FAQ#Welche_Forti_Access_Point_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F]]

Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" (FortiAP-S) siehe nachfolgender Artikel:

[[FortiAP-S:FAQ]]

=== Verfügen alle FortiGate Devices über einen Wireless Controller für Forti Access Points? ===

Grundsätzlich verfügen alle FortiGate Devices über einen Wireless Controller mit Aussnahme von:

FortiGate 20C
FortiGate 30D

Ab FortiOS 5.0.6 / 5.2 wurde der FG-30D die Möglichkeit gegeben den FortiGate Wirless Controller zu verwenden. Ebenfalls kann die 30D ab dieser Version 2 FortiAPs managen! Somit ist jeder FortiGate Device limitiert in der Anzahl der FortiAPs die verwaltet resp. konfiguriert werden können. Folgender Artikel gibt Auskunft über die Anzahl FortiAPs die mit einem entsprechenden FortiGate Devices verwaltet/konfiguriert werden können sowie was dabei zu berücksichtigen ist:

[[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]

=== Wieviele Forti Access Points können über eine FortiGate Wireless Controller konfiguriert werden? ===

Ab FortiOS 5.0 gibt nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAPs die über eine FortiGate konfiguriert werden können:

[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix |Produkte Matrix]]

Ab FortiOS 5.0.3 wurde die Anzahl der FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden könnnen erweitert. Dies bedeutet: es wird unterschieden zwischen folgenden Mode:

• SSID im "tunneling" Mode
• SSID im "local bridging" Mode

Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID konfiguriert auf "local bridging", zählt dieser FortiAP als "remote" (wtp-mode). Dies gilt jedoch nur wenn ausschliesslich nur diese Art einer SSID auf dem entsprechenden FortiAP benützt wird. Werden auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als "normal" (wtp-mode). Somit, wenn man einen FortiAP konfiguriert mit SSID im "local bridging" Mode kann dieser FortiAP explizit als "wtp-mode remote" gesetzt werden. Dies kann auf der CLI durchgeführt werden:

# config wireless-controller wtp
# edit [Gebe die entsprechende Serial Nummer des FAP an]
# set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
# end

Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging" gesetzt, erscheint folgende Meldung:

Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'

Die Produkt Matrix gibt somit Auskunft über die möglichen "normal" Mode sowie "remote" Mode. Die Anzahl der möglichen FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden können wird folgendermassen angegeben in der Produkt Matrix:

FG-60D 10/5 (Total/Tunnel)

Somit stehet zB für eine FG-60D folgendes zur Verfügung:

• 5 FortiAPs mit SSID im "tunneling" und/oder "local bridging" gemischt! (wtp-mode normal)
• 5 FortiAPs mit SSID im "local bridging" Mode (wtp-mode remote)

= 10 Total möglich wobei 5 im "local bridging" only! (10/5)

Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FortiAPs sowie "local bridging":

[[Datei:Fortinet-844.jpg]]

Die offizielle Information betreffend "tunneling" und/oder local bridging" möglichen FortiAPs auf einem FortiGate Device findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

Fortinet hat ein Dokument herausgegeben, in dem der Umstand dieser Aenderung erklärt wird und wieso dem so ist:

[[Datei:Maximum_Number_of_Managed_FortiAPs_in_FortiOS_5_0_3_FAQ_-_August_2013_v1_r5.pdf]]

=== Kann ich einen Forti Access Point Device ohne FortiGate Wireless Controller konfigurieren und betreiben? ===

Ein Forti Access Point hat zwar ein Mgmt. Web Interface über dieses bestimmte einfache Konfigurationen durchgeführt werden können wie zB die Vergabe einer fixen IPv4 Adresse jedoch benötigt ein Forti Access Point für den Betrieb und dessen Grundkonfiguration einen FortiGate Wireless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem Forti Acces Point vom FortiGate Wireless Controller übermittelt/zugewiesen und somit kann ein Forti Access Point nicht ohne FortiGate Wirless Controller betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein Forti Access Point auch ohne FortiGate Wireless Controller betrieben werden da Fortinet neu einen entsprechenden Wireless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:

[[FortiCloud:FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F]]

=== Was ist die max. Anzahl User die auf einem Forti Access Point verbunden werden können? ===

Nun die FortiAPs unterliegen keinem Hardlimit! Wenn eine Limitierung konfiguriert werden möchte, kann dies über die jeweilige SSID im Mgmt. Web Interface über folgende Position konfiguriert werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients

Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen:

3-7 - For a direct wire replacement.
8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
>50 - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.

Diese Angaben stammen aus folgendem Dokument:

[[Datei:FortiAP Technical FAQ - January 2014.pdf]])

=== Was ist die max. Anzahl SSID's die ich auf einem Forti Access Point konfigurieren und betreiben kann? ===

Grundsätzlich gelten die "maximum values" für das entsprechende FortiOS. Weitere Informationen betreffend "maximum values" siehe nachfolgenden Link:

[[Datei:Fortigate-max-values-50.pdf]]
[[Datei:Fortigate-max-values-52.pdf]]
[http://help.fortinet.com/fgt/54/max-values/5-4-0/max-values.html Datei:Fortigate-Max-Values-54.pdf]

In diesen "maximum values" sind zwei Werte gelistet:

• SSIDs Dieser Wert stellt das Maximum dar der SSID's die konfiguriert werden können!
• SSID lists per FortiAP Dieser Wert stellt das Maximum dar der SSID's die für einen Forti Access Point konfiguriert werden können!

Dabei ist folgendes zu beachten: Wenn auf einem Forti Access Point die volle Anzahl der SSID's konfiguriert wird so entsteht durch den Traffic der SSID's selber eine hohe Belastung (zusätzliche Broadcast Frames). Aus diesem Grund ist es nicht empfehlenswert mehr als 7 SSID's auf einem Forti Access Point zu konfigurieren da durch mehr SSID's die Performance durch die zusätzlichen Broadcast Frames beeinträchtigt wird. Die empfohlen Anzahl seitens Fortinet ist 4 SSID's!

=== Wie sieht der Hardware-Technische Aufbau (block diagram) eines Forti Access Point Produkts aus? ===

In der nachfolgenden Abbildung resp. "block diagram" wird anhand eines FortiAP-28C gezeigt, wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:

[[Datei:Fortinet-1347.jpg]]

Wie aus dem "block diagram" ersichtlich ist, wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:

http://en.wikipedia.org/wiki/Qualcomm_Atheros

Desweiteren eine "Schematische" Uebersicht betreffend FAP-221C, FAP-320C sowie FAP-321C:

'''FAP-221C'''

[[Datei:Fortinet-1359.jpg]]

'''FAP-320C'''

[[Datei:Fortinet-1360.jpg]]

'''FAP-321C'''

[[Datei:Fortinet-1361.jpg]]

Weitere Modelle betreffend Forti Access Point Hardware Schematics findet man unter folgenden Link:

[[Fortinet:ProduktInfo#Fortinet_Hardware_Schematics]]

=== Wieso kann die Hardware eines Forti Access Point FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten? ===

Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:

[[FortiAP:FAQ#Wo_finde_ich_detailliert_Informationen_.C3.BCber_Wireless_.22802.11AC_MU-MiMo.22_Funktion.3F]]

In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:

# cw_diag -c radio-cfg

Radio 0: AP
country : cfg=CH oper=CH
radio type : 11N_2.4G
beacon intv : 100
tx power : 15
HT param : '''mcs=23 gi=disabled bw=20MHz'''
ack timeout : 64
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=6 age=25011
channel : num=6
oper_chan : 6
r_ac md_cap : 2, 6, 10,
r_ac chan list : 2, 6, 10,
chan list : 2, 6, 10,
hw_chan list : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
nol list :
ap scan : background regular scan,
ap scan period : 600s
ap scan intv : 1s
ap scan dur : 20ms
ap scan idle : 0ms
ap scan rpt tmr: 30s
sta scan : enabled
arrp : enabled --info only
spect analysis : disabled
wids : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
long-dur-thresh: 8200
auth-flood: time=10, thresh=30
assoc-flood: time=10, thresh=30
Radio 1: AP
country : cfg=CH oper=CH
radio type : 11AC
beacon intv : 100
tx power : 31
VHT param : '''mcs=9 gi=disabled bw=80MHz'''
ack timeout : 25
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=0 age=68299
channel : num=0
oper_chan : 36
r_ac md_cap : 36, 40, 44, 48,
r_ac chan list : 36, 40, 44, 48,
chan list : 36, 40, 44, 48,
hw_chan list : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
128, 132, 136, 140,
nol list :
ap scan : disabled,
sta scan : disabled
arrp : disabled --info only
spect analysis : disabled
wids : disabled

Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche Umgebungsvariablen 100% stimmen was wiederum bedeutet: Der Host/Client muss für die Verbindung zB ebenfalls den entsprechenden "MCS Index" unterstützen! Somit wenn die Umgebungs Variablen 100% stimmen bestimmt der MCS Index den max. Durchsatz gemäss unteren Tabelle:

[[Datei:Fortinet-718.jpg]]

=== Welches FortiOS soll im Zusammenhang mit FortiGate Devices und/oder Forti Access Points eingesetzt werden? ===

Grundsätzlich ist es empfohlen die jeweiligen Release Notes für das entsprechenden FortiOS für einen Forti Access Point zu konsultieren um zu verifizieren welche Version für welchen FortiGate Patch Level unterstützt wird. In einem Upgrade Scenario muss ebenfalls verifiziert werden, wie ein Upgrade zu erfolgen hat dh. von welcher FortiOS Version für die Forti Access Points. Teilweise ist es möglich für Forti Access Points höhere Versionen einzusetzen dh. Zb FortiGate Device 5.0 und auf den Forti Access Point 5.2. Dabei ist jedoch zu berücksichtigen: Features die für FortiOS 5.2 grundsätzlich zur Verfügung stehen, können obwohl der Forti Access Points basierend auf FortiOS 5.2 betrieben wird, nicht zugewiesen werden da der FortiGate Wireless Controller FortiOS 5.0 basierend ist. Da die Konfiguration eines Forti Access Point über den FortiGate Wireless Controller einem Forti Access Point zugewiesen wird kann in so einer Konstellation der FortiGate Wireless Controller einem Forti Access Point nicht 5.2 basierend Features zuweisen da der FortiGate Wireless Controller diese nicht kennt da dieser auf FortiOS 5.0 basiert. Je nach FortiOS Version ist es nicht möglich ein durchgeführtes Upgrade durch ein Downgrade zu ersetzen. Auch hier gibt die Release Notes des entsprechenden FortiOS für die Forti Access Points Auskunft ob ein nachträgliches Downgrade durchführbar ist. Weitere Auskunft über diese Problematik betreffend Downgrade von 5.2 auf 5.0 gibt nachfolgender Artikel:

[[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_einer_Firmware_5.0_ein_.22Downgrade.22_durchf.C3.BChren.3F]]
[[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.4_anhand_einer_Firmware_5.2_ein_.22Downgrade.22_durchf.C3.BChren.3F]]

Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet: ein Upgrade für den FAP-320C ist folgendermassen durchzuführen:

Schritt 1: FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out
Schritt 2: Danach Upgrade mit regulärem Image auf 5.2.2

Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Patch Level sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss, die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:

https://support.fortinet.com/Download/FirmwareImages.aspx

/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Nachträglich eine kurze Uebersicht über die möglichen Konstellation:

FortiGate 5.2.x --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)
FortiGate 5.0.x --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)
FortiGate 5.0.x (Special Support Build) --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (Zwingend für Modelle FAP-221C/222C/223C/321C damit diese erkannt werden)

Bei dieser Aufstellung der Möglichkeiten ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D sind in der Version Forti Access Point 5.0.x nicht erhältlich. Somit müssen die Forti Access Point basierend auf Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu achten immmer den neusten Patch Level für Forti Access Points einzusetzen unter berücksichtigung der Release Notes.

=== Wie kann ich das lokale Passwort auf einem Forti Access Point zurücksetzen? ===

Wenn ein Forti Access Point in Betrieb genommen wird so ist das Standard Password wie bei allen Fortinet Geräten für den User "admin" nicht gesetzt dh. kein Passwort. Wenn nun dennoch in einer weiteren Konfiguration auf einem Forti Access Point ein Passwort gesetzt wird und später für ein Login dieses nicht mehr zur Verfügung steht kann Grundsätzlich folgendes durchgeführt werden:

"Forti Access Point ist nicht mit einem FortiGate Wireless Controller verbunden"

Wenn ein Forti Access Point nicht mit einem FortiGate Wireless Controller verbunden ist dh. das entsprechende
Passwort benötigt wird um Lokal auf den Forti Access Point zu verbinden bleibt einem nichts anderes übrig als
einen "Factory Reset" auszuführen auf dem Forti Access Point. Zu diesem Zweck verfügen alle Forti Access Points
über einen "Hardware Reset" Button anhand diesem ein Factory Reset ausgeführt werden kann. Weitere Informationen
dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

"Forti Access Point ist mit einer FortiGate Wireless Controller verbunden"

Wenn der Forti Access Point über eine FortiGate Wireless Controller verbunden ist kann das Passwort auf einem
Forti Access Point über den "FortiGate Wireless Controller" der FortiGate zurück gesetzt werden. Dies wird
folgendermassen ausgeführt:

'''FortiOS 5.0/5.2'''

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set login-passwd-change default
# end
# end

'''FortiOS 5.4'''

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set override-login-passwd-change enable
# set login-passwd-change default
# end
# end

Sofern der Forti Access Point ein WTP Profile benutzt kann das Passwort ebenfalls über dieses WTP Profile
zurück gesetzt werden:

# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile des Forti Access Point an]
# set login-passwd-change default
# end
# end

Durch dieses Kommando wird das Passwort eines Forti Access Point auf "default" zurück gesetzt dh. es gilt User
"admin" und kein Passwort.

=== Wie kann ich für eine Forti Access Point Hardware einen Factory Reset durchführen? ===

Wenn für eine Forti Access Point Hardware ein Factory Reset durchgeführt werden soll so kann das Lokal über die CLI auf einem Forti Access Point durchgeführt werden. Einerseits wenn dies durchgeführt werden möchte, ist es möglich per "telnet" über den Forti Gate Wireless Controller Zugriff auf die CLI eines Forti Access Point zu erhalten. Ebenso kann der Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden werden um danach ebenso über "telnet" Zugriff auf die CLI des Forti Access Point zu erhalten.

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Wenn ein Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden ist muss "telnet" Zugriff über das Mgmt. Web Interface des Forti Access Point aktiviert werden. Um auf der CLI danach ein Factory Reset auszuführen gebe folgendes ein:

# cfg -x
# reboot

oder auch

# factoryreset

Durch den Befehl "cfg -x" wird der Forti Access Point zurückgesetzt und zware ohne Neustart des Forti Access Point im Gegensatz zu "factoryreset"! Aus diesem Grund muss nach "cfg -x" ein manueller Neustart durchgeführt werden. Die Forti Access Points können ebenfalls auch manuell anhand eines "Hardware Reset" Buttons auf Factory Reset zurückgestellt werden. Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:

'''FAP-210B and FAP-220B'''
Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.

'''FAP-221B, FAP 221C and FAP-223B'''
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Es wird automatisch ein Neustart ausgeführt.

'''FAP-320B and FAP320C'''
Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
ein Neustart ausgeführt.

'''FAP-222B'''
Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.

'''FAP-11C'''
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.

Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:

[[Fortinet:ProduktInfo#FortiAP]]

=== Was bedeuten die verschiedenen Regionen Codes im Zusammenhang mit der Forti Access Point Hardware resp. SKU? ===

Wenn man einen Forti Access Point beim Distributor bestellt, wird die korrekte Fortinet Hardware mit der SKU indiziert dh. eine Fortinet SKU zB für einen FortiAccess Point FAP-221C hat folgende SKU:

FAP-221C-E

Der Zusatz "-E" indiziert den "Regionen Code". Dies bedeutet: Durch den entsprechenden Regionen Code werden Regulatorien resp. Richtlinien der einzelnen Ländern bestätigt. Dies bedeutet wiederum: Muss für ein Projekt zB ein Forti Access Point nach Japan gesendet werden ist es nicht korrket ein "-E" Modell nach Japan zu senden da sich dieser Forti Access Point dh. "-E" unterscheidet von "-J" und somit die Richtlinien für das entsprechende Land nicht eingehalten werden. Somit muss bei einer Bestellung dies mitgeteilt werden zB:

FAP-221C-J

Um den richtigen Forti Access Point mit dem korrekten "Region Code" bestellt werden kann muss das Installations Land bekannt sein damit der korrekte "Region Code" verifiziert werden kann. Nachfolgend einen Ueberblick ober die verschiedenen "Region Code":

'''-A''' CANADA
GUAM
PUERTO RICO
ARGENTINA
UNITED STATES

'''-E''' ARUBA
AUSTRIA
BELGIUM
BOSNIA AND HERZEGOVINA
BULGARIA
CAMBODIA
CROATIA
CYPRUS
CZECH REPUBLIC
DENMARK
ESTONIA
FINLAND
FRANCE
GERMANY
GREECE
GREENLAND
HAITI
HUNGARY
ICELAND
IRAQ
IRELAND
ITALY
LATVIA
LEBANON
LIECHTENSTEIN
LITHUANIA
LUXEMBOURG
MACEDONIA
MALTA
NETHERLANDS
NETHERLANDS ANTILLES
NORWAY
POLAND
PORTUGAL
ROMANIA
SAUDIA ARABIA
SERBIA & MONTENEGRO
SLOVAK REPUBLIC
SLOVENIA
SOUTH AFRICA
SPAIN
SWEDEN
SWITZERLAND
TURKEY
UNITED ARAB EMIRATES
UNITED KINGDOM
BELARUS
KENYA
MOZAMBIQUE
ANGOLA
SUDAN
MAURITANIA

'''-I''' ARMENIA
AZERBAIJAN
GEORGIA
ISRAEL
KUWAIT
Morocco
TUNISIA
UZBEKISTAN
MONACO

'''-J''' JAPAN

'''-K''' KOREA REPUBLIC

'''-N''' AUSTRALIA
BARBADOS
BOLIVIA
BRAZIL
CHILE
COLOMBIA
COSTA RICA
DOMINICAN REPUBLIC
GUATEMALA
ECUADOR
EL SALVADOR
FIJI
HONG KONG
JAMAICA
MACAU
MEXICO
NEW ZEALAND
OMAN
PANAMA
PAPUA NEW GUINEA
PARAGUAY
PERU
PHILIPPINES
QATAR
TRINIDAD & TOBAGO
VENEZUELA

'''-V''' VIETNAM
BAHRAIN
SRI LANKA

'''-S''' BRUNEI DARUSSALAM
INDIA
SINGAPORE
THAILAND
GRENADA
HONDURAS
BELIZE
CHINA
IRAN
NEPAL
MALAYSIA
PAKISTAN
URUGUAY
EGYPT

'''-T''' TAIWAN

'''-U''' UKRAINE

'''-P''' RUSSIA

'''-W''' ALBANIA
TANZANIA
YEMEN
ZIMBABWE
ALGERIA
BANGLADESH
INDONESIA
KAZAKHSTAN
SYRIA

== Power Adapter ==

=== Wo finde ich eine Uebersicht ob ein Forti Access Point mit PowerAdapter geliefert wird oder PoE unterstützt? ===

FortiAPs werden teilweise mit jedoch teilweise auch ohne PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAPs mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter die für fast alle FortiAPs erhältlich sind aufgeführt: 
'''FortiAP Netzteile:'''
[[Datei:Fortinet-2814.jpg|750px|link=]]
[[Datei:Fortinet-2815.jpg|750px|link=]]
[[Datei:Fortinet-2816.jpg|750px|link=]]
----
'''FortiAP S-Serie Netzteile:'''
[[Datei:Fortinet-2817.jpg|750px|link=]]
----
'''FortiAP U-Serie Netzteile:'''
[[Datei:Fortinet-2818.jpg|750px|link=]]
----
'''FortiAP C-Serie Netzteile:'''
[[Datei:Fortinet-2819.jpg|750px|link=]]
----

Betreffend dieser Informationen im Zusammenhang mit FortiAP-S siehe nachfolgender Artikel:

[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

----
2692514 GPI-115 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
2700323 GPI-130 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W

== FortiCare ==

=== Muss ich für die "Lifetime Warranty" eines Forti Access Point ein FortiCare (Maitenance) beziehen? ===

"Lifetime Waranty" muss für einen Forti Access Point nicht in jedem Fall bezogen werden! Die Fortinet hat im März 2014 folgendes Dokument released:

[[Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf]]
[[Datei:Fortinet_Limited_Lifetime_Warranty_FAQ_-_January_2015.pdf]]

Dieses Dokument besagt folgendes:

Jeder FortiAP der nach 1. November 2013 gekauft/registriert wurde (purchased after November 1st 2013) benötigt kein FortiCare mehr und hat
"LifeTime Waranty" betreffend RMA. "LifeTime Waranty" bedeutet: 5 Jahre nach EOL (End Of Life Announcement).

Alle Geräte vor dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden! Alle FortiAP die über kein FortiCare verfügen und nach dem 1. November 2013 gekauft wurden, werden über Fortinet EMEA (Sophia Antipolis) bei Defekt ausgetauscht. Was jedoch zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich nicht auf:

• Firmware Upgrade
• Technischer Support (Ticketing)

Somit muss für die Aussage im Zusammenhang mit "Lieftime Warranty" folgendes berücksichtigt werden: Um ein Firmware Upgrade auf einem Forti Access Point durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt man weiterhin FortiCare dh. ohne FortiCare können keine regulären Firmware Upgrades für Forti Access Point durchgeführt werden und können keine technischen Support Tickets eröffnet werden! Somit muss für einen Forti Access Point Maintenance resp. mit FortiCare bezogen werden!

== Antenna ==

=== Kann man Forti Access Points mit externen Antennen Nach-/Ausrüsten? ===

Grunsätzlich ist es möglich Forti Access Points mit externen Antenen Nach-/Auszurüsten dh. das eingesetzte Forti Access Point Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Dies bedeutet: ob der vorhanden Anschluss für eine externe Antenne zur Verfügung steht oder nicht. Ob dies der Fall ist, kann über das jeweiligen Quickstart und/oder Datasheet verifiziert werden:

[[Fortinet:ProduktInfo#FortiWiFi]]
[[Fortinet:ProduktInfo#FortiAP]]

Fortinet bietet eigene externe Antennen an in der Forti Access Point Produktlinie. Der Wirkungsgrad dieser Antennen etc. kann im jeweiligen Datasheet nachgelesen werden:

[[Fortinet:ProduktInfo#FortiAntenna]]

=== Was ist zu beachten wenn Forti Access Points mit einer externen Antenne ausgerüstet wird? ===

Eine externe Antenne verteilt das Signal nur dh. es verstärkt dieses nicht! Die Antennen verteilen das Signal in Ihrer speziellen Art und Weise (Wirkungsgrad). Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

=== Welchen Anschluss benützt eine Forti Access Point für den externen Antenna Anschluss? ===

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

[[Fortinet:ProduktInfo#FortiWiFi]]
[[Fortinet:ProduktInfo#FortiAP]]

Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:

https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder

=== Gibt es von Fortinet für Forti Access Point eine externe "omnidirect" Antenne? ===

Omnidirect bedeutet: 360° was wiederum bedeutet, dass Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet externen Antennen gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung (Wirkungsgrad):

[[Fortinet:ProduktInfo#FortiAntenna]]

== FortiAP-OS ==

=== Wo finde ich den Upgrade Pfad für das FortiAP OS? ===
Den Upgrade Pfad um einen FortiAccespoint upzugraden ist in den Docs und in den Release Notes ersichtlich:
https://docs.fortinet.com/document/fortiap/6.4.2/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-s-and-fortiap-w2-version-6-4-2
Aktuelle Liste (FortiOS 6.4.2): 
[[File:Fortinet-2823.jpg|750px|link=]]

=== Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet? ===

Beim FortiOS eines Forti Access Point handelt es sich um ein "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0). Dies bedeutet: Prozesse und / oder Deamons werden über die zuständigen RC-Level (Start Scripts) abgewickelt. Diese RC-Level welche wiederum einfach Scripts darstellen, lesen Konfigurations-Dateien aus um die notwendige Konfiguration durchzuführen. Die RC-Levels befinden sich im folgenden Verzeichnis:

/etc/rc.d/

Die Konfigurations-Dateien befinden sich im folgenden Verzeichnis:

/etc/ath

In diesem Verzeichnis existieren folgende Files welche für folgende Konfiguration zuständig sind:

'''<big>dflt.cfg (Standard Konfiguration)</big>'''

# more /etc/ath/dflt.cfg

--------------- output dflt.cfg ---------------

## Default values of FAP cfg variables
## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
## Add an entry like: CFG_VAR_NAME_DFLT=DFLT_VALUE
## Don't include "" in DFLT_VALUE

BAUD_RATE_DFLT=9600
FIRMWARE_UPGRADE_DFLT=0
ADMIN_TIMEOUT_DFLT=5

ADDR_MODE_DFLT=DHCP
STP_MODE_DFLT=0
AP_IPADDR_DFLT=192.168.1.2
AP_NETMASK_DFLT=255.255.255.0
IPGW_DFLT=192.168.1.1
DNS_SERVER_DFLT=208.91.112.53
AP_MGMT_VLAN_ID_DFLT=0
WAN_MODE_DFLT=bridged
WAN_IPADDR_DFLT=192.168.2.1
WAN_NETMASK_DFLT=255.255.255.0
TELNET_ALLOW_DFLT=0
HTTP_ALLOW_DFLT=1

AC_DISCOVERY_TYPE_DFLT=0
AC_IPADDR_1_DFLT=192.168.1.1
AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
AC_CTL_PORT_DFLT=5246
AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
AC_PLAIN_CTL_DFLT=0
AC_DATA_CHAN_SEC_DFLT=2

MESH_AP_TYPE_DFLT=0
MESH_AP_MODE_DFLT=0
MESH_AP_SSID_DFLT=fortinet.mesh.root
MESH_AP_BSSID_DFLT=
MESH_AP_PASSWD_DFLT=fortinet.mesh.root
MESH_ETH_BRIDGE_DFLT=0
MESH_MAX_HOPS_DFLT=4
MESH_SCORE_HOP_WEIGHT_DFLT=50
MESH_SCORE_CHAN_WEIGHT_DFLT=1
MESH_SCORE_RATE_WEIGHT_DFLT=1
MESH_SCORE_BAND_WEIGHT_DFLT=100
MESH_SCORE_RSSI_WEIGHT_DFLT=100

--------------- output dflt.cfg ---------------

'''<big>apcfg (Benutzerspezifische Konfiguration)</big>'''

# more /etc/ath/apcfg

--------------- output dflt.cfg ---------------

###################################################################################
## apcfg
##
## Configuration file for Atheros AP.
## This file will "predefine" default configuration data for the AP. This
## will first read all configuration data from flash (cfg -E), then fill in any
## defaults that are missing. Thus the defaults will appear on the web pages
## even if the configuration store has been cleared.
##
###################################################################################
##
## Get the current settings from flash/cache area
##

cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$

source /etc/ath/dflt.cfg

##
## Set Network configuration
##
## AP_IPADDR = IP address of the bridge

## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
## WAN_MODE = bridged for attached to bridged, Get address if dhcp, fixed address
## if static
##
###################################################################################

if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
cfg -a FIRMWARE_UPGRADE=0
cfg -c
if [ ${LOGIN_PASSWD_ENC} ]; then
cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
fi
fi

cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}

cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}

cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}

##
## Set WTP configuration
##
cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}

##
## Set MESH configuration
##
cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
if test ${MESH_AP_PASSWD+defined}
then
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
else
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
fi
cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}

cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
_DFLT}} T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
#
# Account for S26 peculiarity
#
export WAN_IF=eth1
export LAN_IF=eth0

#
# Indicate if you want the WLAN to be activated on boot up.
#

cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}

#
# AP Start Mode
# This can be overridded by environmental variables
# Modes can be
# standard := standard single AP start mode
# rootap := WDS root AP for WDS modes
#reptater-ind := WDS repeater station independent mode
# client := WDS "virtual wire" client
# multi := Multiple BSSID with all encryption types
# dual := Dual concurrent, automatically configure interface
# stafwd := Station mode with address forwarding enabled
#
#

cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}

#################################################################################
## Default Parameters
## If these are not set explictly by exporting environmental variables, the following
## Defaults will be applied
#################################################################################
#
# AP_PRIMARY_CH could be
# 11na (which means auto-scan in 11na mode) or
# 11ng (which means auto-scan in 11ng mode)

cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}

##
## Set up the channel for dual mode
##

cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}

##
## This is for pure G or pure N operations. Hmmmm...
##

cfg -a PUREG=${PUREG:=0}
cfg -a PUREN=${PUREN:=0}

##
## Channel Configuration Section
##

cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
cfg -a SHORTGI=${SHORTGI:=1}
cfg -a SHORTGI_2=${SHORTGI_2:=1}

#
# Aggregation. First parameter enables/disables,
# second parameter sets the size limit
#

cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
cfg -a AMPDUMIN=${AMPDUMIN:=32768}
cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
cfg -a CWMMODE=${CWMMODE:=1}
cfg -a CWMMODE_2=${CWMMODE_2:=1}
cfg -a RATECTL=${RATECTL:="auto"}
cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}

##
## AP Identification Section
##

cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"

if [ "${AP_STARTMODE}" = "dual" ]; then
cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
fi

##
## Set the default modes for multi configuration
## Set default security modes
## Set default secfile to PSK, only valid in WPA mode
## Default keys are Decimal (NOT hex)
##
export MAX_VAPS_PER_RADIO=4

_1
## trailer - it's not a VAP number, it's the number of the key. This is done for-More-- (73% of 8884 bytes)
## both radios.
##

my_wep_keys="_1 _2 _3 _4"
for i in $my_wep_keys;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
done

##
## Now, for each radio, set the primary key and the mode value
##
cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"

my_vaps="'' _2 _3 _4 _5 _6 _7 _8"
for i in $my_vaps;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_AP_MODE="AP_MODE$i"
ITER_AP_SECMODE="AP_SECMODE$i"
ITER_AP_SECFILE="AP_SECFILE$i"
ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
eval ITER_MODE=\$$ITER_AP_MODE
eval ITER_SECMODE=\$$ITER_AP_SECMODE
eval ITER_SECFILE=\$$ITER_AP_SECFILE
eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
done LE=${ITER_WPS_ENABLE:="0"}

##
## Export the variables again to catch the defaults
##

cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$

##
## Set the proper radio parameter values depending on the
## interface selected. These are exported vice included
## in cache. These should really be in apup vice here,
## but this works OK.
##

for i in $my_vaps;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_RADIO_ID="AP_RADIO_ID$i"
eval ITER_RADIO_ID=\$$ITER_RADIO_ID
if [ "${ITER_RADIO_ID}" = "1" ]; then
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
else
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
fi
done

#####################################################################################
## The following parameters are board specific, and should not be modified
#####################################################################################

export ATH_use_eeprom=0

--------------- output dflt.cfg ---------------

=== Wo befindet sich das Standard Certificate auf dem FortiOS für ein Forti Access Point? ===

Das Standard Zertifikate für ein Forti Access Point ist wichtig und sollten nie manipuliert werden! Dies bedeutet: anhand dieser Zertifikates wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS-Verschlüsselung aufgebaut. Weitere Informationen betreffend DTLS-Verschlüsselung kann nachfolgendem Artikel entnommen werden:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Die Zertifikate befinden sich im folgenden Verzeichnis:

/etc/cert

/etc/fgt.crt
/etc/fgt.key

=== Wo befindet sich das "root" des WebServers auf dem FortiOS für einen Forti Access Point? ===

Über das FortiOS eines Forti Access Point wird ein Mgmt. Web Interface für die minimale lokale Konfiguration zur Verfügung gestellt. Das "root" des WebServers dieses Mgmt. Web Interface befindet sich auf dem FortiOS eines Forti Access Point im folgenden Verzeichnis:

/usr/www

=== Welche Linux Befehle können auf einem FortiOS für einen Forti Access Point benützt werden? ===

Ein Forti Access Point basiert auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Linux Kommandos abgesetzt werden wie zB:

ifconfig
more
cd

Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:

/bin
/sbin

# ls -la /bin

--------------- output /bin ---------------

drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ash -> busybox
-rwxr-xr-x 1 admin root 1143436 Dec 11 00:54 busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cat -> busybox
lrwxrwxrwx 1 admin root 24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 chmod -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cp -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 date -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 df -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 dmesg -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 echo -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 egrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 factoryreset -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 fgrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 grep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ip -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 iproute -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 kill -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ln -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 login -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ls -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mkdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 more -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mv -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ping -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ps -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 pwd -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rm -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rmdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sh -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sleep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sync -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 touch -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 umount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 uname -> busybox

--------------- output /bin ---------------

# ls -al /sbin

--------------- output /sbin ---------------

drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
-rw-r--r-- 1 admin root 0 Dec 11 00:35 .dummy
-rwxr-xr-x 1 admin root 12128 Dec 11 00:54 apstart
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 arp -> ../bin/busybox
-rwxr-xr-x 1 admin root 1348400 Dec 11 00:54 cwWtpd
-rwxr-xr-x 1 admin root 6096 Dec 11 00:54 cw_debug
lrwxrwxrwx 1 admin root 6 Dec 11 00:54 cw_diag -> cwWtpd
-rwxr-xr-x 1 admin root 2534 Dec 11 00:46 cw_test_led
-rwxr-xr-x 1 admin root 3727 Dec 11 00:46 cw_test_radio
-rwxr-xr-x 1 admin root 4652 Dec 11 00:54 diag_console_debug
-rwxr-xr-x 1 admin root 5084 Dec 11 00:54 diag_debug_crashlog
-rwxr-xr-x 1 admin root 3932 Dec 11 00:54 ebtables
-rwxr-xr-x 1 admin root 9508 Dec 11 00:54 fap-factory-license
-rwxr-xr-x 1 admin root 4892 Dec 11 00:54 fap-get-status
-rwxr-xr-x 1 admin root 4484 Dec 11 00:54 fap-mount-udisk
-rwxr-xr-x 1 admin root 5956 Dec 11 00:54 fap-set-hostname
-rwxr-xr-x 1 admin root 4148 Dec 11 00:54 fap-umount-udisk
-rwxr-xr-x 1 admin root 74220 Dec 11 00:54 fsd
-rwxr-xr-x 1 admin root 11012 Dec 11 00:54 get
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 getty -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 halt -> ../bin/busybox
-rwxr-xr-x 1 admin root 4408 Dec 11 00:54 help
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 ifconfig -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 init -> ../bin/busybox
-rwxr-xr-x 1 admin root 3724 Dec 11 00:54 init_sys_shm
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 insmod -> ../bin/busybox
-rwxr-xr-x 1 admin root 21584 Dec 11 00:54 iwconfig
-rwxr-xr-x 1 admin root 25304 Dec 11 00:54 iwlist
-rwxr-xr-x 1 admin root 11352 Dec 11 00:54 iwpriv
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 lsmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 modprobe -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 poweroff -> ../bin/busybox
-rwxr-xr-x 1 admin root 12548 Dec 11 00:54 radartool
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 reboot -> ../bin/busybox
-rwxr-xr-x 1 admin root 61 Dec 11 00:49 repeater_pass_configuration
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 restore
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 rmmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 route -> ../bin/busybox
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 setcfg
-rwxr-xr-x 1 admin root 9268 Dec 11 00:54 startup_fw
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 udhcpc -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 upgrade -> ../bin/busybox
-rwxr-xr-x 1 admin root 105972 Dec 11 00:54 usbmuxd
-rwxr-xr-x 1 admin root 19848 Dec 11 00:54 wlanconfig
-rwxr-xr-x 1 admin root 244180 Dec 11 00:54 wpa_supplicant

--------------- output /sbin ---------------

== FortiPlanner ==

=== Was ist ein FortiPlanner und wo finde ich weitere Informationen zum FortiPlanner? ===

Beim FortiPlanner handelt es sich um ein Tool das Fortinet zur Verfügung stellt um eine Wireless Plannung durchzuführen. Weitere Informationen zum FortiPlanner siehe nachfolgenden Artikel:

[[FortiPlanner:FAQ]]

== 802.11 ==

=== Wo finde ich detailliert Informationen über den Wireless "IEEE 802.11" Standard? ===

Folgender Link gibt Auskunft über den "IEEE 802.11" Standard und enthält weitere nützliche Links:

http://en.wikipedia.org/wiki/802.11

=== Wo finde ich detailliert Informationen über den Wireless "802.11ac" Standard? ===

Fortinet hat ein Dokument veröffentlich in dem der neue "802.11ac" ([[http://en.wikipedia.org/wiki/IEEE_802.11ac |IEEE 802.11ac]] Standard beschrieben wird:

[[Datei:802.11ac_Wireless_LAN_FAQ_-_July_2013.pdf]]
[[Datei:802.11ac_Wireless_LAN_FAQ_-_Januar_2014.pdf]]
[[Datei:802.11ac_Wireless_LAN_FAQ_-_Februar_2014.pdf]]

Dabei ist eine Position in den Dokument zu berücksichtigen:

'''Do I need to buy new APs to support 802.11ac?'''
Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.

Somit können bestehende Modelle wie zB FAP-221B nicht auf den neuen Standard 802.11ac anhand eines Software Updates gebracht werden da es für den 802.11ac Standard neue Hardware benötigt die diesen Standard 802.11ac unterstützt wie zB FAP-221C. Desweiteren ist zu berücksichtigen, dass für diesen Standard resp. neue Hardware und für FortiOS 5.0 ein spezielles FortiOS installiert werden muss, damit die neuen FAP-221C die auf diesen neuen Standard 802.11ac basieren erkannt werden. Dieser neue "Special Support Build" wird basierend auf FortiOS 5.0 unter folgenden Link zur Verfügung gestellt:

https://support.fortinet.com/Download/FirmwareImages.aspx

/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Dieser Link kann nur dann aufgerufen werden, wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Mit diesem "Special Support Build" wird ausschliesslich die neuen Forti Access Point (zB FAP-320C und FAP-221C) basierend auf 802.11ac unter FortiOS 5.0 unterstützt. Die Forti Access Points müssen mit FortiOS 5.2 betrieben werden. Um den "Special Support Build" zu installieren muss folgendermassen vorgegangen werden:

1. Installierte Basis offizielles FortiOS 5.0.x

2. Upgrade auf die letzte zur Verfügung stehende offizielle Version zB FortiOS 5.0.12 gemäss Upgrade Path:

[[Datei:FortiOS-Upgradepath.pdf]]

3. Einspielen des "Feature Support Build" basierend auf FortiOS 5.0.12

Für FortiOS 5.2 und höher muss zur Unterstützung der neuen 802.11ac Standard kein "Feature Support Build" installiert werden!

=== Wo finde ich detailliert Informationen über Wireless "802.11AC MU-MiMo" Funktion? ===

Unter "802.11AC MU-MiMo" versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". MiMo bedeutet somit konkret:

MI steht für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen

Dahinter verbirgt sich im Prinzip ein cleveres Radio/Antennen Management! Wenn ein Access Point über mehrer "radios" mit Antennen vefügt, kann der Access Point seine "radio" Antennen gezielt aufteilen wenn er mehrere Gegenstellen zu bedienen hat um damit jeder Gegenstelle eine besonders stabile und starke Verbindung zu garantieren:

[[Datei:Fortinet-326.jpg]] oder [[Datei:Fortinet-331.jpg]]

Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:

[[Datei:Fortinet-718.jpg]]

Wenn diese Technology für "802.11AC MU-MiMo", die auch für den Forti Access Point FAP-320B/C benutzt wird eingesetzt werden soll, so muss ebenfalls die Client/Host Seite über diese Technolgie verfügen. Dies bedeutet: der Client/Host selber müssen diese Technologie durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client/Host zB IPad "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte um die entsprechende Performance zu erlangen!

== Wireless Controller ==

=== Wie kann ich für einen FortiGate Wireless Controller den "Country Code" Konfigurieren? ===

Ein Forti Access Point wird über die Fortigate Wireless Controller konfiguriert. Es ist zwingend Notwendig die korrekte "location" (Country Code) zu setzen bevor ein Forti Access Point konfiguriert wird. UM den entsprechenden Country Code auf dem FortiGate Wireless Controller zu konfigurieren führe folgendes durch:

# config wireless-controller setting
# set country CH
# end

Wenn man die Konfiguration abschliesst, kann es zu einer Fehlermeldung führen. Der Grund dafür sind existierende WTP Profiles die auf den alten Country Code basierend. Der Konfigurationspunkt in den WTP Profiles die auf dem Country Code basieren, sind die zur Verfügung gestellten "channels" und diese können von Land zu Land unterschiedlich sein. Aus diesem Grund unter FortiOS 5.0 dürfen kein WTP Profiles existieren wenn der Country Code neu gesetzt wird. Aus diesem Grund müssen die bestehenden WTP Profiles unter FortiOS 5.0 gelöscht werden. Dies wird folgendermassen durchgeführt:

# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)'''y'''

Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert werden jedoch wird sämtliche "channel" Konfiguration zurückgesetzt und muss bei einer bestehenden Konfiguration nachträglich kontrolliert werden. Wird der Country Code unter FortiOS 5.2 auf der CLI geändert erscheint folgende Meldung:

This operation will also clear channel settings of all the existing wtp profiles
Do you want to continue (y/n)'''y'''

=== Kann ich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos absetzen? ===

Ab FortiGate/FortiAccessPoint FortiOS 5.4.1 ist es möglich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos abzusetzen. Welche Kommandos dabei auf dem Forti Access Point abgesetzt werden können siehe nachfolgender Artikel:

[[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_Lokal_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]

Wenn Kommandos die für eine Forti Access Point zur Verfügung stehen über den FortiGate Wireless Controller abgesetzt werden, spielt es keine Rolle ob der Administrative Access eines Forti Access Points dh. telnet, ssh, http oder https aktiviert ist oder nicht denn die Kommandos werden über CAPWAP UDP-5246 durchgeführt. Um ein Kommando abzusetzen steht folgende Syntax mit deren Optionen zur Verfügung:

# diagnose wireless-controller wlac wtpcmd [Forti Access Point IPv4] [CAPWAP Port] cmd [cmd-to-ap | run | show | showhex | clr | r&s | r&sh]

Die verschiedenen Optionen für "cmd" haben folgende Bedeutung:

• cmd-to-ap: any shell commands, but AP will not report results until the command is finished on the AP
• run: controller sends the ap-cmd to the FAP to run
• show: show current results reported by the AP in text
• showhex: show current results reported by the AP in hex
• clr: clear reported results
• r&s: run/show
• r&sh: run/showhex

Das Kommando das sich am Besten eignet um Kommandos abzusetzen ist "r&s" dh. "run and show". Nachfolgend ein Beispiel anhand "cfg -s" das die momentane Konfiguration eines Forti Access Points zeigt:

# diagnose wireless-controller wlac wtpcmd [Forti Access Point IP] 5246 cmd r&s "cfg -s"

Um die IPv4 Adresse eines Forti Access Points über CLI zu verifizieren siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

=== Wie kann ich auf einem FortiGate Wireless Controller ein Troubleshooting durchführen (diagnose)? ===

Auf einem FortiGate Wireless Controller stehen folgende troubleshooting Kommandos zur Verfügung um verschiedenen Informationen zu verifizieren:

# diagnose wireless wlac -h
wlac usage:
wlac help --show this usage
wlac ping [-c cnt] [-s len] <ip> --send cnt len-bytes ping request
wlac tpt --show non-wireless terminaton point info
wlac tablesize --print tablesize for wireless-controller part only
wlac kickmac mac --disassociate a sta
wlac kickwtp ip cport --tear down a wtp session
wlac plain-ctl [[wtp-id] [0|1] | clear] --show, set or clear current plain control setting
wlac sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
wlac sniff [intf [wtp-id] [0|1|2] | clear] --show, set or clear sniff setting on intf for wtp-id
wlac list-vap --show configured VAPs and VAP groups.
wlac scanclr --clear the scanned rogue ap list
wlac scanstaclr --clear the scanned rogue sta list
wlac sta_filter [sta-mac level | clear] --show, set or clear sta filter
wlac wtp_filter [id vfid-ip:port level | clear] --show, set or clear wtp filter
wlac clear debug --clear all debug settings
wlac show debug --show all debug settings
wlac show kernel --show all -k command settings
wlac show data --show all -d settings
wlac show control --show all -c settings
wlac show all --show all -k,-c,-d and debug settings
wlac -k cws [wlan] --list cws info(kern)
wlac -k wtp [vfid-ip:port lip:port] --list wtp info(kern)
wlac -k vap [wlan | bssid] --list vap info(kern)
wlac -k sta [wlan | bssid mac] --list sta info(kern)
wlac -k wlan-sta wlan sta-ip --list wlan's sta info(kern)
wlac -d usage --list objects usage(data)
wlac wpad_vap [ip|bssid] --list vap info in wpad_ac
wlac wpad_sta [mac] --list sta info in wpad_ac
wlac sta-idle-auth [time] --get/set non-auth sta idle time
wlac -d all --list wlan/wtp/vap/sta info(data)
wlac -d wlan --list wlan info(data)
wlac -d wtp --list wtp info(data)
wlac -d vap --list vap info(data)
wlac -d sta --list sta info(data)
wlac -d sta-idx [wlan mac next] --list indexed sta info(data)
wlac -d wlsta wlan --list wlan's sta info(data)
wlac -d wtpsta wtp-index --list wtp's sta info(data)
wlac -d radiosta wtp-id rId --list radio's sta info(data)
wlac -c status --display ac status summary
wlac -c sta [mac] --list sta(ctl)
wlac -c wtpprof [wtpprof] --list configured wtp profiles(ctl)
wlac -c wtp [wtp] --list configured wtps(ctl)
wlac -c wtp-idx [wtp next] --list indexed wtp (ctl)
wlac -c radio-idx [wtp rId next] --list indexed radio (ctl)
wlac -c vap-idx [wtp rId wlan next] --list indexed vap (ctl)
wlac -c wlan [wlan|ssid] --list configured wlans(ctl)
wlac -c swintf --list configured switch interface(ctl)
wlac -c apsintf --list configured aps interface(ctl)
wlac -c ap-status --list configured ap status(ctl)
wlac -c widsprof --list configured wids profiles(ctl)
wlac -c byod_dev [dev | mac] --list configured devices(ctl)
wlac -c byod_devgrp [devgrp --list configured device groups(ctl)
wlac -c byod_devacl [devacl] --list configured device access lists(ctl)
wlac -c byod_devtype [devtype] --list configured device types(ctl)
wlac -c byod [wlan] --show device access in control plane
wlac -c byod_detected [wlan] --list detected devices(ctl)
wlac -c ws [ip] --list current wtp sessions(ctl)
wlac -c ws-fail --show current wtp sessions with SSID config failures
wlac -c ws-mesh vfid-ip:port --list this wtp session's mesh parent and child info(ctl)
wlac -c vap --list vap info(ctl)
wlac -c ap-rogue --list rogue ap info(ctl)
wlac -c sta-rogue --list rogue sta info(ctl)
wlac -c rap-hostlist bssid --list hosts related to the ap(ctl)
wlac -c arp-req --list arp info on the controller(ctl)
wlac -c mac-table --list mac table(ctl)
wlac -c br-table --list bridge table(ctl)
wlac -c nol --list the AP's non occupancy channel list for radar
wlac -c scan-clr-all --clear the scanned rogue ap and sta data(ctl)
wlac -c ap-onwire-clr bssid --clear the rogue ap's on wire flag(ctl)
wlac -c darrp --list darrp radio table(ctl)
wlac -c darrp-schedule --list darrp schedule table
wlac -c sta-cap [mac] --list sta capability(ctl)
wlac -c sta-locate --list located wireless stations(ctl)
wlac -c sta-locate-reset [1|2] --reset sta-locate data(ctl); 1: reset stats, 2 (default): flush entries
wlac -c rf-analysis [wtp-id|ac] --list rf analysis results(ctl)
wlac -c rf-sa wtp-id rId [chan] --list rf spectrum info
wlac -c radio-ifr wtp-id rId --list radio's interfering APs
wlac -c wids --show detected sta threat in control plane

=== Was kann getan werden, wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate Wireless Controller? ===

Wenn ein Forti Access Point in einem bestimmten IPv4 Adress Subnet/Segment in dem der Forti Access Point über den FortiGate Wireless Controller verwaltet wird (CAPWAP) nicht ersichtlich ist, muss folgendes berücksichtigt werden:

• Der Switch und/oder ein Router darf folgende Protokolle und Port nicht verwerfen/blocken:

Broadcast, Multicast sowie Unicast
CAPWAP Port UDP-5246

Auf einigen Switch Modellen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste das diese Protokolle nicht über den Switch verworfen/geblockt wird. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:

http://www.ietf.org/rfc/rfc5415.txt

Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP) kann folgendes durchgeführt werden:

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

'''Setze einen neuen Debug Filter:'''

# diagnose debug application cw_acd 5

'''Aktiviere Debug:'''

# diagnose debug enable

"5" stellt die "verbosity" dar. Diese "verbosity" zeigt alle Fehler an sowie den gesamten CAPWAP Prozess (Discovery, Keep Uplive etc.). Sobald das "debug" nicht mehr benötigt deaktiviere den "debug" Mode sowie setze den Filter zurück!

'''Deaktiviere den Debug Modus:'''

# diagnose debug disable

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

Um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate für das Interface auf dem der Forti Access Points verbunden ist ausgeführt werden:

# diagnose sniffer packet [Definiere das entsprechende Interface zB "dmz" oder alle Interfaces "any"] "port 5246" 6 0 a

Im Sniffer Output muss die Antwort des Forti Access Point über Unicast (Discovery Request) zum FortiGate Wireless Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Wireless Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf de FortiGate Wireless Controller nicht ersichtlich ist. Ein anderer Ansatz ist Broadcast, Multicast und Unicast zu verhindert. Der Grund, dass ein Forti Access Point diesen Vorgang/Protokolle benutzt um den FortiGate Wireless Controller zu finden, ist das der Forti Access Point nicht die nötige Information resp. IPv4 Adresse des FortiGate Wireless Controller besitzt um diese IPv4 Adresse Anzufragen. Die einfachste Art dies zu erreichen, ist dem Forti Access Point über den DHCP Server die nötige Information der IPv4 Adresse des FortiGate Wireless Controller zu zuweisen. Wenn für die Forti Access Point ein DHCP Server der FortiGate benutzt wird kann dies über Kommandozeile folgendermassen konfiguriert werden:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

Wenn ein seperater DHCP Server benutzt wird, kann anhand der Option 138 der seperate DHCP Server so konfiguriert werden, dass dieser über diese Option dem Forti Access Point die IPv4 Adresse des FortiGate Wireless Controller zuweist. Diese Option 138 die für die IPv4 Adresse des FortiGate Wireless Controllers steht, ist auf dem Forti Access Point per Standard anhand der Konfiguration "AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138" gesetzt und kann bei Bedarf verändert werden:

# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE:=138
# cfg -c

=== Wie kann ich für eine FortiGate den FortiGate Wireless Controller komplett deaktivieren? ===

Wenn man zB. aus Security Gründen den FortiGate Wireless Controller der auf einer FortiGate per Standard aktiviert ist komplett deaktivieren möchte, kann dies über CLI durchgeführt werden:

# config system global
# set wireless-controller [enable | disable]
# end

Dieses Kommando deaktiviert den FortiGate Controller komplett und somit können keine Forti Access Point mehr angebunden, verwaltet oder konfiguriert werden. Möchte man den "wireless-controller" nicht deaktivieren aber verhindern, dass sich Forti Access Points auf dem lokalen FortiGate Wireless Controller registrieren kann dies mit verschiedenen Konfigurationen erreicht werden. Weitere Auskunft über diese verschiedenen Konfigurationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_die_automatische_Registration_eines_Forti_Access_Point_auf_einem_FortiGate_Wireless_Controller_verhindern.3F]]

=== Wie kann ich auf einer FortiGate den FortiGate Wireless Controller/Service neu starten? ===

Wenn man den FortiGate Wireless Controller aus irgendwelchen Gründen neu starten möchte, kann dies mit verschiedenen Kommandos durchgeführt werden. Dabei ist jedoch zu beachten das ein komplett Unterbrucht für das Forti Access Point Wireless Netzwerk durchgeführt wird resp. für die Wireless Clients/Hosts. Nachfolgendes Kommando zeigt wie anhand des "execute" Kommandos der FortiGate Wireless Controller neu gestartet wird:

# execute wireless-controller restart-acd

Zu diesem Kommando steht ebenfalls die Option "reset-wtp" zur Verfügung. Durch diese Option werden alle oder spezifizierte Forti Access Points anhand der Serien Nummer angewiesen deren WTP Profiles neu zu laden. Dadurch wird ein Neustart des entsprechenden Forti Access Point durchgeführt oder durch "all" für alle Forti Access Points:

# execute wireless-controller reset-wtp [Definiere die entsprechende Serien Nummer eine Forti Access Points oder "all"]

Wenn dieser Vorgang nicht den gewünschten Effekt erziehlt kann auch folgendes durchgeführt werden jedoch sollte dieser Vorgang als letzte Option benutzt werden. Um die PID (Prozess ID Deamon) herauszufinden für den FortiGate Wireless Controller resp. Service "cw_acd" benützen folgenden Befehl auf der Console:

# fnsysctl more /var/run/cw_acd.pid
110

Sobald die PID eruiert ist, kann diese anhand des Kill Level 9 neu gestartet werden:

# diagnose sys kill [Kill Level/Sequenz 1 - 32] [PID des Prozesses cw_acd]

Durch diesen Vorgang ensteht ebenfalls ein Unterbruch auf dem FortiGate Wireless Controller, denn der Kill Level 9 zwingt den Service die Konfiguration für den FortiGate Wireless Controller neu einzulesen und für den Service ein "restart" durchzuführen. Dies kann nachträglich kontrolliert werden, denn wenn abermals die PID Nummer des Service "cw_acd" ausgelesen wird und durch den "restart" wird dem Service einen neue PID Nummer zugewiesen:

# fnsysctl more /var/run/cw_acd.pid
11985

=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welcher SSID und MAC Adresse verbunden sind? ===

Um herauszufinden welche Wireless Clients/Hosts mit welcher SSID über den FortiGate Wireless Controller verbunden sind benutze folgenden Befehl über die CLI der FortiGate:

# diagnose wireless-controller wlac -d sta

vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=198.18.2.2 mac=94:65:9c:74:47:c6 vci=MSFT 5.0 host=DESKTOP-HSEH6HM
user= group= signal=0 noise=0 idle=0 bw=1 use=4 chan=3 radio_type=11N security=wpa2_only_personal encrypt=aes cp_authed=no online=yes mimo=2

* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

*? vf=0 wtp=15 rId=1 wlan=fortinet4guest vlan_id=0 ip=0.0.0.0 mac=08:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=captive encrypt=none cp_authed=no online=yes

In unserem Beispiel sehen wir, dass ein Client mit der IP 198.18.2.2 verbunden ist mit der MAC Adresse 94:65:9c:74:47:c6. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "fortinet4intern" sowie "fortinet4guest" mit deren MAC Adresse "1a:5b:0e:5d:f7:15" und "08:5b:0e:5d:f7:0d". Ebenso sieht man die Authentication des Client 198.18.2.2 dh. "wpa2_only_personal" (aes) und den Host Namen "DESKTOP-HSEH6HM".

=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welchem IEEE 802.11 Standard verbunden sind? ===

Ueber nachfolgenden Befehl kann man verifizieren über welchen IEEE 802.11 Standard ein Client mit einem Forti Access Point verbunden ist:

# diagnose wireless-controller wlac -d sta

* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:0d''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 '''radio_type=11N'''
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:15''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 '''radio_type=11AC'''
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

=== Wie finde ich über den FortiGate Wireless Controller heraus mit welcher IPv4 Adresse ein Forti Access Point verbunden ist? ===

Um herauszufinden mit welcher IPv4 Adresse ein Forti Access Point mit dem FortiGate Wireless Controller verbunden ist kann das Mgmt. Web Interface benutzt werden:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > Connected Via

Steht der Mgmt. Web Interface Zugriff nicht zu Verfügung kann die IPv4 Adresse mit der ein Forti Access Point auf dem FortiGate Wireless Controller verbunden ist auch über die CLI der FortiGate verifiziert werden:

'''Liste alle IP's auf die momentan durch die Forti Access Point benutzt werden:'''

# diagnose wireless wlac -d wtp
vf=0 wtp=1 base=08:5b:0e:5d:f7:0d 198.18.3.3:45521<->198.18.3.1:5247 use=7
vf=0 wtp=2 base=08:5b:0e:0c:f4:1a 193.193.135.70:49026<->193.193.135.66:5247 use=4
vf=0 wtp=4 base=08:5b:0e:a3:97:a8 198.18.3.2:53715<->198.18.3.1:5247 use=6
vf=0 wtp=5 base=08:5b:0e:97:23:0e 193.193.135.71:46015<->193.193.135.66:5247 use=4

'''Liste alle Forti Access Point auf um die Serien Nummern zu verifizieren:'''

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

'''Liste einen bestimmten Forti Access Point anhand dessen Serien Nummer sowie mit dessen Informationen Informationen/IP:'''

# diagnose wireless wlac -c wtp [Entsprechende Serien Nummer des Forti Access Point zB "FAP21D3U14000144"; Keine Serien Nummer Angabe listet alle Forti Access Points auf]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------

Um nachträglich anhand dieser IPv4 Adresse über den Forti Gate Wireless Controller eine "telnet" Verbindung zum Forti Access Point durchzuführen siehe nachfolgender Artikel::

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme mit einem Wireless Client/Host Troubleshooten? ===

Um Verbindungsprobleme mit einem Wireless Client/Host zu Troubleshooten kann der "diagnose" Befehl Lokal auf dem FortiGate Wireless Controller benützt werden oder auf dem Forti Access Point anhand des Befehls "cw_debug". Um dieses Troubleshooting durchzuführen, muss im ersten Schritt für den Wireless Client/Host eruiert werden, mit welcher MAC Adresse der Wireless Client/Host verbindet um diese im "diagnose" Befehl zu benutzen und um so den Traffic auf diese MAC Adresse des Wireless Clients/Host einzuschränken. Wie diese MAC Adresse über den FortiGate Wireless Controller eruiert werden kann siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_welche_Clients_mit_welcher_SSID_und_MAC_Adresse_verbunden_sind.3F]]

Sobald die MAC Adresse des Wireless Client/Host eruiert wurde, kann nachfolgender "diagnose" Befehl benutzt werden um den Traffic des Client/Host anhand dieser MAC Adresse einzusehen:

# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 1
STA Filter Index 0/1 sta 9c:b7:0d:de:8f:74 log-enabled 1

Nach der MAC Adresse wird mit "1" die Funktion des "sta_filter" anhand der MAC Adresse aktiviert. Anhand "0" wird die Funktion wiederum deaktiviert. Für "wlac" stehen weitere Befehle zur Verfügung. Weitere Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_auf_einem_FortiGate_Wireless_Controller_ein_Troubleshooting_durchf.C3.BChren_.28diagnose.29.3F]]

Nachträglich, nach dem Troubleshooting muss die Funktion "sta_filter" wieder deaktiviert werden anhand folgenden Befehls:

# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 0
STA Filter is empty

Wird dies nicht durchgeführt so bleibt die Funktion "sta_filter" anhand "1" aktiv was aus performance Gründen nicht empfohlen wird. Nachfolgendes Beispiel zeigt eine korrekte Verbindung eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 dh. Der Client/Host sollte keine Verbindung erstellen vor der Aktivierung der "sta_filter" Funktion um nachträglich nur den Verbindungsaufbau einzusehen:

44386.013 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_req <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_resp ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <dc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 NON-AUTH band 0x10 mimo 2*2
44386.015 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(60) sta 94:65:9c:74:47:c6 add ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.015 94:65:9c:74:47:c6 <cc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 0
44386.028 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(60) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.029 94:65:9c:74:47:c6 <eh> send 1/4 msg of 4-Way Handshake
85792.029 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=95 replay cnt 1
85792.030 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 139B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=135
85792.032 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 2/4 Pairwise replay cnt 1
85792.033 94:65:9c:74:47:c6 <eh> send 3/4 msg of 4-Way Handshake
85792.033 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=175 replay cnt 2
85792.033 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 179B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=95
85792.036 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 4/4 Pairwise replay cnt 2
44386.037 94:65:9c:74:47:c6 <dc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 AUTH
44386.038 94:65:9c:74:47:c6 <cc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 1 ******
44386.038 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(62) sta 94:65:9c:74:47:c6 add key (len=16) ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.046 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(62) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.047 94:65:9c:74:47:c6 <eh> ***pairwise key handshake completed*** (RSN)
44386.086 94:65:9c:74:47:c6 <dc> DHCP Request server 0.0.0.0 <== host DESKTOP-HSEH6HM mac 94:65:9c:74:47:c6 ip 198.18.2.2 xId bd0e86c
44386.094 94:65:9c:74:47:c6 <dc> DHCP Ack server 198.18.2.1 ==> host mac 94:65:9c:74:47:c6 ip 198.18.2.2 mask 255.255.255.128 gw 198.18.2.1 xId bd0e86c

Nachfolgendes Beispiel zeigt einen korrekten Disconnect eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:

44447.890 94:65:9c:74:47:c6 <dc> STA del 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(64) sta 94:65:9c:74:47:c6 del ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA del 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL action del_by_wtp reason 201
85852.892 94:65:9c:74:47:c6 <eh> ***WPA_PTK 94:65:9c:74:47:c6 DISCONNECTED***
44447.894 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(64) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)

Nun der oben gezeigte "output" stammt vom Fortigate Wireless Controller! Möchte man die gleiche Vorgehensweise für den Wireless Client/Host auf dem Forti Access Point durchführen muss in erster Linie auf dem Forti Access Point auf dem der Wireless Client/Host verbunden ist "telnet" für den Zugriff aktiviert werden. Wie dies durchgeführt wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Der Nachteil auf einem Forti Access Point liegt darin, dass der Traffic nicht anhand einer MAC Adresse eingeschränkt werden kann dh. durch "0x7fff" wird ein Debug Level 32767 gesetzt. Gleichzeitig muessen die "telnet" Nachrichten in der Console für "cw_debu" aktiviert werden. Es ist absolut nicht empfohlen diesen "cw_debug" über einen Consolen Port auf dem Forti Access Point durchzuführen oder über den Consolen Port der FortiGate selber. Der Grund ist der Folgende: Durch diesen "cw_debug" werden soviel "output" Produziert, dass der "buffer" des Consolen Port in kurzer Zeit vollgeschriebe wird. Dies verunmöglicht einen korrekten "cw_debug". Aus diesem Grund sollte die Verbindung SSH basierend sein dh. es sollte per SSH auf die FortiGate verbunden werden und nachträglich per "telnet" auf den entsprechenden Forti Access Point:

# execute [telnet | ssh] [IPv4 Adresse des entsprechenden Forti Access Point zB "198.18.3.3"]
Trying 198.18.3.3...
Connected to 198.18.3.3.
Local Access Point FAP-221C login: admin

BusyBox v1.15.0 (2016-01-07 14:13:50 PST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Eingeloggt auf dem Forti Access Point können die entsprechenden Optionen für "cw_debug" eingesehen werden:

# cw_debug app
Usage:

cw_debug <on|off> --turn on/off telnet log message
cw_debug app <app_name> [debug_var] --get/set application debug var
cwWtpd capwap WTP daemon
dhcp capwap DHCP discover
wifi capwap wifi configuration commands
cwWtpd_mem capwap WTP daemon mem
fsd fsd daemon
hostapd hostapd daemon
wpa_supp wpa supplicant daemon
ddnscd ddnscd daemon
admin_timeout telnet/GUI session idle timeout in seconds
fapportal fapportal daemon
fcldc forticloud client daemon
service capwap WTP service daemon
all all above daemons

Um für "cw_debug" den "telnet" Output zu aktivieren führe folgendes durch:

# cw_debug on

Danach setze den "debug" Level für "cw_debug app cwWtpd" anhand folgenden Befehls:

# cw_debug app cwWtpd 0x7fff

Auch hier ist es absolut Notwendig, nach einem erfolgreichen Troubleshooting den Debug wiederum zu aktivieren. Wird dies nicht durchgeführt, bleibt der Debug Modus im Hintergrund aktiv und beeinflusst die Performance des Forti Access Point:

# cw_debug app cwWtpd 0x0

Nachfolgendes Beispiel zeigt den "output" einer korrekte Verbindung des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 wobei darauf hinzuweisen ist das dieser "output" nicht einfach ist zu lokalisieren. Aus diesem Grund wird empfohlen den "output" der SSH resp. "telnet" Session für einen spätere Analyse in ein Log File zu schreiben:

49009.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248929 dbg 00007fff Pkts 0 0
49010.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248930 dbg 00007fff Pkts 0 0
49011.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248931 dbg 00007fff Pkts 0 0
49012.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248932 dbg 00007fff Pkts 0 0
49012.742 Wireless event: cmd=0x8c03 len=20
49012.752 ==========================cwWtpProcRawMsg 7 1=========================
49012.752 cwWtpProcRawMsg recvfrom total bytes 1750766
49012.752 cwWtpProcRawMsg: it's a control message
49012.752 cwWtpProcCipherCtrlMsg: looking at 125-byte encapsulated control message
49012.752 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 125 (errno: 11)
49012.752 ==========================cwWtpProcRawMsg 7 2=========================
49012.752 cwWtpDtlsThread: SSL_read() returned 66 ssl_err 0
49012.753 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.753 CAPWAP Control Header Dump:
49012.753 msgType : 25 STA_CFG_REQ
49012.753 seqNum : 165
49012.753 msgElemLen : 53
49012.753 flags : 0
49012.753 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.753 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.753 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.753 ==========================cwWtpFsmThread 4 1=========================
49012.753 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.754 CWWS_RUN_enter: Add 1 STAs.
49012.754 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.754 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.754 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.755 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.755 CAPWAP Control Header Dump:
49012.755 msgType : 26 STA_CFG_RESP
49012.755 seqNum : 165
49012.755 msgElemLen : 11
49012.755 flags : 0
49012.755 wtpDtlsWrite: SSL_write() was successful
49012.756 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49012.756 ==========================cwWtpFsmThread 4 2=========================
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.756 cwWtpSendRawMsg: called with 81 bytes - dumping...
49012.756 cwWtpSendRawMsg: send out encrypted msg.
49012.756 cwWtpSendRawMsg: sendto of 81 of 81 bytes for 192.168.3.1/5246
49012.756 cwWtpSendRawMsg: sendto total bytes 2407860
49012.756 cwWtpProcOutCipherCtlMsg: successfully sent data...
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.962 ==========================cwWtpProcRawMsg 7 1=========================
49012.964 cwWtpProcRawMsg recvfrom total bytes 1750959
49012.964 cwWtpProcRawMsg: it's a control message
49012.964 cwWtpProcCipherCtrlMsg: looking at 189-byte encapsulated control message
49012.964 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 189 (errno: 11)
49012.964 ==========================cwWtpProcRawMsg 7 2=========================
49012.964 cwWtpDtlsThread: SSL_read() returned 135 ssl_err 0
49012.964 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.964 CAPWAP Control Header Dump:
49012.964 msgType : 25 STA_CFG_REQ
49012.965 seqNum : 166
49012.965 msgElemLen : 122
49012.965 flags : 0
49012.965 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.965 cw_me_decode: me type 11_sta_session_key (1038) len 36 claims 29 more octets
49012.965 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.965 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.965 ==========================cwWtpFsmThread 4 1=========================
49012.965 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.965 CWWS_RUN_enter: Add 1 STAs.
49012.965 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.966 cwWtpStaRbtDel: DEL duo to ADD remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49012.966 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.966 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.966 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.966 CAPWAP Control Header Dump:
49012.966 msgType : 49013.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248933 dbg 00007fff Pkts 0 0
49014.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248934 dbg 00007fff Pkts 0 0
49015.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248935 dbg 00007fff Pkts 0 0
49016.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248936 dbg 00007fff Pkts 0 0
49017.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248937 dbg 00007fff Pkts 0 0
49018.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248938 dbg 00007fff Pkts 0 0

Nachfolgendes Beispiel zeigt den Output eines "korrekten" Disconnect des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:'''

49113.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249033 dbg 00007fff Pkts 0 0
49114.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249034 dbg 00007fff Pkts 0 0
49114.417 Wireless event: cmd=0x8c04 len=20
49114.417 Wireless event: cmd=0x8c02 len=31
49114.417 Custom wireless event: 'del sta: wlan00 '
49114.417 cwWtp_wireless_event_wireless_custom Radio 0 wId 0 Del STA: 9c:b7:0d:de:8f:74
49114.417 cwWtpSend_REQ_MSG: sending WTP_EVENT_REQ (9) msg.
49114.417 cwWtpSendRawMsgQueue: SENDING OUT type 9 seqNum 156
49114.417 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.417 CAPWAP Control Header Dump:
49114.417 msgType : 9 WTP_EVENT_REQ
49114.417 seqNum : 156
49114.417 msgElemLen : 34
49114.417 flags : 0
49114.418 wtpDtlsWrite: SSL_write() was successful
49114.418 cwWtpSendRawMsgQueue: wtpDtlsWrite() succeeded.
49114.418 cwWtpPendingMsgAdd: add type 9 seqNum 156 into pending msg queue at head 18 Cnt 1
49114.418 cwWtpProcOutCipherCtlMsg: calling recv()
49114.418 cwWtpSendRawMsg: called with 113 bytes - dumping...
49114.418 cwWtpSendRawMsg: send out encrypted msg.
49114.418 cwWtpSendRawMsg: sendto of 113 of 113 bytes for 192.168.3.1/5246
49114.418 cwWtpSendRawMsg: sendto total bytes 2408459
49114.419 cwWtpProcOutCipherCtlMsg: successfully sent data...
49114.419 cwWtpProcOutCipherCtlMsg: calling recv()
49114.430 ==========================cwWtpProcRawMsg 7 1=========================
49114.430 cwWtpProcRawMsg recvfrom total bytes 1751749
49114.430 cwWtpProcRawMsg: it's a control message
49114.430 cwWtpProcCipherCtrlMsg: looking at 109-byte encapsulated control message
49114.430 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 109 (errno: 11)
49114.430 ==========================cwWtpProcRawMsg 7 2=========================
49114.430 cwWtpDtlsThread: SSL_read() returned 47 ssl_err 0
49114.431 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.431 CAPWAP Control Header Dump:
49114.431 msgType : 25 STA_CFG_REQ
49114.431 seqNum : 168
49114.431 msgElemLen : 34
49114.431 flags : 0
49114.431 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49114.431 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x100ef468 msgPtr (nil) len 0
49114.431 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49114.432 ==========================cwWtpProcRawMsg 7 1=========================
49114.432 cwWtpProcRawMsg recvfrom total bytes 1751830
49114.432 cwWtpProcRawMsg: it's a control message
49114.432 cwWtpProcCipherCtrlMsg: looking at 77-byte encapsulated control message
49114.432 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 77 (errno: 11)
49114.432 ==========================cwWtpProcRawMsg 7 2=========================
49114.432 ==========================cwWtpFsmThread 4 1=========================
49114.432 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49114.432 CWWS_RUN_enter: Del 1 STAs.
49114.432 CWWS_RUN_enter: STA DEL 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name wId 0
49114.432 CWWS_RUN_enter STA_DISASSOC wId 0 Intf wlan00 9c:b7:0d:de:8f:74
49114.433 do80211priv ap wlan00 op 35814 Invalid argument
49114.433 cwWtpStaRbtDel: STA_CFG_REQ remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49114.433 CWWS_RUN_enter: sending STA CFG RESP msg.
49114.433 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.433 CAPWAP Control Header Dump:
49114.433 msgType : 26 STA_CFG_RESP
49114.433 seqNum : 168
49114.433 msgElemLen : 11
49114.433 flags : 0
49114.433 wtpDtlsWrite: SSL_write() was successful
49114.434 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49114.434 ==========================cwWtpFsmThread 4 2=========================
49114.434 cwWtpDtlsThread: SSL_read() returned 24 ssl_err 0
49114.434 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.434 CAPWAP Control Header Dump:
49114.434 msgType 49115.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249116.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249036 dbg 00007fff Pkts 0 0
49117.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249037 dbg 00007fff Pkts 0 0
49118.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249038 dbg 00007fff Pkts 0 0
49119.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249039 dbg 00007fff Pkts 0 0
49120.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249040 dbg 00007fff Pkts 0 0

Folgender Fortinet Knowledge Base Artikel gibt weitere Auskunft über dieses Troubleshooting:

http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33214&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=35950338&stateId=0%200%2035948485

=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme betreffend CAPWAP Troubleshooten? ===

Auf einem FortiGate Wireless Controller kann die Komunikation der einzelnen Fortinet Access Point betreffend CAPWAP folgendes Kommando eingesehen werden:

# diagnose wireless-controller wlac -c wtp

Bei diesem Output gibt speziell die Position "last failure" Auskunft über Probleme. Wenn zB nachfolgende Meldungen auftauchen ist dies ein Indikator das die Komunikation zwischen Fortinet Access Point und FortiGate Wireless Controller Verbindungstechnisch nicht einwandfrei funktioniert:

last failure : 4 -- Control message maximal retransmission limit reached
last failure : 14 -- ECHO REQ is missing

Diese Verbindungsprobleme können auftreten aus Netzwerktechnischen Gründen oder wenn zuviel Broadcast/Multicast Traffic über die Fortinet Access Point benutzt wird. Ist dies der Fall kann über die nachfolgenden Optionen die Timers erhöht werden:

# config wireless-controller global
# set max-retransmit [0 - 64; Standard 3]
# end

# config wireless-controller timers
# set echo-interval [1 - 255; Standard 30]
# end

Durch die Erhöhung der Werte dh. "max-retransmit 15" sowie "echo-interval 100" werden die "retransmit" sowie der "interval" erhöht.

=== Wie kann ich auf dem FortiGate Wireless Controller die momentanen Konfiguration eines Forti Access Point auslesen? ===

Um die momentane Konfiguration für 2.4 GHz sowie 5.0 GHz Forti Access Point über den Fortinet Wireless Controller für einen spezifischen Forti Access Point auszulesen kann folgender Befehl benützt werden:

# config wireless-controller wtp
# get
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
# end

'''Fuer 2.4 GHz Radio eines Forti Access Point'''

# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296
-------------------------------RADIO_IDX 1----------------------------
Radio 1 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11N
channel list : 1 6 11
darrp : enabled
txpower : 100% (calc 18 oper 18 max 18 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 0
bgscan rptintv : 30
sta scan : enabled
WIDS profile : local-default.local
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:0d
oper chan : 11
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------

'''Fuer 5.0 GHz Radio eines Forti Access Point'''

# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296 0
-------------------------------RADIO_IDX 1----------------------------
Radio 2 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11AC
channel list : 36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 ...
darrp : enabled
txpower : 100% (calc 14 oper 14 max 14 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 250
bgscan rptintv : 30
sta scan : disabled
WIDS profile : ---
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:15
oper chan : 48
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------

== Grundsetup ==

=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.0/5.2 in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:

WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 192.168.3.1 | FAP 220B |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 192.168.1.99
LAN

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem FortiAccess Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Es wird unter normalen Umständen empfohlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IP Range 192.168.3.0/24:

<big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>

System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]

[[Datei:Fortinet-1232.jpg]]

Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimm aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die FortiAccess Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie AC (Wireless Controller)
IP Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen! führe auf der
CLI folgendes aus:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

<big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des FortiAccess Points'''</big>

Nun muss der FortiAccess Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1233.jpg]]

[[Datei:Fortinet-1234.jpg]]

[[Datei:Fortinet-1235.jpg]]

Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:

[[Datei:Fortinet-1236.jpg]]

<big>'''Forti Access Point Firmware Upgrade durchführen'''</big>

Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Ein Firmware Upgrade wird folgendermassen durchgeführt:

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1237.jpg]]

[[Datei:Fortinet-1238.jpg]]

[[Datei:Fortinet-1239.jpg]]

Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem FortiAccess Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:

# config wireless-controller wtp
# get

Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:

# edit [Serien Nummer des entsprechendne FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable enable
# end

Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:

# execute [telnet | ssh] [IPv4 Adresse des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:

# cfg -x
# reboot

<big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"'''</big>

User & Device > User > User Definition > Create New

'''User/Gruppe only4also'''

[[Datei:Fortinet-1240.jpg]]

[[Datei:Fortinet-1241.jpg]]

[[Datei:Fortinet-1242.jpg]]

[[Datei:Fortinet-1243.jpg]]

[[Datei:Fortinet-1244.jpg]]

User & Device > User > User Groups > Create New

[[Datei:Fortinet-1245.jpg]]

[[Datei:Fortinet-1246.jpg]]

'''User/Gruppe also4guest'''

[[Datei:Fortinet-1245.jpg]]

[[Datei:Fortinet-1247.jpg]]

Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:

[[Datei:Fortinet-1248.jpg]]

Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:

[[Datei:Fortinet-1249.jpg]]

Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Guest_Access]]

<big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:

WiFi Controller > WiFi Network > Create New

[[Datei:Fortinet-1250.jpg]]

[[Datei:Fortinet-1251.jpg]]

[[Datei:Fortinet-1252.jpg]]

Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:

[[FortiAP:FAQ#Konfiguration]]

<big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>

[[Datei:Fortinet-1253.jpg]]

[[Datei:Fortinet-1254.jpg]]
[[Datei:Fortinet-1255.jpg]]

Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

<big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]

[[Datei:Fortinet-1256.jpg]]

[[Datei:Fortinet-1257.jpg]]

<big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:

Firewall Objects > Address > Address > Create New

[[Datei:Fortinet-1258.jpg]]

[[Datei:Fortinet-1259.jpg]]

[[Datei:Fortinet-1258.jpg]]

[[Datei:Fortinet-1260.jpg]]

<big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

Policy > Policy > Policy > Create New

'''"only4also Firewall Policy Rule"'''

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1262.jpg]]

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1263.jpg]]

'''"also4guest Firewall Policy Rule"'''

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1264.jpg]]

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.4 in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.4. Für das Beispiel gehen wir von folgender Situation aus:

WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 198.18.3.1 | FAP 221C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 198.18.0.1
INTERNAL1

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem Forti Access Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den Forti Access Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet, muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Wir empfehlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IPv4 Range 198.18.3.0/24:

<big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>

Network> Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]

[[Datei:Fortinet-1697.jpg]]

Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimmt aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Restrict Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die Forti Access Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IPv4 über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem Forti Access Point zur Verfügung wie AC (Wireless Controller)
IPv4 Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen. Führe auf der
CLI folgendes aus:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

<big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des Forti Access Points'''</big>

Nun muss der Forti Access Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:

WiFi&Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Edit

[[Datei:Fortinet-1698.jpg]]

[[Datei:Fortinet-1699.jpg]]

Sobald der Forti Access Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:

[[Datei:Fortinet-1700.jpg]]

<big>'''Forti Access Point Firmware Upgrade durchführen'''</big>

Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Ein Firmware Upgrade wird folgendermassen durchgeführt:

WiFi & Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Upgrade

[[Datei:Fortinet-1701.jpg]]

Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem Forti Access Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:

# config wireless-controller wtp
# get

Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:

# edit [Serien Nummer des entsprechendne Forti Access Point zB "FP221C3X14001296"]
# set override-allowaccess [enable|disable]
# set allowaccess [telnet | http | https | ssh]
# end

Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:

# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point; Ersichtlich über "Managed FortiAPs"]
FP221C3X14001296 login: admin

BusyBox v1.15.0 (2015-07-31 17:21:29 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:

# factoryreset

<big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"</big>

'''Konfiguration des Users für "only4also"'''
User & Device > User Definition > Create New
[[Datei:Fortinet-1702.jpg]]

[[Datei:Fortinet-1703.jpg]]

Beim Schritt 3 "Contact Info" Next anwählen.

[[Datei:Fortinet-1704.jpg]]

'''Konfiguration der Gruppe für "only4also"'''
User & Device > User Groups > Create New
[[Datei:Fortinet-1705.jpg]]

'''Gruppe also4guest'''
User & Device > User Groups > Create New
[[Datei:Fortinet-1706.jpg]]

Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden.
Dies erfolgt über das folgende Menu: User & Device > Guest Management > Create New

Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:

[[Datei:Fortinet-1707.jpg]]

Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen:

[[Datei:Fortinet-1708.jpg]]

[[Datei:Fortinet-1709.jpg]]

Weitere detailliert Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Guest_Access]]

<big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:

'''SSID "only4also"
WiFi & Switch Controller > SSID > Create New
[[Datei:Fortinet-1710.jpg]]
[[Datei:Fortinet-1711.jpg]]

'''SSID "also4guest"
WiFi & Switch Controller > SSID > Create New
[[Datei:Fortinet-1712.jpg]]
[[Datei:Fortinet-1713.jpg]]

Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:

[[FortiAP:FAQ#Konfiguration]]

<big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>

[[Datei:Fortinet-1714.jpg]]

[[Datei:Fortinet-1715.jpg]]

Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

<big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>

WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]

[[Datei:Fortinet-1721.jpg]]

<big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:

Policy & Objects > Addresses > Create New > Adress

[[Datei:Fortinet-1718.jpg]]

Alle weiteren Adressobjekte analog erfassen. (net-only4also-192.168.4.0-24 und net-local-lan-198.18.0.0-24))

<big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

'''"only4also Firewall Policy Rule"'''
Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-1719.jpg]]

'''"also4guest Firewall Policy Rule"'''
Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-1720.jpg]]

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

== Setup ==

=== Wie kann ich per "telnet/ssh" auf einen Forti Access Point verbinden wenn dieser über keinen Consolen Port verfügt? ===

Wenn ein Forti Access Point zB FAP-21D über keinen Consolen Port verfügt kann man dennoch über "telnet/ssh" (SSH ab FortiGate/FortiAP FortiOS 5.4.1) auf den Forti Access Point zugreifen um zB ein "debug" auszuführen oder eine lokale Konfiguration auf dem Forti Access Point durchzuführen. Die Funktion "telnet/ssh" muss vorgängig auf dem Fortigate Wireless Controller freigeschaltet werden. Dies bedeutet: ein direkter Zugriff per "telnet/ssh" auf den Forti Access Point ist nicht möglich. Der Zugriff eines "telnet/ssh" erfolgt über die Fortigate CLI oder über das Mgmt. Web Interface der FortiGate anhand des CLI Funktion für einen Forti Access Point. Um die Funktion für "telnet/ssh" freizuschalten auf dem FortiGate Wirless Controller kann dies entweder für FortiOS 5.0/5.2 sowie 5.4 für einen Forti Access Point erfolgen oder unter FortiOS 5.4 für ein WTP Profile. Um "telnet/ssh" für einen Forti Access Point zu aktivieren führe ein Login durch auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:

'''Aktiviere "telnet" und/oder "http" im WTP Profile (FortiOS 5.4)'''

# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile an]
# set allowaccess [telnet | http | https | ssh]
# end

Das entsprechende WTP Profile muss nun dem entsprechenden Forti Access Point zugewiesen sein damit
die Aktivierung von "telnet/ssh" und/oder "http/https" erfolgt. Danach kann über folgende Position
eine CLI geöffnet werden:

WiFi Controller > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste] > Edit in CLI

Wenn der Zugriff für "telnet/ssh" über den FortiGate Wireless Controller resp. CLI erfolgen soll muss
und die entsprechende IPv4 des Forti Access Point umbekannt ist siehe nachfolgender Absatz für FortiOS
5.0/5.2.

'''Aktiviere "telnet" im WTP(FortiOS 5.0/5.2)'''

Ueberprüfe über "wtp" welche Forti Access Points existieren:

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

Ueberprüfe über "diagnose wireless" welche IP ein bestimmter Access Points benutzt:

# diagnose wireless wlac -c wtp [Gebe den entsprechenden Forti Access Point an]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------

Editiere den entsprechenden Forti Access Point auf dem "telnet" freigeschaltet werden soll und aktiviere den Zugriff:

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set login-enable enable
# end

Für FortiOS 5.4 existiert dieses Kommando "login-enable" nicht mehr. Ein Zugriff für "telnet/ssh" und/oder "http/https" kann
dennoch über "wtp" für einen entsprechenden Forti Access Point freigeschaltet werden und wird folgendermassen
durchgeführt:

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

Durch diese Konfiguration wird ein Neustart des Forti Access Point durchgeführt!

Teste den Zugriff per "telnet/ssh" auf den entsprechenden Access Point:

# exec [telnet | ssh] 193.193.135.71
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

#

Wenn "ssh" benutzt wird ist folgendes berücksichtigen: Wenn ein das "default" Passwort auf einem Forti Access Point gesetzt ist dh. also kein Passwort dann erscheint durch nachfolgenden Befehl kein Login Prompt sondern es wird direkt ein Login durchgeführt:

# execute ssh [IPv4 Adresse des Forti Access Point]
Warning: Permanently added '[IPv4 Adresse]' (RSA) to the list of known hosts.

Es wird somit im Hintergrund effektiv folgender Befehl ausgeführt:

# execute ssh admin@[IPv4 Adresse des Forti Access Point]

Da kein Passwort gesetzt wurde auf dem Forti Access Point wird direkt der Standard User "admin" benutzt für das Login. Das ist der Grund wieso kein Login Prompt erscheint. Somit hat man die Wahl entweder den User "admin" im Kommando mitzugeben oder nicht. Ist ein Passwort gesetzt auf dem Forti Access Point und der User "admin" wird mit dem Kommando migegeben erscheint nur die Passwort abfrage. Wir der User mit gesetzen Passwort auf dem Forti Access Point nicht mitgegeben erscheint der Login Prompt für die Eingabe des Users und Passworts. Wie schon erwähnt gibt es neu ab FortiOS 5.2 die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist die Option "set login-enable enable" oder für FortiOS 5.4 "override-allowaccess" und/oder innerhalb eines WTP Profiles "allowaccess". Werden diese Optionen für einen Zugriff über "telnet" nicht aktiviert sei es für FortiOS 5.0/5.2 sowie für 5.4, steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen führe folgendes aus:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick] > [Connect to CLI]

[[Datei:Fortinet-1292.jpg]]

[[Datei:Fortinet-1293.jpg]]

=== Was ist die Default IPv4 Adresse für einen Forti Access Point und wie kann ich mich auf diese IPv Adresse verbinden? ===

Wenn ein Forti Access Point gestartet wird, reagiert auf Netzwerkebene der Forti Access Point folgendermassen:

• Der Forti Access Point sendet einen DHCP Anfrage in das Segment! Wird diese DHCP Anfrage beantwortet wird das
"wan" Interface des Forti Access Point anhand der Informationen des DHCP Server konfiguriert!

• Beantwortet "Kein" DHCP Server die Anfrage des Forti Access Point so wird auf dem Interface des Forti Access
Points die "default" IPv4 Adresse konfiguriert:

192.168.1.2/24

Somit kann man sich auf einen Forti Access Point folgendermassen verbinden sofern der Forti Access Point betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):

1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):

192.168.1.1 255.255.255.0

2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)

3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):

http://192.168.1.2

Möchte man sich auf den Forti Access Point verbinden jedoch wurde das Interface auf "Static" konfiguriert und die IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults gesetzt werden. Weitere Informationen wo sich der "reset button" bei den verschiedenen Modellen befindet, kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:

[[Fortinet:ProduktInfo#FortiAP]]

=== Wie kann ich auf einem Forti Access Point für das Netzwerk Interface eine statische IPv4 Adresse konfigurieren? ===

Wenn man einen Forti Access Point manuell dh. mit einer statischen IPv4 Adressen konfigurieren möchte so kann dies über CLI sowie über das Mgmt. Web Interface durchgeführt werden. Um die Konfiguration durchzuführen muss auf die Standard IPv4 Adresse des Forti Access Point's zugegriffen werden. Wie dies durchzuführen ist siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um die Konfiguration einer statischen IPv4 Adresse über Mgmt. Web Interface des Forti Access Point durchzuführen gebe folgende Adresse in den Browser ein:

http://192.168.1.2

Danach kann über das Mgmt. Web Interface die Konfiguration durchgeführt werden. Um die Konfiguration einer statischen IPv4 Adresse für den Forti Access Point auf CLI durchzuführen muss "telnet" Zugriff für den Forti Access Point aktiviert werden. Die Aktivierung für den "telnet" Zugriff kann über das Mgmt. Web Interface durchgeführt werden. Um nachträglich die Konfiguraiton auf der CLI des Forti Access Point durchzuführen gebe folgendes ein:

# cfg –a AP_IPADDR=[Gebe eine enstprechende IPv Adresse an zB "192.168.1.2"]
# cfg –a ADDR_MODE=STATIC
# cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IPv ADresse zB "255.255.255.0"]
# cfg -a DNS_SERVER=[DNS Server IPv4 Adresse]
# cfg -c

Um die entsprechende Konfiguration nachträglich zu überprüfen gebe folgendes ein:

# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138

Weitere lokale Konfigurations Möglichkeiten auf dem Forti Access Point können anhand des folgenden Befehls aufgelistet werden:

# cfg -h

=== Wie kann ich die FortiGate Wireless Controller IPv4 Adresse für einen Forti Access Point über DHCP Server zuweisen? ===

Wenn einem Forti Access Point dessen FortiGate Wireless Controller IPv4 Adresse über DHCP Server zugewiesen werden soll kann dies über die DHCP Option "138" durchgeführt werden. Dies bedeutet: Wenn für die diese IPv4 Adresse des FortiGate Wireless Controllers ein bestehender DHCP Server benutzt wird muss in diesem die IPv4 Adresse als Option "138" gesetzt werden sowie auf dem entsprechenden Forti Access Point verifiziert werden ob diese Option "138" korrekt gesetzt ist. Dies wird lokal auf der CLI des Forti Access Point durchgeführt:

'''Auslesen der momentaner Netzwerk Konfig:'''

# cfg -s

'''Konfiguration der DHCP Option:'''

# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
# cfg -c

Unter normalen Umständen empfehlen wir den DHCP Server auf dem FortiGate Device zu benutzen. Dadurch muss die Option "138" nicht gesetzt werden, denn im DHCP Server auf dem FortiGate Device kann anhand "wifi-ac1" die IPv4 Adresse des FortiGate Wireless Controller direkt konfiguriert werden. Zu "failover" Zwecken stehen 3 "wifi-ac" zur Verfügung. In diesem Zuge empfehlen wir ebenfalls die Konfiguration des DNS Server IPv4 Adresse sowie die IPv4 Adresse des NTP Servers:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

Nachträglich kann die Konfiguration resp. die Zuweisung der IPv4 Adresse über Kommandozeile auf dem Forti Access Point folgendermassen kontrolliert werden:

# cw_diag -c wtp-cfg

=== Wie kann ich auf einem Forti Access Point auf einer SSID eine "MAC Reservation + Access Control" Konfigurieren? ===

Eine "MAC Reservation + Access Control" kann unter FortiOS 5.0/5.2 sowie 5.4 innerhalb des DHCP Servers, der für die SSID aktiviert wird, konfiguriert werden. Dies ist jedoch nur dann möglich, wenn die entsprechende SSID im "tunneling" Mode ist und nicht für "local bridge" konfiguriert wurde, da im Bridge Mode kein DHCP Server aktiviert werden kann (local break-out). Die Konfiguration kann über Mgmt. Web Interface sowie auf CLI durchgeführt werden. Dabei ist folgendes Wichtig:

Ein DHCP Server eines FortiOS ist per Standard im "assign" Mode und bedeutet: Jede Anfrage wird vom DHCP Server mit einer
entsprechender IPv4 Adresse beantwortet. Möchte man nur Anfragen beantworten betreffend definierter MAC Adressen, muss der
DHCP Server auf "block" gesetzt werden. Im Standard "assign" Mode stehen folgende Funktionen innerhalb des DHCP Servers für
die IPv4 Adressse sowei MAC Adressen zur Verfügung:

• Reserve IP
• Assign IP
• Block

Möchte man die "MAC Reservation + Access Control" unter Mgmt. Web Interface konfigurieren, findet man die entsprechenden Optionen unter folgender Position:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [DHCP Server] > [Addtional DHCP Options]

[[Datei:Fortinet-1693.jpg]]

[[Datei:Fortinet-1694.jpg]]

Möchte man diese Konfiguration unter CLI durchführen, führe folgendes durch:

# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# set description [Definiere einen entsprechenden Kommentar für DHCP Server]
# set status [disable | enable]
# set mac-acl-default-action [assign | block]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# set domain [Setze eine entsprechende Domain zB "local.intra"]
# set wins-server1 [IPv4-Adresse für Win Server 1]
# set wins-server2 [IPv4-Adresse für Win Server 1]
# set default-gateway [IPv4-Adresse für Default Gateway]
# set next-server <IPv4-Adresse für Bootstrap Server]
# set netmask [IPv4-Netmask für DHCP Server IP Range]
# set interface [Name des Interface für den DHCP Server zB "internal"]
# config ip-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [IPv4 Start Adresse für den DHCP Bereich]
# set end-ip [IPv4 End Adresse für den DHCP Bereich]
# end
# set timezone-option [disable | default | specify]
# set timezone [01 | 02 | 03 | 04 | 05 | 81 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 74 | 14 | 77 | 15 | 16 | 17 | 18 | 19 | 20 | 75 | 21 | 22 | 23 | 24 | 80 | 79 | 25 | 26 | 27 | 28 | 78 | 29 | 30 | 31 | 85 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 83 | 84 | 40 | 41 | 42 | 43 | 39 | 44 | 46 | 47 | 51 | 48 | 45 | 49 | 50 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 62 | 63 | 61 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 00 | 82 | 73 | 86 | 76]
# config exclude-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [Definition der IPv4 Start Adresse für den DHCP Exclude Bereich]
# set end-ip [Definition der IPv4 End Adresse für den DHCP Exclude Bereich]
# end
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end

Eine weitere Möglichkeit ab FortiOS 5.0 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand der "Device Detection" Funktion oder eigene definierten Devices innerhalb der "Device Detection" Funktion, kann der der Zugriff eingeschränkt werden. Um die Funktion "Device Detection" zu aktivieren, muss innerhalb der SSID resp. des "virtuellen" Interfaces das für die SSID konfiguriert wird, diese Funktion aktiviert werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [Aktiviere "Device Detection"]

Durch diese Funktion "Device Detection" wird versucht jeden Device in diesem Segment der das Interface der FortiGate benützt zu identifizieren. Um "Device Detection" auf der CLI für die SSID zu aktivieren führe folgendes aus:

# config system interface
# edit [Name des entsprechenden Interfaces resp. SSID]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end

Es wird empfohlen die "device-identification-active-scan" nicht per Standard zu aktivieren. Um innerhalb der "Device Detection" Funktion einen eigenen Device zu definieren dh. nicht über die auf dem Interface aktivierte Funktion "device-identification", kann dieser Device innerhalb des DHCP Server auf der CLI konfiguriert werden:

# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# config user device
# edit [Vergebe einen entsprechenden Namen für den Device]
# set mac [MAC Adresse für den entsprechenden Device]
# end

Für diese definierten Devices können ebenfalls entsprechenden Gruppen angelegt werden:

# config user device-group
# edit [Name für die Device Gruppe]
# set member [Wähle die entsprechenden Member]
# end

Wieder eine andere Möglichkeit ist über eine entsprechende Firewall Policy Rule für die SSID anhand der "Device Detection" Funktion den Zugriff einzuschränken:

Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > [Device Identiy | Source Device Type]

Unter FortiOS 5.4 existiert innerhalb der Firewall Policy Rule keine entsprechende Position, sondern der entsprechende Device muss über zB die Source eingebunden werden. Wähle dazu:

Policy & Objects > IPv4 Policy > Create New

[[Datei:Fortinet-1695.jpg]]

=== Wie kann ich über einen Forti Access Point alle Wireless Devices in dessen Wirkungsgrad erkennen und auflistet? ===

Ein Forti Access Point kann anhand der Funktion "station-locate" so konfiguriert werden, dass dieser Forti Access Point für dessen Umgebung alle Wireless Devices auflistet der dieser Erkennt. Dabei werden sehr viele Informationen für diese Wireless Devices aufgeführt die auch für das "location tracking" benutzt wird. Da die Funktion relativ Performance Intensiv ist, sollte diese Funktion nur zu Analyse benutzt werden und nicht Permanent ausser es wird anhand des "Euclid Analytics Service" Format ein "location tracking" benutzt. Die Funktion kann einzeln für einen entsprechenden "radio's" aktiviert werden dh. für 5 GHz und/oder 2.4 GHz. Aktiviert wird die Funktion in dem entsprechenden WTP Profile das dem Forti Access Point zugewiesen wird:

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profil]
# config radio-1
# set station-locate enable
# end
# config radio-2
# set station-locate enable
# end
# end

Die Informationen die im Hintergrund vom Wireless Controller über den Forti Access Point "radio" gesammelt werden sind umfänglich! Nachträglich kann man anhand des "diagnose" Kommando Kommando auf der CLI die gesammelten Informationen aus dem Wireless Controller auslesen:

# diagnose wireless wlac -c sta-locate

sta_mac vfid rid base_mac freq_lst frm_cnt frm_fst frm_last intv_sum intv2_sum intv3_sum intv_min intv_max signal_sum signal2_sum signal3_sum sig_min sig_max sig_fst sig_last ap
00:24:d7:e2:ea:08 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 3 164 44 120 7200 432000 59 60 -246 20190 -1658532 -85 -79 -79 -85 0

Das Format das durch "sta-locate" produziert wird, ist im "Euclid Analytics Service" Format. Weitere Informationen dazu siehe:

http://euclidanalytics.com/products/technology/

Um die Informationen für "sta-locate" zu löschen kann anhand des "diagnose" Kommando dies durchgeführt werden:

# diagnose wireless wlac -c sta-locate reset

Unter FortiOS 5.4 wurde zusätzlich eine Funktion implementiert, die das löschen der Informationen regelmässig übernimmt. Dies bedeutet: Anhand eines "timers" kann für diese Funktion ein "reset" automatisiert durchgeführt werden. Dabei ist jedoch folgendes zu beachten:

Die Funktion "sta-locate" erstellt für einen Host/Client erstmalig einen Log Eintrag dh. wenn der Host/Client in einem
späteren Zeitpunkt abermals erkannt wird, so wird kein weitere Log Eintrag erstellt für "sta-locate". Um die vorhandenen
Informationen zu löschen kann ein "timer" benützt werden 1 and 86400 seconds (24 hours) wobei nicht empfohlen ist den
"timer" kleiner als 30 Sekunden zu setzen da dies doppelte Einträge für den Host/Client produzieren kann. Der "timer"
steht per Standard auf "1800" Sekunden was 30 Minuten entspricht!

# config wireless-controller timers
# set sta-locate-timer [1 and 86400 seconds (24 hours); Standard 1800]
# end

=== Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IPv4 Adress Range benutzt wir im LAN? ===

Eine FortiOS kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung resp. "subnet-overlap" von IPv4 Range's/Subnet auf Interface's konfiguriert werden da dies durch die Funktion "allow-subnet-overlap disable" verhindert wird:

# config system settings
# set allow-subnet-overlap [enable | disable]
# end

Möchte man ein "subnet-overlap" für eine SSID konfigurieren, sollte dies gut überlegt sein. Dies bedeutet: Soll ein Forti Access Point über eine SSID den Zugriff in das interne LAN Segment direkt ermöglichen, kann zB anstelle eines "subnet-overlap" die "local bridge" Funktion für eine SSID benutzt werden. Dadurch wird ermöglicht, dass das Interface auf dem Forti Access Point in den Bridge Modus versetzt wird, und die Host/Client die über eine entsprechende SSID verbinden, eine IPv4 Adresse vom DHCP Server zugewiesen erhalten der im internne LAN Segment den Host/Client zur Verfügung steht. In so einem Scenario muss jedoch der Forti Access Point mit dem internen Segment LAN direkt verbunden werden. Wenn dennoch ein "subnet-overlap" Konfiguration auf einer SSID konfiguriert wird und die entsprechende Option "allow-subnet-overlap" wurde nicht aktiviert kommt es zu einer Fehlermeldung:

Subnets overlap between 'port1' and the primary IP of 'port1'
object set operator error, -54 discard the setting

IP address is in same subnet as the others.

Wenn dennoch ein "allow-subnet-overlap" auf enable gesetzt werden möchte, kann dies über CLI auf System Ebene durchgeführt werden. Da es sich bei dieser Funktion um eine Option auf System Ebene handelt möchten wir nochmals daraufhinweisen dies gut zu überlegen da durch die Aktivierung dieser Option eine "loop" Gefahr besteht!

=== Kann ich für einen Forti Access Point die LED's deaktivieren damit diese bei Gebrauch nicht mehr blinken? ===

Ab FortiOS 5.2.3 ist dies möglich und wird benützt um die Forti Access Point möglichst zB für Hotels dezent erscheinen zu lassen. Diese Funktion steht nicht für jeden Forti Access Point zur Verfügung dh. zB für FAP-221C steht diese Funktion zur Verfügung. Wenn die "LED" auf einem Forti Access Point deaktiviert werden sollen, kann dies über den FortiGate Wireless Controller auf CLI im WTP Profile für den Forti Access Point durchgeführt werden oder über den FortiGate Wireless Controller für den Forti Access Point selber:

# config wireless-controller wtp
# edit [Serien Nummer des entsprechenden Forti Access Point]
# set override-led-state [enable | disable]
# set led-state [enable | disable]
# end

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profiles]
# set led-state [enable | disable]
# end

Auf der CLI für einen Forti Access Point ist die Konfiguration ebenfalls möglich. Dabei ist jedoch zu berücksichtigen wenn dies durchgeführt wird, dass der FortiGate Wireless Controller diese lokal durchgeführte Konfgiguration auf dem Forti Access Point anhand der Konfiguration für den Forti Access Point oder anhand des WTP Profiles nicht überschreibt. Dieses Verhalten kann anhand der "LED_STATE" Konfiguration lokal auf dem Forti Access Pont konfiguriert werden. Erstelle eine "telnet" Verbindung auf den Forti Access Point. Wie dies durchzuführen ist siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Danach kann lokal auf dem Forti Access Point folgendes durchgeführt werden:

# cfg -a LED_STATE=[0|1|2]
# cfg -s

Die Werte für "LED_STATE" haben folgende Bedeutung:

0 = Die LED's sind aktiviert.
1 = Die LED's sind deaktiviert.
2 = Ob die LED's aktiviert und/oder deaktiviert sind wird über den Wirless Controller der FortiGate gesteuert.

Per Standard ist der Wert auf "2" gesetzt dh. die Konfiguration über den Wireless Controller anhand der Option "led-state" aktiviert und/oder deaktiviert die LED's auf dem Forti Access Point. Werden die Werte "0" oder "1" gesetzt werden die Einstellung über den FortiGate Wireless Controller ignoriert!

=== Wie kann ich die automatische Registration eines Forti Access Point auf einem FortiGate Wireless Controller verhindern? ===

Wenn ein Forti Access Point in einem IPv4 Subnet/Segment der FortiGate in Betrieb genommen wird so benützt dieser Forti Access Point den "autodiscover" Modus um einen Wireless Controller zu finden. Ist auf dem FortiGate Device in diesem Segement und für das Interface CAPWAP aktiviert so antwortet der FortiGate Wireless Controller auf diese CAPWAP (UDP-5246) Anfragen. Dadurch erscheint unter den "Managed FortiAPs" im Mgmt. Web Interface der Forti Access Point. Danach kann der Forti Access Point durch "Authorized" Authorisiert werden. Wenn man jedoch dies aus irgendwelchen Gründen verhindern möchte, fragt sich wie diese "automatisch Registration" dh. das die Forti Access Point unter "Managed FortiAPs" erscheinen verhindert werden kann. Dazu gibt es verschiedenen Möglichkeiten/Konfiguration die durchgeführt werden können zB:

• Wenn über das Segment in dem sich die Forti Access Point keine "CAPWAP" Anfragen beantwortet werden sollen kann "CAPWAP" auf diesem
Segment resp. Interface deaktiviert werden:

# config system interface
# edit [Name des entsprechenden Interface zB "dmz"]
# unselect capwap
# end

• Wenn auf dem FortiGate Device keine Forti Access Point verwaltet/konfiguriert werden sollen, kann der FortiGate Wireless Controller
komplett deaktiviert werden:

# config system global
# set wireless-controller [enable | disable]
# end

• Befinden sich im Segment verschiedenen Forti Access Point dh. solche die über den Wireless Controller der FortiGate verwaltet werden
sollen und solche die nicht über die FortiGate verwaltet werden sollen, müssen alle Forti Access Point die nicht über die FortiGate
die das Segment zur Verfügung stellt, lokal so konfiguriert werden damit diese Anfragen zu einemn spezifischen Wireless Access Point
Controller senden und nicht im "autodiscovery" Modus (Broadcast, Multicast, Unicast). Dies wird erreich, in dem auf den entsprechenden
Forti Access Point Controller folgendes konfiguriert wird:

Verbinde dich per "telnet" auf den Forti Access Point Controller. Wie dies durchzuführen ist siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Ausgehend davon das "telnet" Zugriff auf einem Forti Access Point aktiviert ist, kann anhand eines CLI "Widgets" über das Mgmt. Web
Interface auf den Forti Access Point zugegriffen werden. Dazu wähle:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste "CLI"]

Danach muss folgendes konfiguriert werden um den Forti Access Point so zu konfigurieren, dass dieser "statisch" nur noch Anfragen zu
einem bestimmten FortiGate Wireless Controller anhand dessen IPv Adresse sendet:

# cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
# cfg -c
# cfg -s

Für "failover" Zwecke stehen bis zu 3 "AC_IPADDR" zur Verfügung. Um die Anfragen "statisch" durchzuführen dh. nicht mehr per Broadcast,
Multicast sowie Unicast konfiguriere folgendes:

# cfg -a AC_DISCOVERY_TYPE=1
# cfg -c
# cfg -s

• Unter FortiOS 5.4 gibt es eine weitere Möglichkeit die "automatische" Registrierung zu verhindern dh. durch nachfolgenden Befehl wird
keine "automtische" Registrierung mehr ausgeführt. Die Funktion wird komplett deaktiviert:

# config system interface
# edit [Name des entsprechenden Interfaces zB "dmz"]
# set ap-discover [enable | disable]
# end

Wird diese Funktion "ap-discover" deaktiviert, können Forti Access Point nur noch Registriert werden, und erscheinen unter "Managed FortiAPs",
wenn diese vorgängig anhand der Serien Nummer Registriert werden. Dies wird folgendermassen durchgeführt:

WiFi Controller > Managed FortiAPs > Create New > [Gebe die entsprechende Serien Nummer ein des FortiAP]

In diesem Zuge kann bereits ein entsprechendes WTP Profile zum Forti Access Point hinzugefügt werden. Bringt man den entsprechenden Forti
Access Point in dem Segment "online" in dem "CAPWAP" für das entsprechenden FortiGate Interface aktiviert wurde, wird dieser Forti Access
Point automatisch "Authorized" mit dem zugewiesenen WTP Profile. Möchte man dies auf der Kommandozeile durchführen führe folgendes durch:

# config wireless-controller wtp
# edit [Serien Nummer des Forti Access Point]
# set name [Name des Forti Access Point zB "FAP-221C-1-UG"]
# set wtp-profile [Gebe ein entsprechendes vorhandenes WTP Profile an]
# end

== Upgrade ==

=== Wo finde ich den Upgrade Pfad um einen FortiAP upzugraden? ===

Unter folgendem Link findet man den Upgrade Pfad um einen FortiAP richtig upzugraden:

https://cookbook.fortinet.com/supported-upgrade-paths-fortiap/

=== Wie kann ich für einen Forti Access Point ein Firmware Upgrade durchführen? ===

Bevor ein Firmware Upgrade auf einen Forti Access Point durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Dies bedeutet: Vor einem Firmware Upgrade sollte die entsprechende Release Notes für die neue Firmeware des Forti Access Point konsultiert werden. Es muss zwingend der Upgradepfad beachtet werden:
http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachfolgender Artikel berücksichtigt werden:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Wenn verifiziert worden ist welche Firmware Version eingesetzt werden kann, stehen verschiedenen Möglichkeiten zur Verfügung ein Firmware Upgrade durchzuführen:

<big>'''Firmeware Upgrade über den FortiGate Wireless Controller'''</big>

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1237.jpg]]

[[Datei:Fortinet-1238.jpg]]

[[Datei:Fortinet-1239.jpg]]

<big>'''Firmeware Upgrade über Forti Access Point anhand CLI und TFTP Server'''</big>

# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]

Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

<big>'''Firmeware Upgrade über Forti Access Point Web Mgmt. Interface Lokal und/oder Remote'''</big>

Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end

Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end

Wenn ein Firmware Upgrade eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem
Host/Client verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender
Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:

# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:

# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c

Danach kann ein Upgrade lokal auf dem Forti Access Point durchgeführt werden über folgende Position:

[[Datei:Fortinet-1265.jpg]]

<big>'''Bulk Firmeware Upgrade über den FortiGate Wireless Controller anhand CLI und TFTP Server'''</big>

Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F]]

=== Wo finde ich die Firmware für die FortiAP E-Serie? ===
Wenn man für folgende Produkte die Firmware vom Support Portal herunterladen will, findet man diese nicht wie gewohnt im Menu FortiAP sonder im Menu ''FortiAP-W2''!

[[Datei:Fortinet-1909.jpg]]

'''Betroffe FortiAP:'''
* FAP-221E
* FAP-222E
* FAP-223E
* FAP-224E
* FAP-421E
* FAP-423E

=== Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen? ===

Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll, kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet: anhand einer Firmeware die für spezifische Forti Access Point's auf den FortiGate Wireless Controller geladen wird, werden alle diese spezifischen Forti Access Point durch ein Kommando angewiesen sich vom FortiGate Wireless Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen müssen gegeben sein:

• Verifizierung der eingesetzten Firmeware und der neuen Firmware gemäss Release Notes dh wie und ob ein Upgrade möglich ist
für die eingesetzte Firmware. Den Upgradepath findet man unter http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachträglicher Artikel konsultiert werden:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]])

• Installiere einen TFTP Server (FTP ebenfalls möglich) der für den FortiGate Wireless Controller erreichbar ist um das spezifische Image
für die Forti Access Points vom TFTP Server zum FortiGate Wireless Controller raufzuladen. Als TFTP Server kann zB folgendes eingesetzt
werden:

SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx

Wenn die neue Firmware die eingesetzt werden soll für die Forti Access Points anhand der Releaste Notes verifiziert wurde und der Upgradpath auf http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ beachtet wurde, dann führe folgendes durch:

1. Lade das entsprechende Image für den Bulk Upgrade der Forti Access Points in das "root" Verzeichnis des TFTP Servers zB "image.out"!
2. Führe auf der FortiGate Kommandozeile folgendes aus:

# execute wireless-controller upload-wtp-image [tftp | ftp] [Name des Images auf dem TFTP Servers zB "image.out] [IPv4 Adresse des TFTP Servers]

Durch diesen Befehl wird der FortiGate Wireless Controller angewiesen vom TFTP Server das entsprechende "image.out" runterzuladen. Pro
Bulk Update Prozess kann nur ein Image eines spezifischen Forti Access Point Modell's auf den FortiGate Wireless Controller geladen
werden!

3. Nachdem das entsprechende Image vom TFTP Server runtergeladen wurde kann verifiziert werden ob sich das Image auf dem FortiGate
Wireless Controller befindet:

# execute wireless-controller list-wtp-image

4. Nun kann ein Bulk Upgrade über den FortiGate Wireless Controller ausgeführt werden. Dies bedeutet: Durch das nachfolgende Kommando werden
die Forti Access Points angewiesen sich das Image auf dem FortiGate Wireless Controller runter zu laden und das Upgrade durchzuführen.

# execute wireless-controller reset-wtp [Gebe an "all" oder bei unterschiedlichen Modellen die spezifischen Serien Nummern der Forti Access Points für das Upgrade]

Um die verschiedenen Serien Nummern der Forti Access Points auf dem FortiGate Wireless Controller zu verifizieren kann folgender Befehl benutzt werden:

# config wireless-controller wtp
# get

5. Nach dem das Bulk Upgrade durchgeführt wurde kann das spezifische Image vom FortiGate Wireless Controller gelöscht werden:

# execute wireless-controller delete-wtp-image

=== Kann für einen Forti Access Point basierend auf Firmeware 5.2 anhand einer Firmware 5.0 ein "Downgrade" durchführen? ===

Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:

Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
"verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.

Ab FortiOS 5.2.3 ist ein Downgrade auf FortiOS 5.0.x nicht mehr möglich. Aus diesem Grund ist es in jedem Fall zu empfehlen die entsprechenden Release Notes betreffend eine Upgrade sowie Downgrade zu konsultieren. Bevor ein Downgrade ausgeführt wird muss berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's mit FortiGate's basiernd auf FortiOS 5.0.9 und/oder 5.2 betrieben werden können. Nachfolgender Link gibt detaillierte Auskunft welche Versionen basiernd auf FortiGate 5.0 und/oder 5.2 eingesetzt werden können.

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

=== Kann für einen Forti Access Point basierend auf Firmeware 5.4 anhand einer Firmware 5.2 ein "Downgrade" durchführen? ===

Für jedes Downgrade wie Upgrade ist vorgehend die entsprechenden Release Notes zu konsultieren ob dies ermöglich wird oder nicht. Für Forti Access Points basierend auf FortiOS 5.4 ist folgendes zu berücksichtigen:

Ein Upgrade auf FortiOS 5.4 für Forti Access Points kann ab FortiOS 5.2.4 durchgeführt werden jedoch ein Downgrade für Forti Access
Points basierend auf FortiOS 5.4 ist gemäss Release Notes nicht möglich. Forti Access Points basierend auf FortiOS 5.4 können nur mit
FortiGates betrieben werden basierend auf FortiOS 5.4.

== Backup ==

=== Wie kann ich für einen Forti Access Point Konfiguration ein Backup erstellen? ===

Wenn ein Backup einer Forti Access Point Konfiguration durchgeführt wird muss berücksichtigt werden, dass dieses Backup nur die lokale Konfiguration des Forti Access Point enthält dh. dieses Backup enthält nicht die Konfiguration zB der SSID, WTP Profiles usw. Ein Backup eines Forti Access Point's kann über Mgmt. Web Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Mgmt. Web Interface wird im Hintergrund folgender Befehl ausgeführt:

<big>'''Backup der Forti Access Point Konfiguration über CLI'''</big>

# cfg -e
BAUD_RATE=9600
ADMIN_TIMEOUT=5
AP_IPADDR=192.168.1.2
AP_NETMASK=255.255.255.0
IPGW=192.168.1.1
AP_MODE=0
DNS_SERVER=208.91.112.53
AP_MGMT_VLAN_ID=0
ADDR_MODE=DHCP
STP_MODE=0
TELNET_ALLOW=1
HTTP_ALLOW=1
AC_DISCOVERY_TYPE=0
AC_IPADDR_1=192.168.1.1
AC_HOSTNAME_1=_capwap-control._udp.example.com
AC_CTL_PORT=5246
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138
AC_DATA_CHAN_SEC=2
MESH_AP_TYPE=0
MESH_AP_SSID=fortinet.mesh.root
MESH_AP_BSSID=
MESH_AP_PASSWD=fortinet.mesh.root
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100

<big>'''Backup der Forti Access Point Konfiguration über Web Mgmt. Interface'''</big>

Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end

Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end

Wenn ein Backup eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem Host/Client
verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:

# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:

# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c

Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden und
ein manuelles Backup unter folgender Position ausgeführt werden:

Status > System Configuration > Last Backup

Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese
verschiedenen Positionen erläutert:

WTP_NAME=FP221B3X12001413 [Hostname Forti Access Point]
ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
AC_CTL_PORT=5246 [CAPWAP Comunication Port]
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
MESH_AP_TYPE=0 [1 = Mesh Type "leave"; 2 = Mesh Type root]
MESH_AP_SSID=fortinet.mesh.root [Mesh SSID Name]
MESH_AP_BSSID= [Mesh SSID Broadcast Name]
MESH_AP_PASSWD=fortinet.mesh.root [Mesh SSID Passwort]
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100

Somit kann dieses Backup File herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und dieses als Restore wieder einzuspielen!

== Local Bridging ==

=== Wie konfiguriere ich für eine Forti Access Point ein Wireless "local-bridging"? ===

Wenn für einen Forti Access Point eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:

• Tunnel to Wireless Controller
• Local bridge with FortiAP's Interface

Zusätzlich steht die Funktion "Mesh Downlink" zur Verfügung die jedoch nur im Zusammenhang mit "mesh" benutz wird. Wenn die Standard Konfiguration einer SSID benutzt wird dh. "Tunnel to Wireless Controller" so wird der Traffic des Host/Client über den CAPWAP (UDP-5246) Tunnel zum FortiGate Wireless Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen LAN/Segment's, in dem sich der Forti Access Point befindet, direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate Wireless Controller gesendet. Eine Ausnahme bildet die ab FortiOS 5.2 Funktion "Splitt Tunneling" die es erlaubt einen spezifischen IPv4 Adress Range/Subnet von diesem Umstand auszunehmen. Weitere Informationen zu dieser "Split Tunneling" Funktion siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

Soll jedoch der Traffic direkt vom Forti Access Point Interface in das LAN/Segment erlaubt werden in dem sich die Forti Access Points befinden, muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum FortiGate Wireless Controller exisitert wird in dieser Situation nur zu Management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:

Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
die Verbindung zum FortiGate Wireless Controller so werden die Wireless Hosts/Clients nicht beinträchtigt da der Access Point
im Bridge Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!

Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:

# config wireless-controller vap
# edit [Name SSID Profile]
# set ssid [Name der SSID]
# set local-bridging [enable | disable]
# set vlanid [VLAN ID]
# set local-authentication enable
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# end

Sofern gewünscht kann eine VLAN ID für die SSID vergeben werden! Wenn der Traffic zwischen den Wireless Host/Client über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf "disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable", kann das Interface des Forti Access Point im Bridge Mode nicht mehr verhindern, dass Wireless Hosts/Clients über die gleiche SSID untereinander komunizieren. Wenn ein "local-bridging" auf einem FortiWiFi Device für deren interne "radio's" konfiguriert wird, erscheint folgende Fehlermeldung:

"Maximum number of entries has been reached"

Somit kann keine SSID auf einem FortiWifi Device für deren "radio's" auf "local-bridging" konfiguriert werden. Als Workaround für einen FortiWifi Device, kann jedoch eine SSID im "Tunnel Mode" konfiguriert werden ohne aktivierten DHCP Server auf der SSID. Danach kann diese SSID anhand eines Software Switches, der für Forti Access Points per Grundsatz nicht unterstützt wird, zum "internal" Interface hinzugefügt werden. Damit die Wireless Hosts/Client die auf die SSID verbinden eine IP zugewiesen bekommen, wird auf dem "Software Switch" ein DHCP Server aktiviert! Somit kann diese SSID auf dem FortiWifi Device zusammen mit dem "internal" Interface als lokales und gemeinsames LAN/Segment genutzt werden! Diese Konfiguration gilt nur im Zusammenhang mit FortiWiFi's und ist nicht im Zusammenhang mit Forti Access Points zu benutzen da "Software Switches" in Zusammenhang mit Forti Access Points nicht unterstützt werden. Werden auf dem FortiWifi Devices zusätzliche Forti Access Points betrieben, können diese wie üblich anhand "Local Bridging" konfiguriert werden!

=== Kann ich auf einem Forti Access Point für ein "local bridging" Broadcast/Multicast verhindern (susspression)? ===

Dies ist ab FortiOS 5.2.2 innerhalb einer SSID möglich. Dies wird über CLI folgendermassen konfiguriert:

# config wireless-controller vap
# edit [Name der SSID]
# set broadcastsuppression [dhcp-up | dhcp-down | dhcp-starvation | arp-known | arp-unknown | arp-reply | arp-poison | arp-proxy | netbios-ns | netbios-ds | ipv6 | all-other-mc | all-other-bc]
# end

Per Standard wird für die Funktion "broadcastsuppession" folgende Werte benutzt:

dhcp-up arp-known

Die Werte die unter "broadcastsuppresion" konfiguriert werden können haben folgende Bedeutung:

dhcp-up Suppress broadcast uplink DHCP messages.
dhcp-down Suppress broadcast downlink DHCP messages.
dhcp-starvation Suppress broadcast DHCP starvation req messages.
arp-known Suppress broadcast ARP for known wireless clients.
arp-unknown Suppress broadcast ARP for unknown wireless clients.
arp-reply Suppress broadcast ARP reply from wireless clients.
arp-poison Suppress ARP poison messages from wireless clients.
arp-proxy Reply ARP requests for wireless clients as a proxy.
netbios-ns Suppress NetBIOS name services packets with UDP port 137.
netbios-ds Suppress NetBIOS datagram services packets with UDP port 138.
ipv6 Suppress IPv6 packets.
all-other-mc Suppress all other multicast messages.
all-other-bc Suppress all other broadcast messages.

Grundsätzlich stet der Befehle "broadcastsuppression" auch für eine SSID zur Verfügung die "NICHT" als "Local Bridging" konfiguriert wurde (Tunnel to Wireless Controller). Die Erweiterung wurde jedoch "explizit" hinzugefügt für "Local Bridging" SSID's. Der Grund ist Folgende:

Wenn ein Forti Access Point als "local bridging" eingesetzt wird in eine Subnet zB /20 so ist der Broadcast Traffic der zusätzlich
auf dem Forti Access Point entsteht beträchtlich und beeinträchtigt somit die Performance des Forti Access Point durch die über
Broadcast gesendeten "frames" vom Subnet über den Forti Access Point zum Client. Durch die gesetzten Optionen werden "frames" nur
dann vom Forti Access Point zum Client (over the air) gesendet, wenn die "Destination IPv4" Adresse existiert ansonsten werden diese
verworfen. Im "Tunnel to Wireless Controller" Mode agiert der Forti Access Point in gleicher Weise, jedoch fungiert der Forti Access
Point als eine Art "ARP Proxy" und sendet ARP Anfrage nur zum Client (over the air) wenn der ARP Anfragen über "get sys arp" vorhanden
sind. Dies gilt nur innerhalb der gleichen SSID. Diese Funktion resp. Optionen sind nur in "high density" (Hohes Aufkommen von Clients
in grossen Netzwerken zB /20) Umgebungen zu benützen um die zusätzlicne "frames" zu verhindern (broadcast arp). Somit, unter normalen
Umständen ist diese Option auf den Standard Werten zu belassen dh. "dhcp-up sowie arp-known".

== VLAN ==

=== Kann ich für Forti Access Point SSID's "Dynamische VLAN's" vergeben und wie konfiguriere ich diese? ===

Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" zu einer SSID zu vergeben im Zusammenhang mit einem Radius Server zB FortiAuthenticator. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:

IETF 64 (Tunnel Type) = Muss auf VLAN gesetzt werden
IETF 65 (Tunnel Medium Type) = Muss auf 802 gesetzt werden
IETF 81 (Tunnel Private Group ID) = Muss auf die entsprechende VLAN ID gesetzt werden

Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig die nötigen Informationen nach erfolgreicher Radius Authentifizierung anhand Radius Attribute zu übermitteln. Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server, wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) über die SSID zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen, ist die Funktion unter der entsprechenden SSID generell zu aktivieren:

# config wireless-controller vap
# edit [Wähle den Namen der entsprechenden SSID]
# set dynamic-vlan [enable | disable]
# end

Um die VLAN Konfiguration lokal auf einem Forti Access Point auszulesen kann folgendes Kommando ausgeführt werden:

# cw_diag show wllbr

Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:

[[Datei:Dynamic VLANs.pdf]]

=== Kann ich auf einem Forti Access Point für eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"? ===

Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige LAN/Segment gesendet anstelle diesen über den Data Channel Enkapsuliert (CAPWAP) zum FortiGate Wireless Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern, muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Mgmt. Web Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann lokal auf dem Access Points über CLI folgender Befehl abgesetzt werden um die Konfiguration einzusehen:

# brctl show
# cat /proc/net/vlan/conf

Die Konfiguration einer VLAN ID für eine SSID kann ab FortiOS 5.2 über Mgmt. Web Interface durchgeführt werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSDI] > Optional VLAN ID

[[Datei:Fortinet-1266.jpg]]

Möchte man die VLAN ID für eine SSID die auf "Local bridge with FortiAP's Interface" konfiguriert wurde über CLI konfigurieren führe folgendes durch:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set vdom root
# set ssid [Name der SSID]
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# set local-bridging [enable | disable]
# set vlanid [Gebe die entsprechende VLAN ID an]
# end

== Mesh/Bridging ==

=== Wie konfiguriere ich für einen Forti Access Point ein Wireless "Mesh/Bridging Netzwerk" (manuell/automatisch)? ===

Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:

'''NOTE''' Fortinet hat speziell betreffend "Mesh" ein spezielle Handbook's Released, dass auf die Konfiguration von "Mesh" eingeht.
Aus diesem Grund lohnt sich ebenfalls diese Handbook's einzusehen:

[[FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

'''Wireless Mesh (No VLAN Support)'''
Ein Access Point - auch genannt "root" Mesh Access Point - ist direkt verbunden mit dem FortiGate Wireless Controller.
Alle anderen Forti Access Points - auch genannt "leaf" Mesh Access Points - benützen den FortiGate Wireless Controller
in dem diese über den "root" Mesh Access Point sich zum FortiGate Wirelesss Controller verbinden. Für Wireless Hosts/
Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. bemerken nicht, dass
sie sich zu einem Mesh Netzwerk verbinden.

'''Wireless bridging (No VLAN Support)'''
Für ein Bridging werden zwei physische LAN Segmente über Fortinet Access Points verbunden (the backhaul SSID). Die Ethernet
Anschlüsse resp. Interfaces auf den Forti Access Points ("leaf" Mesh Access Point), die diese LAN Segmente verbinden können
benutzt werden um ein zusätzliches Wireless Segment für die Wireless Hosts/Clients bereitzustellen. Grundsätzliche sind die
Clients direkt in dem jeweiligen Segment per LAN oder über ein erweitertes Wireless Netzwerk verbunden.

Daraus ergeben sich folgende Möglichkeiten:

<big>'''Forti Access Points werden benützt als "root" Mesh und "leaf" Mesh Access Points'''</big>

[[Datei:Fortinet-345.jpg]]

<big>'''FortiWiFi Device wird benützt als "root" Mesh Access Point und die Forti Access Points als "leaf" Mesh Access Points'''</big>

[[Datei:Fortinet-346.jpg]]

<big>'''Forti Access Points werden benützt um zwei LAN Segmente zu verbinden (Bridging)'''</big>

[[Datei:Fortinet-347.jpg]]

Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:

• Alle Forti Access Points die im Mesh Wireless Network eingesetzt werden, müssen über Firmware 5.0 Build 003 oder höher verfügen!

• Forti Access Point FAP-222B muss über die Bios Version 400012 oder höher verfügen:

ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out

• Auf dem FortiGate/FortiWiFi Wireless Controller muss FortiOS 5.0 GA oder höher installiert sein!

'''NOTE''' Folgende Funktionen sollten möglichst nicht benützt werden auf dem Forti Access Point "radio" auf dem der
Mesh Link konfiguriert wurde:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
[[FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F]]
[[FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F]]

Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) oder Automatischer Konfiguration:

'''<big>AUTOMATISCHE KONFIGURATION WIRELESS MESH</big>'''

Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].
Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen werden:

[[Datei:Fortinet-348.jpg]]

Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:

• Konfiguriere einen "root" Mesh Access Point auf einer Forti Access Point oder auf einer FortiWiFi Device.
• Konfiguriere die Forti Access Points für "leaf" Mesh.
• Authorisiere die "leaf" Mesh Forti Access Point damit diese auf den FortiGate/FortiWiFi Controller verbinden können.

'''Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points'''

Wähle über das Mgmt. Web Interface folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Selektiere den gewünschten Forti Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".

Wähle folgendes:

Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)

'''NOTE''' Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
mehr gesetzt werden!

[[Datei:Fortinet-349.jpg]]

'''Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points'''

Verbinde dich auf das Mgmt. Web Interface des Forti Access Point auf dem "leaf" Mesh konfiguriert werden soll.
Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.
Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Auf dem Mgmt. Web Interface unter "Connectivity" konfiguriere folgendes:

'''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

Uplink Mesh
Mesh AP SSID fortinet.mesh.[VDom Name dh. Standard "root"]
Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]

[[Datei:Fortinet-350.jpg]]

Bestätige die Konfiguration anhand "Apply".

'''Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Forti Access Points'''

Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Forti Access Points über den "root" Mesh
Access Points am FortiGate/FortiWiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss
jeder "leaf" Mesh Forti Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Gehe auf "refresh" bis der/die "leaf" Mesh Forti Access Points ersichtlich sind. Danach selektiere den Forti
Access Point und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Forti Access
Points ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit "OK"
die Konfiguration.

Sobald die Konfiguration bestätigt wurde wir der Forti Access Point seinen Status von Offline zu Online wechseln
(ca. 2 Minuten). Die automatische Konfiguration ist abgeschlossen und kann getestet werden.

'''<big>AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen
Port (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging
Mode aktiviert da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point
(backhaul link) verbindet. Ein Forti Access Point Device für Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist
empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Wireless Hosts/Client im Wireless Netzwerk.
Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!

'''Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''

Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti
Access Point direkt mit dem zu verbindenen Segment verbunden!

[[Datei:Fortinet-358.jpg]]

'''<big>MANUELLE KONFIGURATION WIRELESS MESH</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Mesh Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Forti Access Points verbinden
sich über diesen "root" Mesh AP (backhaul link) zum FortiGate/FortiWiFi Controller. Ein Forti Access Point Device für
Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4
GHz für die Wireless Hosts/Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende
Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's.

'''Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Forti Access Point'''

• Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die Forti Access Points benutzt werden kann.
• Erstelle eine SSID für den "backhaul link".
• Erstelle eine Forti Access Point WPT Profil das die SSID für den "backhaul link" enthält.
• Füge das neue WPT Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
• Konfigureire den "root" Mesh Forti Access Point.

Um die SSID für den "backhaul link" zu erstellen wähle im Mgmt. Web Interface der FortiGate folgendes:

WiFi Controller > WiFi Network > SSID, select Create New

Konfiguriere folgendes:

Interface Name [Name des Interfaces zB "mesh-backhaul"]
IP/Netmask [Belasse die IPv4 Adresse auf 0.0.0.0/0.0.0.0]
SSID [Name der SSID zB "mesh-backhaul"]
Preshared Key [Wähle ein Preshared Key]

[[Datei:Fortinet-351.jpg]]

Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:

# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set mesh-backhaul enable
# end

Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:

[[Datei:Fortinet-352.jpg]]

Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:

'''NOTE''' Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
Position "Traffic Mode"

# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set ssid "[Name der SSID zB "mesh-backhaul"]"
# set security wpa2-only-personal
# set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
# set encrypt AES
# set vdom root
# set mesh-backhaul enable
# end

Nun muss ein "backhaul" Forti Access Point Profile erstellt werden. Wähle dazu im Mgt. Web Interface der FortiGate folgendes:

WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":

- Wähle für das WTP Profile einen Namen zB "mesh-backhaul-root".
- Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Forti Access Point.
- Aktiviere die Position "Mesh Downlink".
- Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".

[[Datei:Fortinet-353.jpg]]

'''NOTE''' Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.

Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:

# config wireless-controller wtp-profile
# edit [Profil Name zB "mesh-backhaul-root"]
# config platform
# set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
# end
# config radio-1
# set mode ap
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# end

Nun muss das erstellt WTP Profil dem Forti Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
Wähle dazu im WebGui folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Der "root" Mesh Forti Access Point muss über physisches LAN/Segment angeschlossen sein sowie Verbindung
zum FortiGate/FortiWiFi Controller haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und
kann selektiert werden. Gehe auf "Authorize" und wähle das entsprechende WTP Profil das erstellt wurde
für den "backhaul link". In unserem Beispiel wäre dies zB "mesh-backhaul-root"! Nach einiger Zeit geht
danach der Forti Access Point auf den Status "Online".

Um das Profil per CLI zum entsprechenden Profile hinzu zufügen, gehe folgendermassen vor:

# config wireless-controller wtp
# get
FAP22B3U11005354

# edit FAP22B3U11005354
# set admin enable
# set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
# end

Nun muss der "root" Mesh Forti Access Point als solches definiert werden dh. im Mgmt. Web Interface unter folgender
Position ist die entsprechende IPv4 Adresse des Forti Access Points zu eruieren:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Wir nehmen an, dass der Forti Access Point dem wir das "backhaul" Profil hinzugefügt haben die IPv4 Adresse 192.168.3.2
zugewiesen worden ist. Verbinde dich nun anhand dieser IPv4 Adresse auf das Mgmt. Web Interface des Forti Access Point.
Führe ein Login durch anhand User "admin" und kein "Passwort" sofern keines gesetzt wurde:

http://192.168.3.2

Im Mgmt. Web Interface auf dem Forti Access Point unter "Mesh Configuration" selektiere:

Ethernet with mesh backup support

[[Datei:Fortinet-354.jpg]]

'''NOTE''' Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden da
der Access Point als "root" Mesh konfiguriert ist ignoriert!

Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe Lokal auf der CLI des Forti Access Points folgendes ein:

# cfg -a MESH_AP_TYPE=2
# cfg –c

Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:

# cfg -s

Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

'''Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point'''

Wie schon beschrieben sind "leaf" Mesh Forti Access Points Devices die das Wireless Netz (nicht physisch verbunden)
benutzen um sich in das Wireless Netz zu integrieren. Die Verbindung zum FortiGate/FortiWiFi Controller wird über
den "root" Mesh Access Point bewerkstelligt.

Um ein "leafe" Forti Access Point zu konfigurieren benutzen wir das Mgmt. Web Interface des Forti Access Points. Per
Standard nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2.
Verbinde dich nun auf den WebBased Manager anhand dieser IP:

'''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

http://192.168.1.2

Im WebBased Manager konfiguriere folgendes:

Uplink [Mesh]
Mesh AP SSID [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
Mesh AP Password [Preshared Key gemäss SSI "mesh-backhaul"]"

Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
Konfiguration mit "Apply":

[[Datei:Fortinet-355.jpg]]

Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:

Wenn ein Forti Access Point nicht über einen FortiGate Wireless Controller konfiguriert und eingebunden ist sondern Lokal
über einen Host/Client, ist der Consolen Port per "telnet" über die Standard IP 192.168.1.2 erreichbar. Wird ein Forti
Access Point über einen FortiGate/FortiWiFi Wireless Controller konfiguriert so ist der Forti Access Point über den
FortiGate/FortiWiFi Controller per "telnet" erreichbar sofern dieser Zugriff aktiviert ist. Folgender Artikel gibt
Auskunft wie "telnet" aktiviert werden kann:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

# cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
# cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
# cfg -a MESH_AP_TYPE=1
# cfg -c

Um die Konfiguration zu verifizieren (Es wird ein Neustart des Forti Access Point ausgeführt) geben folgendes ein:

# cfg -s

Als nächsten Schritt muss für die "leaf" Forti Access Points ein Profil angelegt werden. Dazu wähle im Mgmt. Web
Interface folgendes:

WiFi Controller > Managed Access Points > Custom AP Profile

Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:

Name Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
Platform Selektiere die Platform für den entsprechenden Forti Access Point der für "leaf" Mesh eingesetzt werden soll.
Radio 1 Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Radio 2 Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.

[[Datei:Fortinet-356.jpg]]

'''NOTE''' Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.

Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:

# config wireless-controller wtp-profile
# edit [Namen für das Profil zB "mesh-backhaul-leaf"]
# config platform
# set type [Selektiere entsprechend dem Forti Access Point Modell die für "leaf" Mesh eingesetzt werden die Platform]
# end
# config radio-1
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# config radio-2
# set mode ap
# set band 802.11n
# set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
# end
# end

Nun muss das entsprechende WTP Profil das erstellt worden ist dem entsprechenden Forti Access Point der für "leaf" Mesh
Forti Access Point benützt wird, zugewiesen werden. Wähle daszu im Mgmt. Web Interface:

WiFi Controller > Managed A ccess Points > Managed FortiAP

Wenn der "leaf" Mesh Forti Access Point in Betrieb ist, müsste dieser nun in der Liste der Forti Access Points erscheinen.
Selektiere diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird, sollte
der Forti Access Point die Mesh IPv4 Adresse zeigen. Nach dem "Authorize" kann das entsprechende WTP Profile für die "leaf"
Mesh Forti Access Point, das vorhergend erstellt worden ist, gewählt werden. Bestätige die Konfiguration anhand "Apply".
Wenn die Konfiguration auf der CLI durchgeführt werden soll führe folgendes aus:

# config wireless-controller wtp
# get
FAP22B3U11d05924

# edit FAP22B3U11d05924
# set admin enable
# set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
# end

Die Konfiguration der '''Manuelle Konfiguration betreffend Mesh''' ist nun abgeschlossen. Um das "Mesh" Wireless
Netzwerk zu kontrollieren wähle im Mgmt. Web Interface folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

In dieser View werden alle verbundenen und nicht verbundenen Forti Access Points aufgelistet. Wenn man unter "Column
Settings" das Feld "Connected Via" einblended, sieht man in diesem Feld "Mesh" für die Forti Access Points die über
Mesh verbunden sind sowie deren IPv4 Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen
Forti Access Point durchgeführt werden:

# cw_diag -c mesh

Eine weitere Möglichkeit um an Informationen heranzukommen, ist auf dem Forti Access Point folgender Befehl abzusetzen:

# dmesg

'''<big>MANUELLE KONFIGURATION WIRELESS BRIDGING</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über den
Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Forti Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging Mode
aktiviert da dieser an einem LAN/Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point (backhaul
link) verbindet. Ein Forti Access Point Device verfügt für Mesh über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen
5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!

'''Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''

Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem "leaf"
Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti Access Point
direkt mit dem zu verbindenen Segment verbunden!

[[Datei:Fortinet-357.jpg]]

== Guest Access ==

=== Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion? ===

Fortinet bietet im Zusammenhang mit der FortiGate Wireless Infrastrukturen zwei verschiedene Arten eines Ticketing System's für Guest Access:

'''Guest Access Provisioning:'''
Das "Guest Access Provisioning" basiert auf einem Ticket System dh. durch einen definierten Administrator kann dieser
die entsprechenden Tickets erstellen resp. generieren. Für dieses "Gues Access Provisioning" können die Tickets selber
dh. Inhalt und Aussehen nicht modifiziert werden sondern sind vorgegeben. In so einer Situation sollte die "Captive
Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit
FortiOS 5.0/5.2 oder höher. Es müssen keine zusätzliche Installationen durchgeführt werden da ein FortiGate Wireless
Controller alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur Implmenenterung
siehe:

[[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]

'''User Self Registration:'''
In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein "Captive Portal"
vorgeschaltet sein, jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self Registration Portal. Die Felder,
der Inhalt etc. des Self Registration Portal und/oder der Ticket's können vollumfänglich selber betreffend Inhalt und Aussehn
definiert werden. Für das "Wireless Self Registration" benötigt man einen FortiAuthenticator! Weitere Inoformationen zur
Implementierung siehe:

[[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]

=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Self Registration" Funktion? ===

Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:

[[FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F]]

Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einem FortiGate Wireless Controller konfiguriert wird:

[[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]

=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Guest Access Provisioning" Funktion? ===

Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0/5.2 oder höher) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:

'''NOTE''' Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt
werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe
nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_.22Wireless_Guest_Access_Provisioning.22_ein_Custome_Language_File.3F]]

User & Device > User > User Groups

[[Datei:Fortinet-363.jpg]]

Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch durch das System
erstellt (Batch):

[[Datei:Fortinet-373.jpg]]

Zur dazugehörigen Gruppe erstellen wir einen Administrator, der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:

System > Admin > Administrators

[[Datei:Fortinet-364.jpg]]

Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:

[[Datei:Fortinet-365.jpg]]

[[Datei:Fortinet-366.jpg]]

Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:

[[Datei:Fortinet-367.jpg]]

[[Datei:Fortinet-368.jpg]]

Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch"
erstellt (Batch). Dies sieht dann folgendermassen aus:

[[Datei:Fortinet-374.jpg]]

Nach der "automatischen" Erstellung wird folgendes Ausgegeben:

[[Datei:Fortinet-375.jpg]]

Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes:

[[Datei:Fortinet-376.jpg]]

Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:

[[Datei:Fortinet-377.jpg]]

Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing. Vorraussetzung dafür ist jedoch das ein "Email Service" konfiguriert wurde. Dazu siehe nachfolgende Artikel:

[[FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F]]
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_den_.22Email_Service.22_konfigurieren.3F]]

[[Datei:Fortinet-369.jpg]]

Wählt man zB Printing so erscheint folgendes:

[[Datei:Fortinet-372.jpg]]

'''NOTE''' Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden!

Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:

[[Datei:Fortinet-370.jpg]]

Wenn man sich als "regulärer" Administrator wiederum einloggt, kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:

User & Device > User > Guest Management

[[Datei:Fortinet-371.jpg]]

Ein "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts wie der "Restricted to Provision Guest Accounts" Administrator" erstellen/verwalten! Für die SSID muss nun ein "Captive Portal" ausgewählt jsowie konfiguriert werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:

[[Datei:Fortinet-1267.jpg]]

Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal". Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste der Guest Account die URL abermals eingeben! Als Letzteres muss eine entsprechende Firewall Policy Rule implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Konfiguration getestet werden. Sobald ein Wireless Host/Client die entsprechende SSID aufruft, wird er mit dieser SSID anhand einer IPv4 Adresse die vom DHCP Server stammt der für die SSID konfiguriert wurde, verbunden. Wenn nun ein Wireless Host/Client danach eine Anfrage absetzt dh. eine Web Seite aufruft wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der Wireless Host/Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:

'''Guest Access User Group'''

# config user group
# edit [Name der Gruppe zB "FortiGroup-Guest"]
# set group-type guest
# set user-id [email | auto-generate | specify]
# set password [auto-generate | specify | disable]
# set user-name [enable | disable]
# set email [enable | disable]
# set mobile-phone [enable | disable]
# set default-expire [seconds]
# end

'''Guest admin profile options'''

# config system admin
# edit [Name des Administrators]
# set guest-auth [enable | disable]
# set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
# end

'''SSID Security Mode option captive-portal'''

# config wireless-controller vap
# edit [Name des SSID Profiles zB "only4guest"]
# set vdom "root"
# set ssid [Name der SSID zB "only4guest"]
# set security captive-portal
# set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
# set intra-vap-privacy enable
# end
# config system interface
# edit [Name des Interface für SSID zB "only4guest"]
# set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
# set allowaccess ping
# set devindex 0
# set device-identification enable
# set snmp-index 0
# end
# config system dhcp server
# edit [Gebe einen Integer an zB 1]
# set forticlient-on-net-status disable
# set dns-service default
# set default-gateway [IPv4 Adresse zB 192.168.10.1]
# set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
# set interface [Interface für DHCP Server zB "only4guest"]
# config ip-range
# set start-ip 192.168.10.2
# set end-ip 192.168.10.254
# end
# end

Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:

# diagnose test guest ?
add add a guest user
del delete guest users
list list guest users

# diagnose test guest list
user_id=new-user-1@beispiel.com
group=Beispiel-Gruppe
user_name=gast-1
password=pwj8m9
mobile_phone=
sponsor=
company=
email=new-user-1@beispiel.com
expire=1 Hours

# diagnose test guest add
<group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>

# diagnose test guest del
12 deleted for group '', user-id ''

# diagnose test guest list
0 found for group '', user-id ''

=== Wie konfiguriere ich für ein "Wireless Guest Access Provisioning" ein Custome Language File? ===

Auf einer FortiGate ist das Mgmt. Web Interface und Replacement Messages per Standard Englisch. Unter der folgende Position können andere Sprachen gewählt werden:

System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]

Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):

• Guest Management Admin Accounts (Guest Access Provisioning)
• SSL VPN Portal
• SSL VPN Personal Bookmarks

Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:

# config system global
# set gui-custom-language enable
# end

Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Mgmt. Web Interface auf der FortiGate
aktiviert:

System > Config > Advanced > Language

[[Datei:Fortinet-1285.jpg]]

Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:

System > Custom Languages

Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann
als Vorlage um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":

[[Datei:sample-language-template.txt]]
[[Datei:sample-language-template-54.txt]]

Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:

System > Config > Advanced > Language > Create New

[[Datei:Fortinet-1286.jpg]]

Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:

System > Custom Languages

Danach kann das File raufgeladen werden:

[[Datei:Fortinet-1287.jpg]]

Damit das entsprechende File benutzt wird für die Funktion des "Wireless Guest Access Provisioning", muss
dies unter CLI und/oder über Mgmt. Web Interface für den Guest Administrator konfiguriert werden:

System > Admin > Administrators > [Wähle den entsprechenden Guest Administrator] > Language > [Wähle das entsprechende "Sprachfile"]

[[Datei:Fortinet-1289.jpg]]

# config system admin
# edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
# set guest-auth enable
# set guest-lang [Wähle das entsprechende "Sprachfile"]
# end
# end

=== Wie kann ich für die "Wireless Guest Access Provisioning" Funktion die Erstellung der Tickets (Anzahl) limitieren? ===

Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" Ticket erstellen. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket Erstellung in der Anzahl limitiert. Ab FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:

# config user group
# edit guest-group
# set group-type guest
# set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
# end
# end

Wird die Konfiguration durchgeführt für Guest Administratoren die bereits Tickets erstellt haben, muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert für Anzahl Tickets tiefer als die existierenden "valid" Tickets konfiguriert werden so müssen um den Wert anzupassen zuerst Tickets gelöscht werden um den entsprechenden Wert zu setzen.

=== Gibt es für das Passwort des Guest-Administrators für "Wireless Guest Access Provisioning" eine Passwort Policy? ===

Wenn auf einer FortiGate ein "Wireless Guest Access Provisioning" konfiguriert wird ist die Basis ein Administrator der für Guest definiert wird (Restricted to Provision Guest Accounts). Wie ein "Wireless Guest Access Provisioning" konfiguriert wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]

Neu unter FortiOS 5.4.1 kann diesem Administrator der für Guest definiert wurde eine Passwort Policy aktiviert werden. Dies kann jedoch nur in der CLI konfiguriert werden und ist per Standard deaktiviert:

# config system password-policy-guest-admin
# status [enable | disable]
# apply-to [guest-admin-password]
# minimum-length [Minimum Länge des Passwortes]
# min-lower-case-letter [Minimum Anzahl Kleinbuchstaben im Passwort]
# min-upper-case-letter [Minimum Anzahl Grossbuchstaben im Passwort]
# min-non-alphanumeric [Minimum Anzahl Non-Alphanumerischen Zeichen im Passwort]
# min-number [Minimum Anzahl von Nummerischen Zeichen im Passwort]
# change-4-characters enable/disable Enable/disable changing at least 4 characters for new password.
# expire-status [enable | disable]
# reuse-password [enable | disable] # end

== Remote ==

=== Wie konfiguriere ich einen Forti Access Point zB. FAP-11C für einen Remote Zugriff? ===

Ein Forti Access Point FAP-11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point FAP-11C, FAP-14C sowie fAP-28C da diese Forti Access Point über einen Internal Switch/Hub verfügen der es dem User/Client erlaubt entweder über den Internen Switch/Hub zu arbeiten oder über Wireless resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:
_________
| | 193.193.135.70
| FAP-11C |--|
|_________| |
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP-11C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN

In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "dmz" durchgeführt! Dies bedeutet: dieses "dmz" ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen benützt dh. der FAP-11C wird mit der gesamten Konfiguration lokal eingebunden inkl Firewall Policy Rules usw. Diese Konfiguration kann nachträglich für einen Remote Konfiguration komplett übernommen werden. Alle Forti Access Point benützen für deren Komunikation zum FortiGate Wireless Controller CAPWAP (UDP-5246). Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_einen_FortiGate_Wireless_Controller_verwaltet.2Fkonfiguriert_.28CAPWAP.29.3F]]

Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt, jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden, sind per Standard "clear-text". Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel von und zu dem Forti Access Point zum FortiGate Wireless Controller zu verschlüsseln. Weitere Informationen zu DTLS Funktion siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Die Konfiguration eines Forti Access Point für Remote Zugriff unterscheidet sich Grundsätzlich nicht gegenüber einer lokalen Konfiguration von Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point unter FortiOS 5.0/5.2/5.4 in Betrieb genommen wird und was dabei zu beachten ist:

[[FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F]]

Wenn die Grundkonfiguration für den FAP-11C inkl. den Firewall Policy Rule's gemäss vorhergenden Link durchgeführt wurde sowie alle Tests erfolgreich waren, sollte der FAP-11C aus dem "dmz" Segment entfernt. Ist dies geschehen sollte der entsprechende Forti Access Point Eintrag unter "Managed FortiAP's" gelöscht werden:

WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]

Als Nächstes muss nun Lokal auf dem Forti Access Point FAP-11C mitgeteilt werden, mit welchen FortiGate Wireless Controller eine Remote Verbindung erstellt werden soll. Dies kann über das lokale Mgmt. Web Interface oder CLI des Forti Access Point FAP-11C durchgeführt werden. Die Informationen die lokal auf dem Forti Access Point konfiguriert werden müssen sind die Folgenden:

IPv4 Adresse
FQDN (Fully Qualified Domain Name]

Um auf einen Forti Access Point lokal zu verbinden kann die Default IPv4 Adresse des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Es können für Failover Zwecke bis zu 3 Wireless Controller konfiguriert werden:

[[Datei:Fortinet-700.jpg]]

Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Wenn in einem späteren Zeitpunkt der Forti Access Point in ein IPv4 Segment zB zu Hause verbunden wird, sucht sich dieses "wan" Interface einen DHCP Server. Werden die DHCP Anfragen des "wan" Interfaces beantwortet, wird auf dem "wan" Interface gemäss der DHCP Server Konfiguration eine IPv4 Adresse, Subnet sowie Default Gateway konfiguriert. Sobald dies der Fall ist, wird über das "wan" Interface versucht den konfigurierten FortiGate Wireless Controller anhand dessen IPv4 Adresse oder den FAQDN über CAPWAP (UDP-5246) zu erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf "Auto" konfiguriert was wiederum bedeutet:

Broadcast -> Multicast > Static > DNS > DHCP

In dieser Reihenfolge versucht der Forti Access Point über CAPWAP den konfigurierten FortiGate Wireless Controller zu erreichen. Damit kein "Auto" für die Suche des FortiGate Wireless Controller durchgeführt wird, sollte "Static" benutzt werden. Wenn ein FQDN benutzt wird, ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:

# cfg -a DNS_SERVER=[DNS Server IP Adresse]
# cfg -c
# cfg -s

Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:

# cfg -a WTP_NAME=FP11C3X12001413 [Hostname Forti Access Point]
# cfg -a ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -a STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
# cfg -a TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
# cfg -a HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
# cfg -a AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
# cfg -a AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_2= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_3= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_2= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_3= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_CTL_PORT=5246 [CAPWAP Comunication Port]
# cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
# cfg -a AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]

# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]

Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. Auf dem Forti Access Point ist "DTLS" bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate Wireless Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy [dtls-enabled | clear-text]
# end

Wenn ein Client/Host über den Remote Forti Access Point ein Packet versendet und da der Standard Wert für MTU Size auf den meisten Betriebsystemen auf 1500 konfiguriert ist kann es mit der zusätzlich aktivieren "DTLS" Funktion zu einer Fragmentierung kommen. Der Grund ist der Folgende: Wenn ein Packet über den CAPWAP Tunnel gesendet wird so kommt zum Packet ein kleiner "overhead" des CAPWAP dazu. Dies ist unter normalen Umständen und in den meisten Fällen kein Problem. Kommt jedoch nochmals der "overhead" des "DTLS" dazu, vergrössert sich das Packet dh. mehr als MTU 1500 und somit wird das Packet aufgeteilt dh. es wird eine Fragmentierung durchgeführt. Dies beeinträchtigt die Performance und sollte verhindert werden. Aus diesem Grund empfehlen wir gemäss nachfolgenden Link im WTP Profile dies zu berücksichtigen resp. eine Fragmentierung zu verhindern:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]

Grundsätzlich kann die "Network Configuration" eines Forti Access Point auch auf "Static" gesetzt werden dh. Ein Forti Access Point ist per Standard mit "DHCP" konfiguriert und sollte unter normalen Umständen so konfiguriert sein. Möchte man jedoch für das "wan" Interface des Forti Access Point eine statische IPv4 Adresse vergeben kann dies über Mgmt. Web Interface oder CLI durchgeführt werden. Für eine Konfiguration über CLI lokal auf dem Forti Access Point stehen folgende Konfigurationspunkte zur Verfügung:

# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]

# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]

'''DHCP Konfiguration (Default):'''

[[Datei:Fortinet-702.jpg]]

'''Static Konfiguration:'''

[[Datei:Fortinet-703.jpg]]

Damit die Anfragen des Forti Access Point auf den FortiGate Wireless Controller beantwortet wird, muss CAPWAP auf der FortiGate für das "wan" Interface aktiviert werden:

System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]

[[Datei:Fortinet-784.jpg]]

Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP-5246 auf dem "wan" Interface erlaubt. Die "Local-In" Policy erlaubt den UDP-5246 Traffic von jeder Source dh. soll diese eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F]]

Wenn nun der Forti Access Point in einer Remote Lokation zB zu Hause benutzt wird so wird folgendes durchgeführt:

1. Verbinde das "wan" Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.

2. Dem Forti Access Point wird über DHCP auf das "wan" Interface eine IPv4 Adresse zugewiesen oder das "wan" Interface wurde
mit einer LAN IPv4 Adresse aus dem Segment/Subnet statisch konfguriert.

3. Uber das "wan" Interface werden CAPWAP (UDP-5246) Anfragen an die definierte IPv4 Adresse und/oder FQDN an das "wan"
Interface des FortiGate Devices gesendet.

4. Da CAPWAP auf dem FortiGate "wan" Interface aktiviert wurde und somit die CAPWAP Anfragen vom FortiGate Wireless Controller
beantwortet werden, erscheint auf dem FortiGate Device unter "Managed Access Point" der entsprechende Forti Access Point:

WiFi Controller > Managed Access Points

5. Dem Forti Access Point kann nun das entsprechendes WTP Profile zugewiesen werden.

Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende WTP Profile sowie auf dem Forti Access Point selber durchgeführt werden:

'''FortiGate WTP Profile'''

[[Datei:Fortinet-705.jpg]]

'''Forti Access Point'''

[[Datei:Fortinet-706.jpg]]

Wenn man einer der Remote Forti Access Point's einsetzt dh. FAP-11C, FAP-14C sowie FAP-28C hat man nun die Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Bei der Konfiguration des internent Switches/Hubs ist jedoch folgendes zu berücksichtigen: Ein Port eines Switches kann mit "bridge to SSID" auf die SSID konfiguriert werden. Dies bedeutet: Wenn ein Client/Host sich per RJ-45 auf diesen Port verbindet, wird diesem über den konfigurierten DHCP Server der SSID eine IPv4 Adresse zugewiesen. Wenn dies geschieht, wird keine Authentifizierung für die SSID ausgeführt! Um zB eine Security auf diesen Switch Port für "bridge to SSID" zu konfigurieren, kann der DHCP Server auf "block" gesetzt werden und somit werden vom DHCP Server nur IPv4 Adressen den Clients/Host zugewiesen, wenn diese mit deren MAC Adressen im DHCP Server konfiguriert wurden. Dies wird folgendermassen für den DHCP Server der SSID konfiguriert:

# config system dhcp server
# edit [Wähle den entsprechenden Integer für den DHCP Server der SSID zB "1"]
# set mac-acl-default-action [assign | block]
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end

Eine andere Variante ist auf dem Interface der SSID (nicht für die SSID Konfiguration) ein "Captive Portal" zu aktivieren dh. wenn dies geschieht, muss sich der Client/Host in jedem Fall auf dem "Captive Portal" des Interface zuerst authentifizieren bevor er Zugriff erhält. Wie die einzelnen Switch/Hub Ports zu konfigurieren sind siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Remote_Forti_Access_Points_FAP-11C.2C_FAP-14C_und_FAP-28C_die_Switch_Ports_konfigurieren.3F]]

Desweiteren ist zu berücksichtigen, dass der Traffic des Client/Host der sich über einen Switch/Hub Port der anhand "bridge to SSID" konfiguriert wurde, unweigerlich über CAPWAP zum FortiGate Wireless Controller gesendet wird da die SSID anhand "Tunnel to Wireless Controller" konfiguriert wurde. Möchte der Client/Host jedoch lokale Resourcen ebenfalls erreichen kann ab FortiOS 5.2 ein "Splitt Tunneling" konfiguriert werden. Dies erlaubt einen bestimmten IPv4 Range/Subnet am CAPWAP Tunnel vorbei zu routen. Wie dies konfiguriet wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

Wenn die konfigurierte SSID auf einem Forti Access Point die ebenfalls für die Switch/Hub Ports benutzt wird um "bridge to SSID" zu konfigurieren nicht benötigt wird dh. Client/Hosts die SSID für einen Wireless Zugriff nicht benötigen, sollte diese deaktiviert werden. Dies kann nach Abschluss der Konfiguration im entsprechenden WTP Profile konfiguriert werden in dem der entsprechende "radio" komplett deaktiviert wird!

=== Wieviel Bandbreite benötigt ein Forti Access Point für CAPWAP in einer Remote Verbindung? ===

Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP (UDP-5246) für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:

• Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
• Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten

Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!

== LAN Port's / Switch ==

=== Wie kann ich für einen Remote Forti Access Points FAP-11C, FAP-14C und FAP-28C die Switch Ports konfigurieren? ===

Die Remote Forti Access Points wie FAP-11C, FAP-14C und FAP-28C werden mit einem kleinen Switch/Hub ausgeliefert! Bis FortiOS 5.0.4 sowie für Forti Access Points FortiOS 5.0.5 waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:

'''Fuer die LAN Port Konfiguration gelten folgende Restriktionen:'''

• Beim FortiAP-14C/25D können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration da es sich
bei den Ports um ein Hub handelt!

• Jeder Client/Host der sich über die LAN Ports verbindet gilt als Authentifiziert!

• Dynamische VLAN Konfiguration für Client/Host die über die LAN Ports verbunden sind wird nicht unterstützt. Weitere Informationen
zur Dynamischee VLAN Konfiguration siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_f.C3.BCr_Forti_Access_Point_SSID.27s_.22Dynamische_VLAN.27s.22_vergeben_und_wie_konfiguriere_ich_diese.3F]]

• RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!

• Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden. Dies gilt ab FortiOS 5.0.6
und Forti Access Point FortiOS 5.0.7!

Die LAN Ports können sofern gewünscht komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden WTP Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
# end

Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende Bedeutung:

• offline Der Port wird komplett deaktiviert!
• bridge-to-wan Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
• bridge-to-ssid Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
• nat-to-wan Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!

'''Bridge to SSID'''
Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
Client/Host über die LAN Ports, wird dem Client über den DHCP Server der für die SSID konfiguriert wurde, eine IPv4 Adresse zugewiesen.
Der Traffic des Clients/Hosts, der sich am LAN Port verbindet, wird zum FortiGate Wireless Controller gesendet. Ein "local bridging"
ist nicht möglich! Wireless Clients/Hosts die diese SSID benutzen sowie die Clients/Hosts die über den Switch Port verbunden sind,
können untereinander uneingeschränkt komunizieren. Es findet keine Authentifizierung auf den LAN Ports statt! Die Clients/Hosts, die
über die LAN Ports in diesem Modus verbinden, sind über den folgenden Menüpunkt ersichtlich:

WiFi Controller > Monitor > Client Monitor

Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen: Auf dem Forti Access
Point steht die DTLS Verschlüsselung per Standard auf "Clear Text oder "DTLS Enabled" dh. der Forti Access Point bietet beides an. Somit
steuert der FortiGate Wireless Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

'''Bridge to WAN'''
Es wird ein "bridge-to-wan" auf das "wan" Interface des Forti Access Point durchgeführt was folgendes bedeutet: Verbindet sich ein
Client/Host über die Switch Ports, wird dem Client/Host über den DHCP Server sofern dieser im "wan" Segment existiert, eine IPv4
Adresse zugewiesen. Wireless Clients/Hosts die über eine SSID auf dem Forti Access Point verbunden sind und Clients/Hosts die über
die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Firewall Policy Rule auf
der FortiGate konfiguriert wird die diesen Traffic erlaubt! Somit, wenn dies der Fall ist, wird der Traffic über die FortiGate
Device dh. über CAPWAP abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!

'''NAT to WAN'''
Es wird ein "nat-to-wan" auf dem "wan" Port des Forti Access Point durchgeführt dh. die Source des Traffic vom LAN Port wird
übersetzt (translated) anhand der IPv4 Adresse die auf dem "wan" Port existiert/konfiguriert wurde.

Die Konfiguration der Switch/Hub Ports kann ebenfalls über Mgmt. Web Interface durchgeführt werden und zwar unter folgender Position sofern es sich um ein WTP Profile eines Forti Access Points handelt der über einen Switch/Hub verfügt:

WiFi Controller > WiFi Network > Forti/Custom AP Profiles

[[Datei:Fortinet-964.jpg]]

Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port-ssid [Name der gewünschten SSID]
# set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# end
# set dtls-policy [ dtls-enabled | clear-text]
# end

Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

=== Kann ich für einen Forti Access Points für dessen LAN Interfaces eine "Link Aggregation" konfigurieren? ===

Bis anhin war das nicht möglich. Neu ab FortiOS 5.4.1 ist eine Link Aggregation ausschliesslich für folgende Modelle möglich:

• FAP-320B und 320C

'''NOTE''' Durch Fortinet Informationen wird ebenfalls explizit erwähnt, dass folgende Forti Access Points keine
Link Aggregation unterstützen:

• FAP-112B und FAP-112D

Diese Forti Access Point's verfügen über 2 Interfaces und diese können über die Shell des Forti Access Point als Link Aggregation konfiguriert werden. Wie man sich auf einen Forti Access Point über Telnet verbindet wenn dieser zB keine Mgmt. Console verfügt (RS-232) siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Danach muss ein Login durchgeführt werden auf dem Forti Access Point:

# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point]
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Für die Link Aggregation muss folgendes Kommando ausgeführt werden:

# cfg -a WANLAN_MODE=AGGREGATE

Danach muss die Konfiguration geschrieben werden:

# cfg -c

Um die geschriebenen Konfiguration auszulesen benutze:

# cfg -s

== Sniffer ==

=== Kann ich einen Forti Access Point als Sniffer benutzen um den Traffic aufzuzeichnen (capture)? ===

Ja diese Möglichkeit existiert jedoch mit folgenden Einschränkungen:

• Nur ein "radio" pro Aufzeichnung kann benutzt werden um den Sniffer auszuführen (capture)!
• Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden!
• Sniffer Mode wird für "radio" für 802.11ac nicht unterstützt (FortiOS 5.2.5 Bug ID 301726)!

Wenn ein "radio" für den Sniffer Mode konfiguriert wurde so wird lokal auf dem Forti Access Point ein File in folgendes Verzeichnis abgelegt:

/tmp/wl_sniff.pcap

Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des Forti Access Point wird durchgeführt, so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none" Persistent Verzeichnis handelt. Aus diesem Grund muss das File vor einem Neustart per TFTP auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren benutze folgende Kommandos:

# cd /tmp
# ls
wl_sniff.cap

# tftp

BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server

Options:

-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file

Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:

# tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IPv4 Adresse des TFTP Servers] 69

Um einen Forti Access Point in den Sniffer Mode zu versetzen, muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:

# config radio-1
# set mode disabled
# end
# config radio-2
# set mode sniffer
# set ap-sniffer-bufsize 32
# set ap-sniffer-chan 1
# set ap-sniffer-addr 00:00:00:00:00:00
# set ap-sniffer-mgmt-beacon enable
# set ap-sniffer-mgmt-probe enable
# set ap-sniffer-mgmt-other enable
# set ap-sniffer-ctl enable
# set ap-sniffer-data enable
# end
# end

Durch die nachfolgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:

ap-sniffer-add Definiert einen spezifischen Client/Host anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
ap-sniffer-chan Definiert einen spezifischen "channel"

Sobald die Konfiguration durchgeführt wurde, ist diese über Mgmt. Web Interface der FortiGate ersichtlich:

[[Datei:Fortinet-699.jpg]]

Wenn nun das entsprechende WTP Profile in dem der Sniffer Mode aktiviert wurde einem Forti Access Point zugewiesen wird, so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI lokal auf dem Forti Access Point verifiziert werden:

# iwconfig

Durch diesen Befehl werden die entsprechenden lokalen Interfaces des Forti Access Point aufgelistet und das entsprechende Interface ist im "monitor" Mode:

Mode: Monitor

== Authentication ==

=== Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine "WPA2-Enterprise" Authentifizierung? ===

Wenn man für Wireless Clients/Hosts eine Authentifizierung implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme! Speziell wenn die Authentifizierung über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Wireless Client/Host zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung der Passwörter vers. "password hashing schemas" die jedoch nicht kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muesste der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn kein OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte, so ist die bevorzugte Variante eine Radius Server zu implementieren. Diese "Radius Authentication" verifiziert die Credentials des Wireless Clients/Hosts über den Radius Server im Active Directory. Durch diese Art der Authentifizierung wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Wireless Client/Host aus eine Verifizierung des Radius Servers erfolgt, sollte/kann dieser Radious Server anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Trusted CA) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich für die Verifizierung des Radius Servers. Als Radius Server können vers. Produkte eingesetzt werden! Die bevorzugte Variante ist anstelle eines Windows 2008 Server den Fortinet Radius Server zu benutzen resp. den FortiAuthenticator. Weitere Informationen zum FortiAuthenticator findet man unter folgenden Link:

[[FortiAuthenticator:FAQ]]

Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers basierend auf Windows 2008 Server:

[[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf]]
[[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf]]

Um die Radius Server Verbindung auf einem FortiGate Device zu troubelshooten resp. einzusehen siehe nachfolgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]

=== Wie konfiguriere ich für Forti Access Points eine Authentifizierung für Public HotSpot der Swisscom ? ===

Nun ein Public HotSpot der Swisscom kennt grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:

'''Alte Variante SSID Hot Spot Swisscom'''

• SSID MOBILE (Authentication "Open")
• SSID MOBILE-EAPSIM (Authentication "WPA2-Enerprise" / Radius Port 1645)

'''Neue Variante SSID Hot Spot Swisscom'''

• Swisscom (Vorher MOBILE)
• Swisscom_Auto_Login (Vorher MOBILE-EAPSIM)

Die Schreibweise der alten/neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten Zeit lanciert werden benützen bereits die neuen SSID's und nicht mehr die alten!

'''SSID: MOBILE/Swisscom'''

Mit der SSID MOBILE oder Swisscom wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu
gelangen. Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese
SSID aufruft wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom
Login etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten
Arten wie zB Kreditkarte, Swisscom Login usw.

'''SSID: MOBILE-EAPSIM/Swisscom_Auto_Login'''

Die SSID MOBILE-EAPSIM oder Swisscom_Auto_Login steht ausschliesslich Swisscom Kunden zur Verfügung. Wenn der Kunde
diese SSID aufruft, wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius
Authentifizierung durchgeführt. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting
durchzuführen.

Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE oder Swisscom" sowie "MOBILE-EAPSIM oder Swisscom_Auto_Login" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. Im Beispiel werden nur die alten SSID aufgeführt jedoch sollten die neuen hinzugefügt werden. In unserem Beispiel existiert ein dedizierter Port (port2) der exklusiv für die Swisscom Verbindung benutzt wird und deren Segment darstellt. Nachfolgend einen Ueberblick über das Environment der Swisscom für unser Beispiel:

[[Datei:STUE_WSTA.pdf]]
[[Datei:STUE_WLS.pdf]]

Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM oder Swisscom_Auto_Login Authentifizierung einen Radius Server. Erstelle diesen unter:

User > Remote > RADIUS

[[Datei:Fortinet-315.jpg]]

Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server konfiguriert. Dies bedeutet: in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem Verantwortlichen der Swisscom mitgeteilt werden, in welcher Art und Weise die MAC Adresse übermittelt wird um die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen. Diese bdeutet wiederum:

• Standard Format Beispiel: 0000.4096.3e4a
• Unformatiert Beispiel: 000040963e4a

Der Swisscom Radius Server in unserem Beispiel arbeitet noch mit dem "old radius port" dh. nicht mit TCP Port 1812 sondern mit TCP Port 1645. Eine FortiGate benützt per Standard TCP Port 1812 und somit muss dieser umkonfiguriert werden auf TCP Port 1645:

# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end

Um die Radius Server Konfiguration/Anbindung zu überprüfen siehe nachfolgender Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]

Für die Konfiguration der SSID "MOBILE oder Swisscom" und "MOBILE-EAPSIM oder Swisscom_Auto_Login" gehe folgendermassen vor: Als Erstes erstelle die SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM / Swisscom_Auto_Login" unter folgendem Punkt:

WiFi Controller > WiFi Network > SSID

[[Datei:Fortinet-310.jpg]]

Die IPv4 Adresse plus Subnet 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IPv4 Adresse wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

System > Network > Interface

[[Datei:Fortinet-311.jpg]]

Die IPv4 Adresse plus Subnet 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

System > Network > Interface

Nun erstelle ein WTP Profile in dem die zwei/vier SSID's hinzugefügt werden:

WiFi Controller > Manage Access Points > Custom AP Profile

[[Datei:Fortinet-312.jpg]]

Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei/vier SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM und Swisscom_Auto_Login" unter SSID den entsprechenden "radio's" hinzu! Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein seperates Interface auf einer Fortigate sowie einen DHCP Server auf diesem Interface, dass den Forti Access Point für das Management über den DHCP Server die entsprechende IPv4 Adresse vergibt. In unserem Beispiel haben wir ein dezidiertes Forti Access Point Interface dh. "port1":

System > Network > Interface

[[Datei:Fortinet-313.jpg]]

Erstelle den dazugehörigen DHCP Server der entsprechenden IPv4 Adressen vergibt für das Management der Forti Access Points:

System > Network > [Interface] > DHCP Server

[[Datei:Fortinet-314.jpg]]

Nun kann der Forti Access Point an "port1" resp. in diesem IPv4 Segment angeschlossen werden! Damit ein Forti Access Point mit dem FortiGate Wireless Controller komunizieren kann muss CAPWAP (UDP-5246) anhand Broadcast, Multicast sowie Unicast auf diesem Segmment über die Switches erlaubt werden. Nun muss das vorhergehende WTP Profil "Swisscom-HotSpot" auf den entsprechenden Forti Access Points hinzugefügt werden:

WiFi Controller > Manage Access Points > Manage FortiAP

Sobald der Forti Access Point ersichtlich ist, Doppelklicke den Eintrag dieses Forti Access Point und wähle:

Authorize

Nun kann unten das entsprechende WTP Profile geladen werden dh. "Swisscom-HotSpot". Wenn das entsprechende WTP Profile dem Forti Access Point zugewiesen wird dauert es ca. 3 - 4 Minuten bis dieser Forti Access Point wiederum mit dem geladenen WTP Profile erscheint! Im Grundsatz sind die Forti Access Point nun konfiguriert und einsatzbereit. Jedoch die angemeldeteten Wireless Clients/Hosts müssen vom DHCP Server der Swisscom eine IPcv4 Adresse zugewiesen bekommen. Bei "MOBILE und Swisscom" geschieht dies "ohne" eine Authentifizierung (Open). Bei "MOBILE-EAPSIM und Swisscom_Auto_Login" wird erst eine IPv Adresse vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's einen DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und Swisscom sowie MOBILE-EAPSIM / Swisscom_Auto_Login. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:

• SSID MOBILE / Swisscom (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
• SSID MOBILE-EAPSIM / Swisscom_Auto_Login (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)

System > Network > [Interface] > DHCP Server

[[Datei:Fortinet-316.jpg]]

[[Datei:Fortinet-317.jpg]]

Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment/Subnet konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE / Swisscom und MOBILE-EAPSIM / Swisscom_Auto_Login Authentifizieren sich in diesem Segment, beziehen die IPv4 Adresse sowie browsen über dieses Segment. Dies bedeutet: sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir eine Policy Route im Layer 4 die vor dem normalen Routing Layer 3 greift:

Router > Static > Policy Route

[[Datei:Fortinet-318.jpg]]

[[Datei:Fortinet-319.jpg]]

Damit die IPv4 Adresse des Radius Server "129.132.254.70" ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:

Router > Static > Static Route

[[Datei:Fortinet-320.jpg]]

Nun fehlt nur noch die Firewall Policy Rule:

[[Datei:Fortinet-321.jpg]]

[[Datei:Fortinet-322.jpg]]

Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Interface (port2) einen Sniffer über die Console laufen zu lassen:

# diagnose sniffer packet port2

Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":

4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40

Für das bessere Verständnis Folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM / Swisscom_Auto_Login auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies: Auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):

[[Datei:Fortinet-323.jpg]]

=== Wie erstelle ich für einen Forti Access Point ein sicheres WLAN Passwort und was ist dabei zu beachten? ===

Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Forti Access Point mindestens WPA2 konfiguriert sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Ebenso Wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares Paswwort zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist, wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste Variante. Allerdings können dann in dieser Variante auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken abermals um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Forti Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.

=== Wie kann ich für eine Forti Access Point SSID ein lokales "Captive Portal" konfigurieren? ===

Ein "Captive Portal" kann dann konfiguriert/benutzt werden, wenn der Traffic der Wireless Clients/Hosts über CAPWAP (UDP-5246) zum FortiGate Wirless Controller übermittelt wird. Dies bedeutet: Ein "Captive Portal" kann nicht benutzt/konfiguriert werden, wenn für eine SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum FortiGate Wireless Controller übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement (Local Break-Out). Ein "Captive Portal" wird über folgende Position im Mgmt. Web Interface der FortiGate konfiguriert:

WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal

[[Datei:Fortinet-1294.jpg]]

Neu ab FortiOS 5.2 stehen im Zusamenhang mit dem "Captive Portal" neue Funktionen zur Verfügung! Speziell sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der Position "Authentication Portal" kann nun neu ab FortiOS 5.2 auch ein externes Portal dh. das sich nicht auf der FortiGate befindet, benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt List" von der "regulären Gruppe" (User Groups) Ausnahmen definiert werden! Diese "Exempt List" kann jedoch nur verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID benutzt wird. Weitere Informationen betreffend der Benutzung sowie Konfiguration eines externen "Captive Portals" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_externes_.22Captive_Portal.22_konfigurieren.3F]]

[[Datei:Fortinet-1295.jpg]]

Um ein "Captive Portal" innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security captive-portal
# set portal type [auth | auth+disclaimer | disclaimer | email-collect]
# set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
# end
# end

Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" definiert werden. Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich nicht anmelden müssen über das "Captive Portal" dh. diese können sich ohne Authentifizierung und ohne "Captive Portal" sowie "Disclaimer" verbinden! Die "Excempt List" wird folgendermassen konfiguriert:

# config user security-exempt-list
# edit [Name der Liste
# config rule
# edit [Vergebe einen entsprechenden Integer zB 1]
# set description [Bezeichnung der Liste Optional]
# set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
# set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
# end
# end
# end

=== Wie kann ich für eine Forti Access Point SSID ein externes "Captive Portal" konfigurieren? ===

Unter folgenden Artikel sind sind die Möglichkeiten eines "Captive Portals" beschrieben:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]

Wie in diesem Artikel beschrieben, ist es möglich ab FortiOS 5.2.3 ein externes "Captive Portal" zu benutzen anstelle des FortiGate "Captive Portals". Dies sollte dann benutzt werden, wenn das FortiGate "Captive Portal" nicht die HTML/Web Konfiguration zulässt die für das "Captvie Portal" notwendig ist wie zB Dynmaischer Inhalt der Seite usw. da solche Inhalte in den "Replacement Message" Page auf einer FortiGate nicht konfiguriert werden können. Nachfolgend wird gezeigt wie so ein Workflow eines externen "Captive Portal" aussieht:

'''L3 External Web Authentication Workflow'''

[[Datei:Fortinet-1365.jpg]]

In diesem "Workflow" wird ein Beispiel gezeigt im Zusammenhang mit Radius Server dh. zB einem FortiAuthenticator. Dies bedeutet: Ab dem Zeitpunkt "Submit login form (username, password) via a POST method to FGT" werden die entsprechenden Login Informationen zur FortiGate übermittelt und verarbeitet. Ob nun ein Active Directory auf der FortiGate konfiguriert wurde oder Lokale User ist irrelevant dh. Wichtig ist das die entsprechenden Informationen anhand "POST methode" der FortiGate übermittelt werden!

'''Konfiguration der SSID mit der Definition des external Captive Portal"'''

Als Erstes muss eine entsprechende SSID konfiguriert werden. Inerhalb dieser SSID wird das external Captive Portal
gewählt mit dessen IPv4 Adresse sowie URL Path. Ebenso muss eine entsprechende Gruppe definiert werden in der sich
die User befinden oder auf einen zB Radius Server (FortiAuthenticator) verwiesen wird:

[[Datei:Fortinet-1366.jpg]]

Für die definierte Gruppe kann ebenfalls eine "Exempt List" definiert werden. Weitere Informationen wie diese zu
konfigurieren ist siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]

Wenn die Konfiguration der SSID auf der Kommandozeile durchgeführt werden soll benutze folgende Befehle:

# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set ssid [Name der SSID]
# set security captive-portal
# set selected-usergroups [Name der Gruppe für die Authentifizierung]
# set security-exempt-list [Name der "Exempt List"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# set intra-vap-privacy enable
# set local-switching disable
# set external-web [IPv4 Adresse sowie URL Path zum external Captive Portal zB nach unserem Beispiel "192.168.234.51/portal.php"]
# next
# end

Wenn die Option "security-redirect-url" nicht gesetzt ist resp. keine entsprechende URL konfiguriert wurde, wird
die "Orginal Anfrage" des Users ausfgeführt anstelle des "redirect's". Die "Exempt List" Definition erlaubt "ohne
Authentifizerung" auf das externe "Captive Portal" zu zugreifen. Für die Option "security-exempt-list" ist folgendes
auszuführen:

# config user security-exempt-list
# edit [Name der "Exempt List"]
# config rule
# edit 1
# set devices [Name der Devices zB "ip-phone"]
# next
# edit 2
# set srcaddr [Name des Objektes der Source Adressen zB der SSID des "externen" Captive Portals]
# next
# end
# next
# end

Wenn die Option "external-web" nicht gesetzt wird so wird das "Captive Portal" der FortiGate aufgerufen. In der
Option "external-web" muss nicht explizit http oder https aufgeführt werden da http und/oder https über das
folgendende Kommando gesteuert wird:

# config user setting
# set auth-secure-http [disable | enable]
# end

Die Option "auth-secure-http" ist per Standard mit "disable" konfiguriert dh. der User wird der ein "http" Anfrage
ausführt für eine Authentifizierung wird "nicht" auf "https" weitergeleitet (redirect)!

'''Konfiguration der Firewall Policy Rule für den Zugriff auf das externe "Captive Portal"'''

Nun muss eine sogenannte "Walled Garden Policy" erstellt werden. Dies bedeutet folgendes: In der nachfolgend
Firewall Policy Rule wird erlaubt, dass User die verbunden sind mit der SSID des externen "Captive Portals"
sich ohne Authentifizierung zu diesem externen "Captive Portal" verbinden dürfen um eine Authentifizierung
durchzuführen. Die Option "captive-protal-exempt enable" ermöglicht dies obwohl eine SSID konfiguriert ist
mit einer Authentifizierung:

# config firewall address
# edit [Name des Objekts für die IPv4 Adresse des "external" Captive Portal zB "web-portal-192.168.234.51"]
# set subnet 192.168.234.51 255.255.255.255
# next
# end

# config firewall policy
# edit [Vergebe einen entsprechender Integer für die Policy]
# set srcintf [Name der SSID für das "externe" Captive Portal]
# set dstinf [Name des Interface hinter der sich der "externe" Captive Portal befindet]
# set srcaddr "all"
# set dstaddr [Name des Objektes für das "externe" Captive Portal zB "web-portal-192.168.234.51"]
# set action accept
# set schedule "always"
# set service "ALL"
# set caprive-portal-exempt enable
# next
# end

Die Grundkonfiguration für den Zugriff für das externe "Captive Portal" ist nun gegeben. In der SSID wurde das externe "Captive Portal" mit dessen IPv4 Adresse und URL konfiguriert. In unserem Beispiel ist das:

192.168.234.51/portal.php

Das File "portal.php das unser externes "Captive Portal" darstellt, muss nun die entsprechende HTML/PHP Konfiguration beinhalten um den "Method POST" durchzuführen. Nachfolgend ein Beispiel des Inhaltes ein entsprechendes "portal.php":

--------------- portal.php ---------------

<nowiki><?php

define('login', 'login');
define('success', 'auth=success');
define('fail', 'auth=failed');
define('logout', 'logout=ok');

function getLeft($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, 0, $key_pos);
}

function getRight($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, $key_pos);
}

$myqury = $_SERVER['QUERY_STRING'];
$auth_string = 'fgtauth';
$magic = 'magic=';
$needle = '&';
$fgt_post = "post=";

if (stristr($myqury, login)) {
$pos = strpos($myqury, $fgt_post);
if ( $pos > 0 ) {
$start = $pos + strlen($fgt_post);
$fgt_url = substr($myqury, $start);
$post_url = getLeft($fgt_url, $auth_string);
$other_var = getRight($fgt_url, $magic);
$magic_pair = getLeft($other_var, $needle);
$magic_id = substr($magic_pair, strlen($magic));

$pre_act ='<table width="300" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="form1" method="post" action=';
$post_act = '>
<td>
<table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td colspan="3">Test Login</td>
</tr>
<input type="hidden" name="magic" value=';
$post_magic = '>
<tr>
<td width="78">Username</td>
<td width="6">:</td>
<td width="294"><input name="username" type="text" id="username">
</td>
</tr>
<tr>
<td>Password</td>
<td>:</td>
<td><input name="password" type="text" id="password"></td>
</tr>
<tr>
<td> </td>
<td> </td>
<td><input type="submit" name="Submit" value="Login"></td>
</tr>
</table>
</td>
</form>
</tr>
</table>';
$login_form = $pre_act . $post_url . $post_act . $magic_id . $post_magic;
echo $login_form;
} else {
echo "login command without post url";
}
}

$mycmd = strtolower($myqury);

switch($mycmd) {
case success:
echo "here is success page";
break;
case fail:
echo "here is fail page";
break;
case logout:
echo "here is logout page";
break;
}

?></nowiki>

--------------- portal.php ---------------

Der letzte Schritt der Konfiguration der nun vollzogen werden muss, ist was durchgeführt werden soll wenn die Authentifizierung auf dem externen "Captive Portal" erfolgreich durchgeführt wurde. Dabei gibt es zwei Möglichkeiten:

1. In der SSID ist die folgende Option gesetzt:

# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# end

Wenn diese Option benutzt wird so wird der User automatisch nach einer erfolgreichen Authentifizierung zu dieser konfigurierten
"security-redirect-url" weitergeleitet und es benötigt keine zusätzliche Konfiguration!

2. In der SSID ist die Option "security-redirect-url" nicht gesetz:

In so einer Situation wird die Orginal URL benützt die der User zu Beginn benutzt hat. Damit der User nach einer erfolgreichen
Authentifizierung zu dieser orginal URL weitergeleitet wird, muss die entsprechende "Replacement Message" Group konfiguriert
werden. Diese "Replacment Message" Groups arbeiten mit "tags" die dies ermöglichen. Nachfolgend ein Beispiel das für unsere
Konfiguration benützt werden kann:

# config system replacemsg auth "auth-success-page"
set buffer "<html>
<head>
<title>
Firewall Authentication
</title>
</head>
<body>
If JavaScript is not enabled, please
<a href=\"%%AUTH_REDIR_URL%%\">
click here
</a>
to continue.
<script language=\\\"JavaScript\\\">
window.location=\\\"%%AUTH_REDIR_URL%%?usermac=%%USER_MAC%%&apmac=%%AP_MAC%%&apip=%%AP_IP%%&userip=%%USER_IP%%&device_type=%%DEVICE_TYPE%%&continueURL=%%PROTURI%%&portalAddr=%%PORTAL_ADDR%%&redirectURL=%%AUTH_REDIR_URL%%\\\";
</script>
</body>
</html>"
end

Weitere Informationen zu den "Replacement Message" Groups siehe auch nachfolgender Artikel:

[[FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F]]

=== Wie kann ich für einen Forti Access Point Traffic für ein "Captive Portal" ohne Authentifizierung erlauben? ===

Ein User der eine Anfrage für eine bestimmte Domaine/Zieladresse durchführt, wird automatisch beim ersten Aufruf dieser Domain/Zieladresse zum entsprechenden "Captive Portal" - das für die entsprechende SSID konfiguriert wurde - weitergeleitet. Nachdem der User sich korrekt auf dem "Captive Portal" authentifiziert hat, wird die Anfrage des Users für die Domaine ausgeführt. Wenn man nun für eine bestimmte Domaine/Zieladresse keine Authentifizierung über das "Captive Portal" benützen möchte dh. wenn der User diese Domaine/Zieladresse aufruft, wird dieser direkt "ohne Authentifizierung auf dem Captive Portal" direkt zur entsprechender Domaine/Zieladresse weitergeleitet. Um dies zu konfigurieren muss eine bestimmte Policy erstellt werden und in dieser die Option "captive-portal-exempt" aktiviert werden. Diese Option steht ab FortiOS 5.2 zur Verfügung. Um die Konfiguration durchzuführen führe folgendes aus:

'''Erstellen eines Objektes für Domaine die erlaubt werden soll'''

# config firewall address
# edit "also.com"
# set type fqdn
# set fqdn "also.com"
# next
# end

'''Erstellen der Firewall Policy und Aktivierung der Option'''

# config firewall policy
# edit
# set srcintf "[Name der SSID auf dem ein Captive Portal konfiguiert wurde]"
# set dstintf "wan1"
# set srcaddr "all"
# set dstaddr "[Name des Adresss Objektes das wir erstellt haben zB "also.com"]"
# set action accept
# set schedule "always"
# set service "[Gebe den entsprechenden Service an zB HTTP]"
# set captive-portal-exempt enable
# set nat enable
# next
# end

=== Wird für eine Forti Access Point SSID Radius Server Authentifizierung die Funktion "Accounting" unterstützt? ===

Wenn ein zB WPA2-Enterprise Authentifizierung über Radius Server für eine SSID konfiguriert wird so wir Radius "Accounting" ab FortiOS 5.2 unterstützt. Bei der Radius "Accounting" Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IPv4 Adresse sowie Usernamen zum Radius Server übermittelt. Wenn Radius "Accounting" auf dem Radius Server benutzt wird, beginnt nach einer erfolgreichen Authentifizierung eine interne "Zurechnung". Diese interne "Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server, sendet dieser dem zuständigen Device zB der FortiGate eine "Accounting" Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei Wireless HotSpot's wie Swiccom benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt keine Radius Server "Accounting" Funktion. Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:

http://de.wikipedia.org/wiki/RADIUS_(Protokoll)

Um eine Radius Server "Accounting" Funktion seitens FortiGate zu konfigurieren muss folgendes durchgeführt werden:

# config user radius
# edit [Gebe den entsprechenden Namen ein]
# config accounting-server
# edit 1
# set status enable
# set server [IPv4 Adresse des Radius Servers]
# set secret [Definition des Preshared Secrets]
# end
# set acct-interim-interval [Zeitintervall in Sekunden 600 - 86400 Sekunden]
# end

Durch diese Konfigurtion sendet die FortiGate dem Radius Server Update Benachrichtigungen betreffend dem "Accounting" durch die konfigurierte "acct-interim-interval" Funktion! Durch die Konfiguration "acct-interim-interval" wird im Hintergrund auf dem API des Radius Servers folgende Information dem Radius Server gesendet, der dieses API unterstüzen/verstehen muss:

Acct-Interim-Interval=600

=== Wie wird für eine Forti Access Point SSID Authentifizierung einen MAC Filter (802.11x) Konfiguriert? ===

Praktisch jeder Wireless Access Point bietet die Möglichkeit den Zugang zur SSID einzuschränken anhand einer vordefinierten und eingetragener MAC-Adresse (Filter). Eine MAC Adresse (Media Access Control) ist ein 48-Bit lange Adresse im Hexadezimalcode. Jeder Netzwerk basierende Device ist mit einer solchen MAC Adresse ausgestattet und diese wird, um den Datenaustausch zu gewährleisten, über "arp request" zwischen den Devices ausgetauscht. Somit wäre diese MAC Adresse eigentlich eine gute Möglichkeit einen Zugriff einzuschränken jedoch ist folgendes zu berücksichtigen:

Diese MAC Adresse wird nicht durch den Device selber einem Teilnehmer (Device) im Netzwerk weitergegeben sondern über das
Betriebssystem. Somit ist es möglich die Information auf dem Betriebssystem zu verändern dh. manuell die Mac Adresse des
Devices zu verändern. Dies ist auch bekannt als "MAC-Spoofing" (Vorgabe einer fingierten MAC Adresse). Um ein "MAC-Spoofing"
durchzuführen muss man nur den Wireless Traffic sniffen (abhören), denn die Informationen des MAC Adressen Austausch (arp
request) werden "clear-text" übertragen. Somit ist eine reine Authentifizierung basierend auf MAC Adressen absolut nicht zu
empfehlen kann jedoch als zusätzliche Security Implementation konfiguriert werden!

Nichts desto trotz stellt jedoch eine MAC Adressen basierende Authentifizierung eine gute Möglichkeit dar, den Zugriff zusätzlich einzuschränken. Dabei kann zB der DHCP Server der SSID von "assign" auf "block" gesetzt werden. Dadurch vergiebt der DHCP Server nur IPv4 Adressen an Devices die im DHCP Server mit deren MAC Adressen eingetragen sind (MAC Adress Filer + IP Reservation). Im Zusammenhang mit einer WPA/WPA2 Authentifizierung kann somit durch dies Konfiguration eine zusätzliche Sicherheit gewährleisten werden. Zusätzlich kann ebenfalls eine "Device Authentification" durchgeführt werden dh. es werden nur Devices zugelassen wie zB IPhone's. Nachfolgendes Beispiel zeigt eine solche Erweiterung basierend auf MAC Adressen und Device Authentication. Basis dafür ist eine SSID basierend auf einer "wpa-personal" Authentifizierung. Diese Konfiguration kann jedoch mit jeglicher Authentifizierung durchgeführt werden:

'''Erstelle eine neue SSID basierend auf "wpa2-only-personal":'''

# config wireless-controller vap
# edit [Name der entsprechenden SSID zB "only4intern"]
# set vdom "root"
# set ssid [Name der entsprechenden SSID zB "only4intern"]
# set intra-vap-privacy enable
# set security [Setze die entsprechende Security für die SSID zB "wpa2-only-personal"]
# set passphrase [Passwort für die "wpa-personal" Authentifizierung]
# end

'''Konfiguriere das Interface für die SSID:'''

# config system interface
# edit [Name der entsprechenden SSID zB "only4intern"]
# set ip [IPv4 Adresse für das Interface der SSID zB "192.168.3.1 255.255.255.0"]
# set allowaccess ping
# set device-identification enable
# end

'''Definiere für das Interface der SSID eine DHCP Server basierend auf "block":'''

# config system dhcp server
# edit [Definiere einen entsprechenden Integer zB "5"]
# set mac-acl-default-action [Setze den DHCP Server von "assign" auf "block"]
# set dns-service default
# set ntp-service default
# set default-gateway [IPv4 Adresse für Default Gateway zB "192.168.3.1"]
# set interface [Defniere das Interface für diesen DHCP Server zB "only4intern"]
# set timezone-option default
# set netmask [Konfiguriere die Subnet Mask für den IP Range des DHCP Servers zB "255.255.255.0"]
# config ip-range
# edit [Definiere einen entsprechenden Integer zB "0"]
# set start-ip [Definiere die Start IPv4 Adresse des DHCP Servers zB "192.168.3.2"]
# set end-ip [Definiere die End IPv4 Adresse des DHCP Servers zB "192.168.3.254"]
# end
# end

'''Trage eine entsprechende MAC Adresse eines Device für den DHCP Server der SSID ein:'''

# config system dhcp server
# edit [Gebe einen entsprechenden Integer an zB "5"]
# config reserved-address
# edit [Gebe einen entsprechenden Integer an zB "0"]
# set mac [Definiere die entspechende MAC Adresse zB "94:65:9c:74:47:c6"]
# set ip [Definiere die IPv4 Adresse die der MAC Adresse zugewiesen werden soll zB "192.168.3.2"]
# end
# end

Da der DHCP Server von "assign" auf "block" gesetzt wurde, werden keine IPv4 Adressen durch den DHCP Server vergeben mit Ausnahme für Devices die anhand des "MAC Reservation + Access Control" definiert wurden. Diese Konfiguration kann ebenfalls über Mgmt. Web Interface durchgeführt werden für das entsprechenden Interface des FortiGate Devices dh.:

System > Network > [Markiere den Eintrag des Interface der SSID] > Edit > DHCP Server > Advanced > MAC Reservation + Access Control > Create New

Unter dieser Positon existiert ein "Standard Eintrag" dh. "Unknown MAC Adresses Block" der zuständig ist das nur definierten MAC Adressen eine IP zugewiesen wird!

'''Konfiguriere für den DHCP Server der SSID eine Device Authentication:'''

# config user device-access-list
# edit [Gebe einen Namen ein für die "device-access-list" zB "whitelist"]
# set default-action deny
# config device-list
# edit [Gebe einen Integer ein zB "1"]
# set device [Definiere den entsprechenden Device zB "iphone" (Für mehr Infos benütze "?"]
# set action accept
# next
# end
# end

# config system interface
# edit only4intern
# set device-identification enable
# set device-access-list [Konfiguriere die entsprechende "device-access-list" zB "whitelist"]
# next
# end

Ein Device und/oder eine Gruppe von Devices kann ebenfalls manuell definiert werden. Dies ist über Mgmt. Web Interface über folgenden Menüpunkt verfügbar:

User & Device > Device > Device definition > Create New

Weitere Informationen beteffend "config user devcie-access-list" findet man auch unter folgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_die_Device_Identification_Funktion_anhand_einer_Mac_Adresse_einen_Device_blocken_.28802.11x.29.3F]]

Somit kann nur der Device mit der MAC "94:65:9c:74:47:c6" der über ein "IPhone" verfügt und vom DHCP Server die IP Adresse "192.168.3.2" zugewiesen wurde über "wpa2-personal" anhand des entsprechenden "Passwortes" auf die SSID "only4intern" zugreifen. Obwohl eine relativ einfache Security anhand "wpa2-personal" gewählt wurde konnte durch zusätzliche Filter die Security erhöht werden.

== Wireless Health ==

=== Gibt es eine Möglichkeit die Forti Access Points über den FortiGate Wireless Controller zu überwachen (Health Monitor)? ===

Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate anhand SNMP überwachen. Die Möglichkeiten über SNMP die Forti Access Points zu überwachen sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die über den FortiGate Wireless Controller angeschlossenen Forti Access Points über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende "Widgets" für die Uberwachung zur Verfügung:

WiFi Controller > Monitor

[[Datei:Fortinet-796.jpg]]
[[Datei:Fortinet-797.jpg]]

Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

== WIDS ==

=== Was bedeutet die Funktion "WIDS" (Wireless IDS) innerhalb eines WTP Profiles eines Forti Access Points? ===

"Wireless IDS" (WIDS) ist ein Intrusion Detection System und steht ab FortiOS 5.0 zur Verfügung sowie überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten (Log). Wenn ein Angriff stattfindet, wird dieser auf der FortiGate ins Wireless Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen:

• Unauthorized Device Detection
• Rogue/Interfering AP Detection
• Ad-hoc Network Detection and Containment
• Wireless Bridge Detection
• Misconfigured AP Detection
• Weak WEP Detection
• Multi Tenancy Protection
• MAC OUI Checking

Per Standard existiert ein Standard Profil "default". Dieses Profile wird innerhalb eine Access Point WTP Profiles als "default" automatisch unter FortiOS 5.0 ausgewählt! Dies ist jedoch ab FortiOS 5.2 nicht mehr der Fall dh. für die WIDS Funktion wird per Standard kein Profile automatisch ausgewählt. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS 5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet man im nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]

Das "default" Profile für WIDS enthält folgendes:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet1276.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
used-by :
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1

'''FortiOS 5.2'''

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet1277.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : Default WIDS profile.
used-by :
ap-scan : enable
ap-bgscan-period : 600
ap-bgscan-intv : 1
ap-bgscan-duration : 20
ap-bgscan-idle : 0
ap-bgscan-report-intv: 30
ap-bgscan-disable-day:
ap-fgscan-report-intv: 15
ap-scan-passive : disable
rogue-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1

'''FortiOS 5.4'''

WiFi Controller > WIDS Profiles

[[Datei:Fortinet-1696.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
ap-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
deauth-unknown-src-thresh: 10

Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Profile Positionen:

[[Datei:Fortinet-361.jpg]]
[[Datei:Fortinet-362.jpg]]

== Split Tunneling ==

=== Wie konfiguriere ich für eine Forti Access Point SSID die Funktion "Split Tunneling"? ===

Wenn ein Forti Access Point zB für Remote benutzt wird, sei es als Remote Zugang und/oder in der Remote Lokation, konnten bis anhin im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate Wireless Controller gesendet wird. Ab FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet: anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt über die SSID zu erlauben ohne die SSID als "Local bridge with FortiAP's Interface" zu konfigurieren. Diese neue Funktion wird ausdrücklich nur im "Tunnel to Wireless Controller" Mode empfohlen! VLAN's im Zusammenhang mit der "Split Tunneling" Funktion wird nicht unterstützt. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt resp. muss aktiviert werden. Danach muss im entsprechendne WTP Profile des Forti Access Point das "Split Tunneling" konfiguriert werden:

# config wireless-controller vap
# edit [Name des entsprechenden SSID Profiles]
# set split-tunneling enable
# end

# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set dest-ip [IPv4 Adresse plus Subnet Mask zB "192.168.10.0/24"]
# end
# end

Die Option "split-tunneling-acl-local-ap-subent" bezieht sich auf "ganze" Subnet des Forti Access Point und muss nur dann aktiviert werden, wenn das Subnet in dem sich der Forti Access Point befindet als "ganzes" Subnet freigegeben werden soll! Somit wenn nur eine bestimmte IPv4 Adresse freigegeben werden soll, muss diese Option nicht aktiviert werden und die einzelne IPv4 Adressen können unter "dest-ip" definiert werden. Wenn die Funktion des "split-tunneling" benutzt wird ist folgendes zu berücksichtigen: Im Fall eines aktivierten "split-tunnling" wird ein "NAT" (Network Address Translation) durchgeführt dh. der Client der über eine SSID verbunden ist und eine Anfrage an eine IPv4 Adresse die für ein "split-tunneling" konfiguriert ist, wird hinter der Management IPv4 Adresse des Forti Access Point ein Source NAT durchgeführt (Hide behind outgoing Interface). Somit komuniziert der Wireless Client/Host zur Destination IPv4 Adresse als Source IPv4 Adresse diese Management IPv4 Adresse des Forti Access Point und nicht die IPv4 Adresse die dem Wireless Client/Host über die SSID zugewiesen wurde. Die Management IPv4 Adresse des Forti Access Point, ist die IPv4 Adrresse die dem Forti Access Point zugewiesen wird, wenn sich der Forti Access Point zum Forti Wirless Controller verbindet (CAPWAP).

== CAPWAP / DTLS ==

=== Wieviel Bandbreite steht mir über CAPWAP auf einem FortiGate Wireless Controller für Forti Access Points zur Verfügung? ===

Wenn Forti Access Point über den FortiGate Wireless Controller verwaltet werden und dabei SSID benutzt werden im "Tunnel to Wireless Controller" Mode, stellt sich die Frage wieviel Bandbreite für diese Forti Access Point über CAPWAP zur Verfügung steht. Dies bedeutet: Die CAPWAP Bandbreite gibt die maximale Grösse an die eine FortiGate Wireless Controller verarbeiten kann betreffend Forti Access Points Traffic. Somit wird die CAPWAP Grösse nicht pro Forti Access Point berrechnet sondern als Totale Bandbreite die zur Verfügung steht. Neu wird diese CAPWAP Bandbreite in den FortiGate Datasheet's aufgeführt als HTTP was wiederum bedeutet: Um eine Referenz zu erhalten wird die Bandbreite anhand des HTTP Protokolls referenziert. Weitere Informationen siehe nachfolgendes Dokument:

[[Fortinet:ProduktInfo#FortiGate]]

Somit steht diese CAPWAP Bandbreite ebenfalls in Zusamenhang mit den maximal Anzahl Forti Access Points die über einen FortiGate Wireless Controller verwaltet werden können. Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]

Nachfolgend eine Kurzübersicht über diesen "CAPWAP HTTP Throughput" für die Fortinet Produktelinie:

[[Datei:Fortinet-1357.jpg]]

Wenn eine FortiGate Device über einen NP6 verfügt, kann dieser grundsätzlich den Traffic beschleunigen (Acceleration). Jedoch ist diese Funktion unter FortiOS 5.2 deaktiviert und nicht in Benutzung. Ab FortiOS 5.4 wird diese Funktion per Standard aktiviert um somit betreffend CAPWAP eine Beschleunigung zu ermöglichen.

=== Wird der CAPWAP Traffic zwischen einem FortiGate Wireless Controller und Forti Access Pointse verschlüsselt? ===

Der Traffic zwischen dem Ethernet "wan" Interface eines Forti Access Point und dem FortiGate Wireless Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei wird dieser Traffic "encapsulated" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen dem FortiGate Wireless Controller und den Forti Access Point kann die DTLS Verschlüsselung ab FortiOS 5.0 Optional aktiviert werden. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

=== Wie werden Forti Access Point über einen FortiGate Wireless Controller verwaltet/konfiguriert (CAPWAP)? ===

Der Standard der benutzt wird um die Forti Access Point über einen Fortigate Wireless Controller zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:

http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol

Die Ports die benutzt werden für CAPWAP sind per Standard:

UDP 5246 und 5247

Ab FortiOS 5.0.3 kann die CAPWAP Funktion auf den jeweiliegen FortiGate Interfaces über die "Administrative Access" Funktion aktiviert und deaktiviert werden.

System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP

Durch die Aktivierung von CAPWAP auf einem FortiGate Interface wird im Hintergrund eine automatische "Local-In" Policy konfiguriert, die den Traffic von CAPWAP vom Segment gemäss der Konfiguration des Interfaces und auf die IPv4 Adresse des FortiGate Interfaces zulässt. Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend dh. Anhand Zertifikate auf dem FortiGate Wireless Controller sowie auf dem Forti Access Point! Per Standard ist der "Data Channel" der durch die Wireless Clients/Hosts benutzen wird um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion auf dem FortiGate Wireless Controller aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Wenn es betreffend Wireless Clients/Hosts im Zusammenhang mit DTLS Verschlüsselung zu Performance Problemen kommt, die zurück zu führen sind auf Defragmentierung, gibt folgender Artikel Auskunft was getan werden kann:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]

Wenn DTLS Verschlüsselung aktiviert wird so wird empfohlen den oberen Artikel zu berücksichtigen und die Konfiguration zur Verhinderung einer Fragmentierung durchzuführen!

=== Wie konfiguriere ich für ein Forti Access Point WTP Profile eine "Data Channel Encryption" (DTLS)? ===

DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic der Wireless Clients/Hosts, der vom Forti Access Point "wan" Interface zum FortiGate Wireless Controller übermittelt wird, innerhalb CAPWAP als "Data Channel" zu verschlüsseln. Somti wird der "Data Channel" "encapsulated" im CAPWAP. Per Standard wird dieser Traffic nicht verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen, dasd beide Seiten dh. der FortiGate Wireless Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert. Ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate Wireless Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance, die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate Wireless Controller die Funktion gesteuert werden. Wenn auf dem FortiGate Wireless Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funktion "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn die "automatic" Funktion (kein WTP Profile) die ab FortiOS 5.0 zur Verfügung steht benutzt wird, kann nur "clear-text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren führe folgendes durch:

'''Auf dem FortiGate Wireless Controller:'''

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end

'''Auf dem FortiAP:'''

# cfg -a AC_DATA_CHAN_SEC=1
# cfg -c

Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:

• 0 is Clear Text
• 1 is DTLS Enabled
• 2 is Clear T ext or DTLS Enabled (default)

Unter FortiOS 5.4 gibt es für DTLS eine zusätzliche Option um DTLS direkt im Kernel zu aktivieren dh. da DTLS im Kernel direkt aktiviert ist, wird die Funktion Perfomanter resp. schneller da die Funktion für DTLS direkt im Memory über den Kernel durchgeführt wird. Um diese Funktion zu aktivieren benutze folgendes CLI Kommando:

'''Auf dem FortiGate Wireless Controller:'''

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-in-kernel [enable | disable]
# end

Die Konfiguration auf dem Forti Access Point solle untern normalen Umständen nicht verändert werden da die Standard Konfgiguration "AC_DATA_CHAN_SEC=2" ist was wiederum bedeutet: Der Forti Access Point akzeptiert "clear-text" und/oder "dtls". Dies bedeutet wiederum die Funktion der DTLS Verschlüsselung kann über den FortiGate Wireless Controller gesteuert werden und muss auf dem Forti Access Pont nicht konfiguriert werden da dieser beide Methoden anbietet. Ebenfalls ist es für ein Troubleshooting möglich die Funktion ohne die Konfiguration zu ändern vorübergehend zu deaktivieren. Weitere Informationen dazu siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_die_DTLS_Funktion_f.C3.BCr_ein_Troubleshooting_vor.C3.BCbergehend_deaktivieren.3F]]

=== Wie kann ich für einen Forti Access Point innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern? ===

Die MTU Size auf den meisten Betriebsystemen ist auf max MTU Size 1500 gesetzt. Dieser Wert stellt eher ein suboptimalen Wert dar dh. wenn ein Wireless Client/Host ein grosses Packet über ein Forti Access Point sendet verfügt dieses Packet über eine max. MTU Size von 1500. Da dieses Packet auf dem Forti Access Point verschlüsselt werden muss, um über den CAPWAP Tunnel versendet zu werden, muessen Informationen zum 1500 MTU Size grossen Packet hinzugefügt werden. Geschieht dies, kann dieses Packet nicht mehr in einem Packet versendet werden da die Grösse max MTU Size 1500 übersteigt. Somit müssen in dieser Situation zwei Packete versendet werden. Dies stellt eine Defragmentierung dar und beieinträchtigt die Performance da anstelle eines Packets zwei Packete versendet werden müssen. Unter normalen Umständen geschieht dies nicht auf den Forti Access Point zurück zuführen auf den "overhead" des CAPWAP Tunnels da diese Information sehr klein sind. Wird jedoch DTLS Verschlüsselung aktiviert, muss diese Information auf dem Forti Access Point ebenfalls zu den existierendnen Headers hinzugefügt werden und dabei kommt es mit ziemlich grosser Sicherheit zu einer Fragmentierung. Die DTLS Strucktur sieht folgendermassen aus:

'''DTLS Packet Structure and Fields'''

I’ve been digging into the DTLS packet structure, looking for free bytes for some security related ideas I have been playing with.
This following is the DTLS packet structure:
| Type | Version | Epoch | Sequence Number | Length | IV | Data | MAC | Padding |
Type = (1 byte), Version (2 byte)
Epoch is incremented each rekey (2 byte)
Seq Num incremented per packet (6 byte)
Epoch + sequence number = IV for MAC
Length (2 byte) = IV + MAC + Padding
IV = Initial Vector = randomizer / seed used by encryption
Encrypted section: Data, MAC, Padding
MAC uses epoch and seq number for its sequence number (similar to an IV)
Padding added to get block size for crypto (16 or AES, 8 for DES)

Aus diesem Grund wird empfohlen im Zusammehang mit DTLS Verschlüsselung die nachfolgend Konfiguration durchzuführen. Durch diese nachfolgende Konfiguration wird der Wireless Client/Host angewiesen kleinere Packete zu versenden (max. transmission unit) anstelle der max. MTU Size 1500 um einen Fragementierung durch zusätzlich hinzugefügte TCP Header Informationen zu verhindern. Dabei ist folgendes zu berücksichtigen: Die Grösse der MTU Size hängt von der Punkt zu Punkt Verbindung ab dh. eine MTU Size wird immer über Punkt zu Punkt Verbindung verifiziert dh. Wenn die MTU Size auf zB 1442 gesetzt ist und der CAPWAP Tunnel wird zu einem FortiGate wan1 Interface aufgebaut und dieses ist auf 1462 gesetzt kommt es unweigerlich zur Fragementierung. Dies bedeutet ebenfalls die MTU Size Grösse unterliegt in erster Linie dem kleinsten Wert in einer Punkt zu Punkt Verbindung. Auf dem Forti Access Point dürfen somit nicht grössere Packete als der kleinste Wert in der Punkt zu Punkt Verbindung übermittelt werden. Somit ergiebt sich für den MTU Wert für einen Forti Access Point:

[Kleinster Wert der Punkt zu Punkt Verbindung] Minus [DTLS Crypto Packet Size] = [Wert für "ip-fragment-preventing"]

Für die Option "ip-fragment-preventing" stehen zwei Optionen zur Verfügung dh. "tcp-mss-adjust" oder "icmp-unreachable". Dabei ist folgendes zur berücksichtigen. Die Option "tcp-mss-adjust" ist eine Funktion (1 bit) innerhalb eines TCP Headers. Somit wird durch "tcp-mss-adjust" ausschliesslich TCP unterstützt und nicht UDP. Aus diesem Grund empfehlen wir "icmp-unreachable" da diese Funktion TCP und UDP unterschtützt. Die Funktion "ip-fragment-preventing" kann folgendermassen konfiguriert werden:

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profile]
# set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
# set tun-mtu-uplink [0 | 576 | 1500]
# set tun-mtu-downlink [0 | 576 | 1500]
# end
# end

'''tcp-mss-adjust'''
Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS)
zu senden. Der Forti Access Point fügt dem "SYN" TCP Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
und somit kann der Forti Access Point den Overhead des CAPWAP/DTLS hinzufügen und eine Fragmentierung verhindern.

'''icmp-unreachable'''
Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der Forti
Access Point Packete verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
Wenn dies eintrifft, sendet der Forti Access Point ein Packet zum Wireless Controller:

Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"

Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.

'''tun-mtu-uplink'''
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

'''tun-mtu-downlink'''
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

=== Wie kann ich für einen Forti Access Point die DTLS Funktion für ein Troubleshooting vorübergehend deaktivieren? ===

Die DTLS Funktion dh. "Data Channel Encryption" wird im entsprechenden WTP Profile eines Forti Access Point aktiviert resp. deaktiviert. Da auf dem Forti Access Point die DTLS Funktion auf "clear-text und "DTLS" zur Verfügung steht, kann die Funktion über den FortiGate Wireless Controller gesteuert resp. konfiguriert werden dh. im entsprechenden WTP Profile aktiviert und/oder deaktiviert werden. Wenn aus irgendwelchen Gründen dies nicht möglich ist und die Funktion nur vorübergehend deaktiviert werden soll, kann dies über "diagnose wireless" Funktion für einen entsprechenden Forti Access Point durchgeführt werden. Dazu muss folgendes ausgeführt werden:

'''Liste alle Forti Access Points auf dem FortiGate Wirless Controller auf:'''

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

'''Aktiviere vorübergehend die "plain-ctl" Funktion (DTLS deaktiviert) auf einem entsprechenden Forti Access Point:'''

# diagnose wireless wlac plain-ctl FAP21D3U14000144 1

WTP 0-FAP21D3U14000144 Plain Control: '''enabled'''

Wenn die Option "1" benutzt wird so wird auf dem FortiGate Wireless Controller die Funktion "Plain Control" aktiviert. Wenn nachträglich die Option "0" benutzt wird so wird die "Plain Control" wiederum deaktiviert! Ebenso kann die Funktion "plain-ctl" Lokal auf dem Forti Access Point über "telnet" aktiviert resp. deaktiviert werden. Nachfolgender Artikel gibt Auskunft wie man Zugriff über "telnet" auf einen Forti Access Point erlangt:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

'''Aktiviere dei "plain-ctl" Funktion auf dem Forti Access Point:'''

Nachdem einloggen kann folgendes Kommando Lokal auf dem Forti Access Point eingegeben werden um die "plain-ctl" Funktion zu aktivieren:

# cw_diag plain-ctl 1

'''Nachdem Troubleshooting deaktiviere die "plain-ctl" Funktion (DTL aktiviert) auf einem entsprechenden Forti Access Point:'''

# diagnose wireless wlac plain-ctl FAP21D3U14000144 0

WTP 0-FAP21D3U14000144 Plain Control: '''disabled'''

Ebenfalls muss auf dem entsprechenden Forti Access Point die "plain-ctl" Funktion deaktiviert werden:

# cw_diag plain-ctl 0

Weitere Informationen zur Funktion DTLS siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

== Channel ==

=== Welche Radio "channel" muss ich auf dem Forti Access Point für verschiedenen Ländern benutzen? ===

Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:

[[Datei:Fortinet-304.jpg]]

Für den 5 GHz "channel" ist dabei der DFS (Dynamic Frequency Selection) Support der einzelnen Forti Access Points zur Verfügung steht zu berücksichtigen! Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

[[Datei:Fortinet-305.jpg]]

[[Datei:Fortinet-306.jpg]]

=== Was bedeutet es wenn ein Forti Access Point über den DFS (Dynamic Frequency Selection) Support verfügt? ===

Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden und zwar so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Dadurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar nur auf spezifischen Fortinet Modellen wie:

• FAP-221B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-222C Ab FortiOS 5.2.3 und nur für "European Union"
• FAP-320B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-321C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-323C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S422E Ab FortiOS 5.4.2 und nur für "European Union"

[[Datei:Fortinet-843.jpg]]

[[Datei:DFS_Europe.pdf]]

Grundsätzlich gilt folgendes:

'''Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:'''

UNI1 : 4 Kanäle
UNI2 : 4 Kanäle
UNI2e : 7 Kanäle
UNI3 : 4 Kanäle

'''Für die Schweiz gilt:'''

Indoor: Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
Channels: 36 40 44 48 52'''*''' 56'''*''' 60'''*''' 64'''*''' 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''

'''*''' Nur mit DFS Support!

Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
Channels: 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''

'''*''' Nur mit DFS Support!

Somit gilt als komplett Uebersicht im 2.4 GHz und 5 GHz Bereich Folgendes:

• WLAN 2.4 GHz nach dem Standart IEEE 802.11b/g darf auf den Kanälen '''1-13''' mit einer Leistung von
100 mW EIRP '''innerhalb und ausserhalb''' von Gebäuden betrieben werden.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''34-48''' mit einer Sendeleistung
von 200mW EIRP '''nur innerhalb''' von Gebäuden betrieben werden.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''52-64''' mit einer Sendeleistung
von 200mW EIRP (100mW ohne TPC) '''nur innerhalb''' von Gebäuden betrieben werden. DFS muss
aktiviert sein.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''100-140''' mit einer Sendeleistung
von 1W EIRP (500mW ohne TPC) '''innerhalb und ausserhalb''' von Gebäuden betrieben werden. DFS
muss aktiviert sein.

Weitere technische Informationen zum DFS findet man auch unter folgenden Link:

http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
http://en.wikipedia.org/wiki/List_of_WLAN_channels

http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de

=== Was bedeutet "overlapping wifi channels" für einen Radio eines Forti Access Point Konfiguration? ===

Wireless Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channel) genannt. Einer der Gründe, dass eine Verbindung Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird durch andere Forti Access Points oder fremde Access Poinst. Dadurch wird die Verbindung und schlussendlich die Performance beeinträchtigt. Aus diesem Grund sollte man dieses "overlapping" möglichst verhindern. Nachhfolgend eine Abbildung für den 2.4 GHz sowie 5 GHz Bereich der die verschiedenen Kanäle aufzeigt und dadurch entstehendes "overlapping":

[[Datei:Fortinet-330.jpg]]

Um herauszufinden welchen Kanal in der Umgebung verwendet wird durch eigenen Forti Access Point oder fremde Access Points, kann der Monitor auf dem FortiGate Wireless Controller benutzt werden. Siehe auch:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]
[[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]

Dies bedeutet: man setzt einen "radio" auf einem Forti Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Somit muss in erster Stelle die Umgebung kurz analysiert werden um festzustellen welche Kanäle bereits benutzt werden. Danach kann im entsprechednen WTP Profile die entsprechenden Kanäle speziell im 2.4 GHz Bereich ausgewählt werden. Alle Kanäle zB im 2.4 GHz Bereich zu aktivieren und "Radio Resource Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar das "Radio Resource Provisioning" (DARRP) in jedem Fall zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zum "Radio Resource Provisioning" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Desweiteren ist folgendes zu berücksichtigen: Wird eine Umgebung mit mehreren Forti Access Points aufgebaut ist es nicht zu empfehlen für alle Forti Access Points obwohl es sich um die gleichen Modelle handelt das gleiche WTP Profile zu benutzen. Wenn dies dennoch konfiguriert wird und der FortiGate Wireless Controller bemerkt ein "overlapping" wird da alle Forti Access Point das gleiche WTP Profile benutzen für alle den Kanal gewechselt. Damit sollten logisch gesehen für eine Umgebung mit mehreren Forti Access Point diese anhand mehrerer WTP Profiles betrieben werden. Konkret bedeutet dies folgendes: Muss eine Umgebung aufgebaut werden in einem Gebäude zB 3 Stockwerke sollten für jedes Stockwern mind ein WTP Profile konfiguriert werden mit unterschiedlichen Kanälen. Zustätzlich sollte analysiert werden ob die einzelnen Forti Access Points in den einzelnen Stockwerken oder über die einzelnen Stockwerke hinweg sich sehen. Ist dies der Fall sollte auch hier einzelne WTP Profiles konfiguriert werden. Dies kann mit einem einfachen Trick bewerkstelligt werden. Ueber Mgmt. Web Interface oder über CLI konfiguriere ein entsprechendes WTP Profile. Nach der Konfiguration führe auf der CLI folgendes aus:

# show wirless-controller wtp-profile [Name des konfigurierten WTP Profiles]

Danach wird als Beispiel folgendes ausgegeben auf der CLI:

config wireless-controller wtp-profile
edit "FAP-1-Stock-Rechts"
set comment "FortiAccess Point FAP221C Stock 1 Rechts"
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "3" "8" "13"
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end

Nun kopiere den "output" in ein Text File und ändere folgende Position ab:

config wireless-controller wtp-profile
edit '''"FAP-1-Stock-Links"'''
set comment '''"FortiAccess Point FAP221C Stock 1 Links"'''
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel '''"1" "6" "11"'''
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end

Führe dies durch führ jedes WTP Profile resp. Forti Access Point. Danach kann der "output" wiederum 1:1 per copy/paste in die CLI des FortiGate Devices reinkopiert werden. Nun als letzten Schritt muss nur noch das entsprechende WTP Profile dem entsprechenden Forti Access Point zugewiesen werden. Somit verfügt jeder Forti Access Point über sein eigenes kontrollierbares und konfigurierbares WTP Profile und kann bei Problemen angepasst werden. Diese granulare Konfiguratin gewährleistet eine optimale Konfiguration und dauert einige Minuten die zu vernachlässigen sind.

=== Wie kann ich auf einem Forti Access Point herausfinden welche "channel" ich benutzen soll um "overlapping" zu verhindern? ===

Wenn ein Forti Access Point eigerichtet wird, müssen die "channel" (Kanäle) speziell im 2.4 GHz Bereich definiert/konfiguriert werden. Dazu stehen in der Schweiz 13 Kanäle für den 2.4 GHz Bereich zur Verfügung. Alle Kanäle zu selektieren sowie "Radio Resource Provisioning" (DARRP) wäre die falsche Vorgehensweise da es so gezwungenermassen zu Problemen kommt sowie zu einem "ovelapping wifi channels"t. Weitere Informationen zu den Länderspezifischen Channels sowie "Radio Resource Provisioning" siehe folgende Artikel:

[[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
[[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Daher benötigt es speziell im 2.4 GHz Bereich eine Analyse der bereits benutzten "channel" in der Umgebung. Dies kann über die "dedicated monitoring" Analysiert werden. Eine weitere Variante wäre auf einem Client/Host die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:

[[FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F]]

Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhelfen dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" aufgelistet. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese "channel" aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden die im WTP Profile konfiguriert werden:

# get wireless-controller rf-analysis
WTP: FAP14C3X13000543 0-193.193.135.70:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 90 7 6 11
2 45 10 0 11
3 127 4 2 11
4 33 10 0 11
5 38 10 3 16
6 19 10 0 10
7 23 10 0 10
8 45 10 0 8
9 192 1 5 16
10 57 9 0 13
11 46 10 0 13
12 63 9 0 13
13 231 1 8 13
14 53 10 0 8

WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2

Controller: FGT60D4613048017-0
channel rssi_total
1 243
2 136
3 397
4 109
5 114
6 52
7 56
8 95
9 406
10 125
11 108
12 152
13 560
14 132
40 216
44 30
48 70

Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen "channel" mindestens 4 freizulassen. Dies wäre Optimal kann jedoch nicht immer speziell im 2.4 GHz Bereich konfiguriert werden. Es kann auch anhand der "wtp-id" (Serien Nummer) nur ein spezifischer Forti Access Point aufgelistet werden:

# get wireless-controller rf-analysis FAP22B3U11011877

WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2

Desweiteren kann mit folgenden Befehl alle Fortti Access Point's augelistet werden, die durch den Scan erkannt werden:

# get wireless-controller scan
CMWF VF SSID BSSID CHAN RATE SIGNAL NOISE INT CAPS ACT LIVE AGE WIRED
(dBm) (dBm)
UNNN 0 00:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336613 52253 ? WME VEN VEN ATH
UNNN 0 12:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 22:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 32:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336763 52252 ? WME VEN VEN ATH
UNNN 0 42:09:0f:95:30:f0 8 11M -90 -95 100 ESs N 336618 52253 ? WME VEN VEN ATH
UNNN 0 4ourguests 58:97:1e:b3:4c:70 9 216M -45 -95 102 ESs Y 343847 203 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:71 9 216M -57 -95 102 ESs N 343847 1146 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:72 9 54M -57 -95 102 EPSs N 343847 1144 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:74 9 54M -42 -95 102 EPSs Y 343847 548 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:75 9 54M -59 -95 102 EPSs Y 343847 544 ? RSN VEN VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:76 9 216M -44 -95 102 EPSs Y 343847 203 ? RSN WPA WME VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:79 48 450M -60 -95 102 EP Y 343830 811 ? RSN WPA WME VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7a 48 54M -60 -95 102 EP N 342030 9211 ? RSN VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7b 48 54M -60 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7d 48 54M -59 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7e 48 450M -59 -95 102 E Y 340230 811 ? WME VEN VEN VEN VEN

=== Gibt es eine Möglichkeit alle Access Points aufzulisten für die ein "overlapping channel" stattfindet (Interfering AP's)? ===

Wenn Forti Access Points speziell im 2.4 GHz Bereich installiert werden, muss darauf geachtet werden, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfinden. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:

[[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]

Um die Konfiguration der Forti Access Points nachträglich zu kontrollieren, gibt es über folgende Position die Möglichkeit event. "overlapping channel" resp. Interferenzen zu kontrollieren:

WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)

Diese Widget zeigt auf ob durch den FortiGate Wireless Controller event. "overlapping channel" (Interferenze) bestehen. Siehe auch:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Dies wird in den "Widget" unter der folgender Position aufgeführt:

[[Datei:Fortinet-1090.jpg]]

[[Datei:Fortinet-1091.jpg]]

Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:

[[Datei:Fortinet-1092.jpg]]

Wird ein entsprechende Position unter "Interfering AP's" angewählt, sieht man die Details wie "MAC Adresse des AP's, SSID, benutzter Channel und Signalstärke". Dabei ist die Signalstärke korrekt einzuschätzen dh. Auch wenn ein "overlapping channel" stattfindet jedoch die Signalstärke des Access Points schlecht ist, sind die Interferenzen zu vernachlässigen:

[[Datei:Fortinet-1093.jpg]]

Es ist je nach Anzahl der Access Points nicht immer möglich "overlapping channel" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Wireless Clients/Host den 5 GHz Bereich unterstützen, sollte der 2.4 GHz Bereich gemieden werden! Dies wird auf modernen Devices automatisch vollzogen dh. zB ein IPhone unterstützt 2.4 GHz sowie 5 GHz jedoch benützt sofern irgendwie möglich nur 5 GHz!

== Site Survey ==

=== Gibt es eine Möglichkeit anhand eines Forti Access Point ohne FortiGate Wireless Controller die Wireless Abdeckung zu testen? ===

Diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort für einen "Site Survey" einzusetzen und dies ohne FortiGate Wireless Controller. Wenn eine grössere Umgebung mit Forti Access Point ausgerüstet werden soll, muss festgestellt werden wieviele Forti Access Points benötigt werden sowie wo diese installiert werden sollen um eine möglichst gute Abedeckung zu erzielen. Die "Site Survey" Funktion eines Forti Access Point ermöglicht eine definierte SSID auf einem Forti Access Point lokal zu diesem Zweck zu konfigurieren und zu betreiben. Anhand eines Tools auf einem Client/Host zB SSIDer kann nachträglich Vorort die Abedeckung anhand dieser SSID kontrolliert und somit den idealen Standort für den Forti Access Point herausgefunden werden. Diese Funktion des "Site Survey" kann mit jedem Forti Access Point durchgeführt werden, jedoch ist der FAP-221B/FAP-223B sowie FAP-221C/FAP-223C zu empfehlen. Wenn ein Forti Access Point benützt wird für ein "Site Survey" muss berücksichtigt werden, das zB ein FAP-221B/C sowie FAP-223B/C über keinen mitgelieferten Power Adapter verfügt sondern über PoE betrieben werden. Die Power Adapter für diese Modelle können jedoch seperat bestellt werden. Weitere Informationen dazu siehe nachfolgeden Artikel:

[[FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_Forti_Access_Point_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]

Um auf einem Forti Access Point lokal über CLI eine SSID für "Site Survey" zu konfigurieren führe folgendes aus:

1. Verbinde den Forti Access Point mit einem Client/Host über die Ethernet Interface's; Konfiguriere auf der Ethernet
Schnittstelle des Client/Host folgende IPv4 Adresse:

192.168.1.1/24 (Kein Gateway, Kein DNS)

2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface
folgende IPv4 Adresse konfiguriert:

192.168.1.2/24

Weitere Informationen zu "default" IPv4 Adresse eines Forti Access Point siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

3. Verbinde dich per "telnet" auf die IPv4 Adresse des Forti Access Point:

> telnet 192.168.1.2

4. Aktiviere den entsprechenden "Site Survey" Mode auf dem Forti Access Point anhand folgenden Befehls:

# cfg –a AP_MODE=2
# cfg -c

AP_MODE=2 bedeutet "Site Survey". Per Standard ist konfiguriert 0"Thin AP"! Weitere Informationen findet
man ebenfalls unter folgenden Artikel:

[[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]

5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!

6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann
nun die Abedeckung Vorort mit einem Tool wie zB SSIDer überprüft werden!

7. Soll die SSID oder andere Werte für die SSID im "Survey Mode" angepasst werden stehen folgende Einstellungen
zur Verfügung:

• SURVEY_SSID='FAP_SURVEY' --> Diese Option vergibt den Namen für die SSID im "Site Survey" Mode.
• SURVEY_TX_POWER=30 --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige Forti Access Points gilt ein Maximum von 17dBm.
• SURVEY_CH_24=6 --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
• SURVEY_CH_50=36 --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
• SURVEY_BEACON_INTV --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.

Wenn die Werte für "Site Survey" konfiguriert werden müssen diese folgendermassen konfiguriert werden:

# cfg -a [Entsprechende Option mit deren Wert]
# cfg -c

8. Nach einem "Site Survey" ist es empfohlen den Forti Access Point wieder auf Factory Default zu setzen. Dies
wird folgendermassen durchgeführt:

# cfg -x

oder

# factoryreset
# reboot

== Konfiguration ==

=== Was bedeutet der Konfigurationspunkt "security" (Security Mode) innerhalb einer SSID Konfiguration? ===

Für einen SSID auf einem Forti Access Point können verschiedenen Security Mode benutzt werden dh. zB WPA2 Enterprise. Die üblichen Security Mode's können über das Mgmt. Web Interface konfiguriert werden:

• Open
• Captive Portal
• WPA2 Personal
• WPA2 Personal with Captive Portal
• WPA2 Enterprise

Ueber CLI stehen jedoch weitere Security Mode zur Verfügung:

'''FortiOS 5.0'''
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
# end

'''FortiOS 5.2/5.4'''
# config wireless-controller vap
# edit [Name des SSID Profile]
# set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
# end

Zusätzlich kann über CLI die Encryption für den Security Mode gesetzt werden sofern WPA benutzt wird. Per Standard wird für WPA die AES Encryption benutzt. Ebenso kann der Key Interface anhand "gtk-rekey-intv" gesetzt werden. Dieser ist per Standard auf 3600 gesetzt:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set encrypt [AES | TKIP | TKIP-AES]
# set gtk-rekey-intv [Intervall in Sekunden von 60 bis 864000; Standard 3600]
# end

Wenn zB für WEP ein Key definiert werden muss dh. das Passwort ist in den meisten Fällen 1 Passwort zu setzen. Einige Wireless Clients/Hosts dh. Treiber und Software unterstützen die Defintion von mehreren Key's. Wenn dies der Fall ist können mehrer Passwörter definiert werden und somit muss der "keyindex" erweitert werden mit der Anzahl zu definierenden Passwörter:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# keyindex [1 | 2 | 3 | 4]
# end

=== Was bedeutet der Konfigurationspunkt "schedule" innerhalb einer SSID Konfiguration? ===

Bis anhin unter FortiOS 5.0 sowie 5.2 war es nicht möglich eine SSID Zeitgesteuert zu aktivieren/deaktivieren. Neu unter FortiOS 5.4 ist dies nun möglich. Per Standard stehen alle konfigurierten SSID auf dem "schedule" Objekt "always". Möchte man Zeitgesteuert eine SSID aktivieren/deaktivieren, muss vorgängig ein "Schedule" Objekt erstellt werden, dass nachträglich unter der SSID konfiguriert werden kann. Ein "Schedule" Objekt wird unter folgender Position konfiguriert:

Policy & Objects > Schedules > Create New > Schedule

Danach kann anhand "Recurring" (Wiederholend), "Days" (Tagen) sowie einer "Start Time" und "Stop Time" ein "Schedule" Objekt erstellt werden. Ein zeitgesteuertes Objekt basierend auf "Schedule Group" kann nicht innerhalb einer SSID konfiguriert werden. Nachträglich kann das "Schedule" Objekt innerhalb der SSID konfiguriert werden. Dazu wähle im Mgmt. Web Interface folgendes:

WiFi Controller > SSID > Schedule > [Wähle das entsprechende "Schedule" Objekt]

Wenn ein "Schedule" Objekt auf CLI konfiguriert werden soll und dieses nachträglich ebenfalls auf CLI für die entsprechende SSID konfiguriert werden soll führe folgendes aus:

# config firewall schedule [recurring | onetime]
# edit [Name des entsprechenden "Schedule" Objekt zB "daily-0800-1700-business-hour"]
# set start [Gebe die Start Zeit ein zB "08:00"]
# set end [Gebe die End Zeit ein zB "17:30"]
# set day [Gebe die entsprechenden Tage ein für den "Schedule"; monday | tuesday | wednesday | thursday | friday | saturday | sunday]
# end

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set schedule [Wähle das entsprechende "schedule" Objekt; Standard "always"]
# end

=== Was bedeutet der Konfigurationspunkt "Override Settings/Automatic" innerhalb einer Forti Acces Point Konfiguration? ===

Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes WTP Profile zu zuweisen. Dies bedeutet: In diesem WTP Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses WTP Profile, das auf den entsprechenden Forti Access Point abgestimmt is, wird nach dessen Erstellung dem Forti Access Point über "Managed FortiAPs" zugewiesen. Ab FortiOS 5.0 ist es möglich anstelle dieses WTP Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende WTP Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:

[[Datei:Fortinet-333.jpg]]

Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt:

# config wireless-controller wtp
# edit [Name/Serien Nr. des entsprechenden Profiles]
# set override-profile enable
# end
# end

Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:

[[Datei:Fortinet-1291.jpg]]

=== Was bedeutet der Konfigurationspunkt "Scan Outgoing Connections to Botnet Sites" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt unter FortiOS 5.4 ist nicht Wireless Spezifisch sondern steht jedem FortiGate Interface zur Verfügung. Weitere Informationen zu dieser Funktion siehe nachfolgender Artikel:

[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_Verbindungen_zu_.22botnet.22_Servern_blocken_oder_.C3.BCberwachen.3F]]

=== Was bedeutet der Konfigurationspunkt "Active Scanning" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt steht im Zusammenhang mit "Network Devices" resp. "Device Detection" und steht nur unter FortiOS 5.4 zur verfügung. Wenn "Device Detection" aktiviert wird und diese Funktion der "Device Detection" kann einen entsprechenden Device nicht identifizieren, wird dieser anhand "Active Scanning" Passive gescannt. Dabei wird die gleiche Technik angewandt wie in einem "vulnaribility scan". Diese Funktion wird auf allen Devices die "vulnerability scan" unterstützen per Standard aktiviert. Wir empfehlen im Wireless Bereich zwar die "Device Detection" zu aktivieren jedoch das "Active Scanning" per Standard zu deaktvieren sowie diese Funktion nur punktuell zu benutzen. Um die Funktion "Active Scanning" zu benutze muss "Device Detection" zuerst aktiviert werden. Dies kann im Mgmt. Web Interface durchgeführt werden für die entsprechende SSID oder über CLI:

WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Active Scanning

# config system interface
# edit [Gebe das entsprechende Interface an zB "dmz"]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end

=== Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind, können die User sofern "Block Intra-SSID Traffic" deaktiviert ist, nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke, von einem Device im selben Segment/IP Range (SSID). Dies gilt bis 5.4.0 ausschliesslich für "Tunnel To Wireless Controller" basierende SSID und nicht für "Local bridge with FortiAP's Interface". Ab FortiGate/FortiAP FortiOS 5.4.1 gilt dies für beide Modes dh. auch für "Local bridge with FortiAP's Interface". Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Forti Access Point resp. SSID komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:

'''Block Intra-SSID Traffic Aktiviert'''

# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy enable
# set local-switching disable
# end

'''Block Intra-SSID Traffic Deaktiviert'''

# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy disable
# set local-switching enable
# end

=== Was bedeutet der Konfigurationspunkt "Broadcast SSID" innerhalb einer SSID Konfiguration? ===

Wenn auf einem Forti Access Point eine SSID konfiguriert wird so wird diese per Standard über Broadcast mitgeteilt. Dies erlaubt dem Wireless Host/Client diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn der Broadcast der SSID unterbunden werden soll, kann dies für FortiOS 5.4 über Mgmt. Web Interface konfiguriert werden oder für FortiOS 5.0 sowie 5.2 in der CLI:

WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Broadcast SSID

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set broadcast-ssid [enable | disable]
# end

Die ebenfalls existierende Option "broadcast-suppress" unter der SSID resp. "wireless-controller vap" steht nicht im Zusammenhang mit der Option "broadcast-ssid". Die Option "broadcast-suppress" verhindert das ARP und/oder DHCP Broadcassts nicht zu den Forti Access Point's versendet werden die über die gleiche SSID verfügen resp. konfiguriert haben! Weitere Informationen zu "broadcast-suppress" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]

=== Was bedeutet der Konfigurationspunkt "fast-roaming" innerhalb einer SSID Konfiguration? ===

Wenn Wireless Clients/Hosts sich in einem Wireless Netzwerk befinden/verbunden sind speziell zB mit Mobile Devices, kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen sich in Reichweite befindenden Forti Access Point wieder verbunden. Dadurch wird eine erneute Authentifizierung ausgelöst. Möchte man diese erneute Authentifikation verhindern so muss "fast-roaming" aktiviert werden was auf jeder SSID eines Forti Access Point der Fall ist. "fast-roaming" benützt 2 Unterschiedliche Techniken:

'''• Pairwise Master Key (PMK) Caching'''
Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im Cache abgelegt wird der mit dem ersten Access Point mit dem sich der
User zu Beginn verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch bekannt als "fast roam back"!

'''• Pre-authentication oder "fast-associate in advance"'''
Aktiviert einen 802.11 Access Point der mit einem Client/Host verbunden ist um den verbundenen Client/Host auf eventuell weiteren Access Points
zu authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen weiteren Access Points auf dem sich der Client/Host verbinden könnte
dh. es veranlasst den Access Point auf dem der Client verbunden ist, diesen PMK abzulegen um zukünftige Authentifizierung für den Client/Host
durchzuführen ohne das dieser eine Authentifizierung selber/manuell erneut durchführen muss.

# config wireless-controller vap
# edit [Name der SSID]
# set fast-roaming enable
# end

=== Was bedeutet der Konfigurationspunkt "multicast-enhance" (Frame Acknoledgement) innerhalb einer SSID Konfiguration? ===

Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" durchgeführt. Dieser Umstand kann Multicast" Uebermittlungen über die Forti Access Point's verlangsamen und somit die Performance im Multicast Bereich beeinträchtigen. Um diesen Umstand entgegenzutreten, kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine optimale Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:

# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set multicast-enhance [enable | disable]
# end

Dieses Kommando "multicast-enhance" aktiviert die Konvertierung von Multicast zu Unicast jedoch muss ein "threshold" konfiguriert werden dh. der Zeitpunkt ab dem Multicats zu Unicast umkonvertiert wird. Dies wird anhand "me-disable-thresh" konfiguriert. Dieser "thresold" konfiguriert eine obere Grenze für die Multicast Erweiterung dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (Anzahl Forti Access Point's).

# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
# end

=== Was bedeutet der Konfigurationspunkt "probe-resp-suppression" (Probe Respond Suppression) innerhalb einer SSID Konfiguration? ===

Um dem Wireless Client/Host eine Verbindung auf einen Forti Access Point zu ermöglichen, sendet der Forti Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22beacon-interval.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Auf der Wireless Client/Host Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln den "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel: Werden diese "probe request" Frame vom Wireless Client/Host an den Forti Access Point gesendet um über den "probe response" Informationen über einen Wireless Client/Host im gleichen Wireless Netzwerk zu erhalten. Ebenfalls wird zB diese Funktion von Sniffer Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Forti Access Point über die folgende Option gesteuert:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set probe-resp-suppression [enable | disable]
# set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
# next
# end

Per Standard ist "probe-resp-suppression" deaktiviert dh. Die Funktion selber kann nicht komplett deaktiviert werden durch "enable". Jedoch kann durch den Werte "dBm" der Wert gesetzt werden in welchem Range ein "prope response" gesendet werden soll. "probe request" ausserhalb des Ranges werden nicht mehr beantwortet mit einem "probe response". Ebenfalls ist zu berücksichtigen, dass viele Mobile Wireless Clients/Hosts diese Funktion sobald eine Verbindung zu einem Forti Access Point etabliert wurde deaktivieren um deren Akkus zu schonen!

=== Was bedeutet der Konfigurationspunkt "broadcastsuppression" (Broadcast Suppression) innerhalb einer SSID Konfiguration? ===

Innerhalb einer SSID kann die Option "broadcastsuppression" mit verschiedenen Werten gesetzt werden. Dabei können verschiedenen Werte gleichzeitig gesetzt werden und der Fokus der Option liegt darin Broadcast Informationen im Zusammenhang mit ARP zu unterdrücken. Weitere detaillierte Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]

=== Was bedeutet der Konfigurationspunkt "pmf" (Protected Management Frames) innerhalb einer SSID Konfiguration? ===

Protected Management Frames schützen einige Management Frames wie zB "deauthorization", "disassociation" sowie "action" Frames for Angriffen. Dieses Feature wurde zwingend Notwendig für den Standard 802.11ac um zu verhindern, dass Angreifer "deauthorization/disassociation" Frames sendet um Verbindungen zu unterbrechen oder gänzlich zu verhindern. Diese Funktion PMF wurde spezifiziert in IEE 802.11w. Per Standard ist jedoch diese Funktion nicht aktiviert sollte jedoch aktiviert werden für Fortinet Access Points die über den 802.11ac Standard verfügung wie zB FAP-221C. Die Funktion wird folgendermasse aktiviert:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set pmf [disable | enable | optional]
# set pmf-assoc-comeback-timeout [1 - 20 Sekunden; Standard 1]
# set pmf-sa-query-retry-timeout [1 - 5 = 100ms - 500ms]
# next
# end

Die Option "pmf optional" Bedeutet folgendes: Optional wird PMF aktiviert und Clients/Workstations ohne PMF werden erlaubt.

=== Was bedeutet der Konfigurationspunkt "okc" (Opportunistic Key Caching) innerhalb einer SSID Konfiguration? ===

Die Option "okc" innerhalb einer SSID bedeutet: Opportunistic Key Caching und hat folgende Funktion: Wenn ein Client im Zusammenhang mit WPA/WPA2-Enterprise Authentifizierung eine Authentifizerung durchführt und diese Erfolgreich abgeschlossen wird so wird der PMK Identifier auf diesem Fortinet Access Point gespeichert und zu allen anderen Fortinet Access Point Distribuiert resp. in den Cache aller Fortinet Access Points geschrieben. Wenn ein Authentifizierter Client somit den Fortinet Access Point im Fast-Roaming/Roaming Verfahren wechselt, muss kein vollständiger EAP Exchange Voragang mehr ausgeführt werden da die Information für den Client bereits auf den Fortinet Access Points im Cache zur Verfügung steht. Diese Funktion kann innerhalb eine SSID folgendermassen aktiviert werden:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set okc [disable | enable]
# next
# end

=== Was bedeutet der Konfigurationspunkt "Rogue AP’s" innerhalb einer WIDS Konfiguration? ===

"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: Illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der FortiGate Wireless Controller in dem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken, werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Ab FortiOS 5.2 ist diese Funktion WTP Profile basierend und wird über ein WIDS Profile konfiguriert und dem entsprechenden WTP Profile zugewiesen! Desweiteren muss berücksichtigt werden, dass auf einem "radio" für 802.11ac kein "Roque AP" Scan benützt werden kann (Stand FortiOS 5.2.5 Bug ID 225550). Um den FortiGate Wireless Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Rogue AP Settings

[[Datei:Fortinet-1268.jpg]]

# config wireless-controller setting
# set ap-scan enable
# set on-wire-scan enable
# end

'''FortiOS 5.2/5.4'''

[[Datei:Fortinet-1269.jpg]]

# config wireless-controller wids-profile
# set ap-scan enable
# set rogue-scan enable
# end

Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden WTP Profile's folgendes konfiguriert werden:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Custom AP Profiles

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-1
# set ap-bgscan enable
# set rogue-scan enable
# set ap-bgscan-period 300
# set ap-bgscan-intv 1
# set ap-bgscan-duration 20
# set ap-bgscan-idle 100
# end
# end

'''FortiOS 5.2/5.4'''

WiFi Controller > WiFi Network > WIDS Profiles

# config wireless-controller wids-profile
# edit [Name des entsprechenden WIDS Profil]
# set ap-scan [enable | disable]
# set ap-scan-passive [enable | disable]
# set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
# set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
# set ap-bgscan-period [Interval in Sekunden; Standard 600]
# set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
# set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
# set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
# end

Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration ab FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet-1270.jpg]]

Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:Wenn ein Forti Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Forti Access Points im gleichen IPv4 Adress Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und Wireless Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung" muss mindestens ein Wireless Client/Host vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die Wireless MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:

# config wireless-controller global
# set rogue-scan-mac-adjacency [0 - 7; Standard 7]
# end

=== Was bedeutet der Konfigurationspunkt "Band" (IEEE_802.11 Standard) innerhalb einer WTP Profile Konfiguration? ===

Wenn ein WTP Profile innerhalb des Mgmt. Web Interface einer FortiGate konfiguriert wird, stehen unter der Position "Band" folgende Möglichkeiten zur Verfügung:

'''2.4 GHz Band'''

[[Datei:Fortinet-1740.jpg]]

'''5 GHz Band'''

[[Datei:Fortinet-1741.jpg]]

In der CLI sieht diese mögliche Konfiguration folgendermassen aus:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set band [802.11a | 802.11b | 802.11g | 802.11n | 802.11n-5G | 802.11ac | 802.11n,g-only | 802.11g-only | 802.11n-only | 802.11n-5G-only | 802.11ac,n-only | 802.11ac-only]
# end
# end

Weitere Informationen zu den einzelnen IEEE_802.11 Möglichkeiten siehe nachfolgender Link:

https://en.wikipedia.org/wiki/IEEE_802.11

=== Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP) innerhalb einer WTP Profile Konfiguration? ===

ARRP "Automatic Radio Resource Provisioning" oder DARRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "channels" (Kanäle) für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung (overlapping) der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet: Wenn diese Position aktiviert ist, sucht sich der FortiGate Wireless Controller den oder die besten "channels" raus, die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 1800 Sekunden (Standard) evaluiert und falls notwendig dem FortiGate Wireless Client/Host mitgeteilt damit dieser auf den neuen "channel" wechseln kann. Dieser Standard Wert 1800 Sekunden kann unter folgendem Kommando Konfiguriert werden:

# config wireless-controller timers
# set darrp-optimize [0 - 86400 Sekunden; Standard 1800 Sekunden]
# end

Ab FortiOS 5.4 kann die DARRP resp. Radiu Resource Provisioning ebenfalls Zeitbasierend aktiviert werden dh. Wenn die Option "darrp-optimize auf "0" gesetzt wird so wird die Zeitgesteuerte DARRP Funktion aktiviert und es kann folgendes Konfiguriert werden:

# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set darrp-time [Zeitangabe im Format hour:minute]
# end

Für die Optionen "darrp-day" sowie "darrp-time" können mehrer Angeben Konfiguriert werden dh. zB :

# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day monday | tuesday | wednesday | thursday | friday
# set darrp-time 06:00 12:00 18:00
# end

Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung zu wissen welche "channels" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]

Wenn nun feststeht welche "channels" in der Umgebung bereits benutzt werden, kann ein entsprechendes Forti Access Point WTP Profil erstellt werden unter berücksichtigung der zu wählenden "channels" speziell für den 2.4 GHz Bereich. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
[[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrere Access Points in Reichweite sind um diese Kollisionen unter den "channels" zu verhindern. DARRP wird in den entsprechenden WTP Profil "radios" des Forti Access Point für 2.4 GHz sowie 5 GHz konfiguriert. Im Mgmt. Web Interface findet man diese Position im WTP Profile unter:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Radio Resource Provision"]

Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set darrp enable
# end
# end

Um nach der Konfiguration festzustellen ob eine Kollidierung (overlapping) unter den "channels" exisitiert, kann über "Wireless Health Monitor" die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]

aB FortiOS 5.2 wurde innerhalb des Forti Access Point wtp Profile's unter Radio-1 und/oder 2 die Position "Background Scan" (ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse" innerhalb einer WTP Profile Konfiguration? ===

Unter FortiOS 5.0 existiert in den Forti Access Point WTP Profile unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health Monitor" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health Monitor" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]

Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's" (overlapping channel). "Background Scan" sowie "Spectrum Analyse" sollte unter normalen Umständen deaktiviert werden da diese Funktion enorm Performance Intensiv sind. Diese Funktion sollte nur vorübergehend aktiviert werden um "troubleshooting" oder "Analysen" durchzuführen! Desweiteren ist zu beachten, dass für die Forti Access Point FAP-221B, FAP-223B und FAP-221C im Zusammenhang mit FortiOS 5.2.4/5 diese Funktion nicht benutzt werden sollte (Bug 245323) da durch die Funktion "Spectrum Analyse" auf den Forti Access Point ein "high cpu" produziert wird! Ueber Mgmt. Web Interface findet man diesen Konfigurationspunkt unter:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Background Scan/Spectrum Analyse"]

[[Datei:Fortinet-1271.jpg]]

Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:

# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set ap-bgscan eanble
# end
# end

[[Datei:Fortinet-1272.jpg]]

# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set spectrum-analysis eanble
# end
# end

Wenn die Funktion "Background Scan/Spectrum Analyse" aktiviert wird, können die entsprechenden Informationen auch über Kommandozeile abgeruft werden anhand folgenden Befehls:

# diagnose wireless wlac -c rf-sa [Name des FAP zB "FP221B3X13843475"] 1

Weitere Informationen betreffend dem Troubleshooting Kommando "diagnose wireless" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Welche_Troubleshooting_Kommandos_.28diagnose.29_stehen_auf_dem_Wireless_Controller_einer_FortiGate_zur_Verf.C3.BCgung.3F]]

=== Was bedeutet der Konfigurationspunkt "short guard intervall" innerhalb einer WTP Profile Konfiguration? ===

"Guard Intervalle" auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen gegen die digitale Daten die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei wie störanfällig eine Übertragung ist. Je länger ein solcher Intervall ist, desto besser schützt es gegen Störungen sowie geringer wird allerdings auch die Kanaleffektivität (Performance).

'''802.11 Guard Interval'''

Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
"short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
könnte entwickelt werden, um herauszufinden ob ein "short guard intervall" von Vorteil wäre. Um die Komplexität
zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
zu erhöhen.

Wie beschrieben dient diese Konfiguration der Performance resp. um diese zu erhöhen. Jedoch kann die Aktivierung des "short guard intervall" auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser diese Funktion "short guard intervall" in der ersten Phase nicht zu benutzen resp. zu deaktivieren! "short guard intervall" kann für den 5 GHz Bereich für 40/80 MHz aktiviert/deaktiviert werden:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]

[[Datei:Fortinet-1273.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set short-guard-interval enable
# end
# end

=== Was bedeutet der Konfigurationspunkt "channel-bonding" (Channel Width) innerhalb einer WTP Profile Konfiguration? ===

Die Funktion "channel-bonding" (40/20 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat, ist der Einsatz dieser Funktion kontraproduktiv sowie störanfällig und sollte deshalb nicht benutzt werden. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" für 2.4 GHz nicht im 40 MHz Bereich zu empfehlen! Da die einzelnen Kanäle breiter werden aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr das sich WLANs gegenseitig stören wenn sie auf angrenzenden Kanälen (channel) funken. Die Standard Werte für das "channel-bonding" im 2.4 GHz und 5 GHz Bereich ist 20 MHz. Das "channel-bonding" im 5 GHz Bereich kann unter FortiOS 5.0/5.2 innerhalb der Forti Access Point WTP Profile konfiguriert werden. Unter FortiOS 5.4 steht diese Funktion nur über CLI zur Verfügung.:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]

[[Datei:Fortinet-1274.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [enable | disable]
# end

'''FortiOS 5.2'''

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]

[[Datei:Fortinet-1275.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [20MHz | 40MHz]
# end

Damit "channel-bonding" aktiviert werden kann für 40 MHz im 2.4 GHz Bereich obwohl dies nicht zu empfehlen ist, müssen zuerst im entsprechende WTP Profile für die "channel" ein "unset" durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-1
# unset channel
# set channel-bonding 40MHz
# end

Diese Funktion steht ebenfalls im Zusammenhang mit der Funktion "coexistence". Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22coexistence.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Access Point Hand-off" innerhalb einer WTP Profile Konfiguration? ===

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende: Ein "Hand-off" wird durch den Forti Access Point ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem Forti Access Point den gesetzten "threshold" übersteigt, wird der Wireless Client/Host angewiesen auf den nächsten Forti Access Point und/oder "radio" zu wechseln. Für diesen Wechsel des "Hand-off" ist die Signalstärke des Client/Host entscheidend (RSSI threshold). Dieser Wert erhält der Client/Host vom zuständigen Forti Access Point. Um zu verhindern das der Zugriff auf den Client/Host durch einen Forit Access Point verhindert wird, werden wiederholende Anfragen zum Forti Access Point durch den Wirless Client/Host der auf dem Forti Access Point verbunden ist akzeptiert. Dieser Vorgang nennt man "soft-limit":

[[Datei:Fortinet-340.jpg]]

Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden WTP Profil ein- oder auszuschalten sowie den "threshold" zu setzen:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
# config [radio-1 oder 2]
# set ap-handoff {disable | enable}
# end
# end

"handoff-sta-thresh" bedeutet: Der Durchschnitt verbundener Wireless Clients/Host der erreicht werden soll auf einem Forti Access Point, bevor diese Wireless Clients/Hosts durch den Forti Access Point angewiesen werden sich auf dem nächsten Forti Access Point zu verbinden! Die Funktion des "ap-handhoff" kann wie hier gezeigt über Mgmt. Web Interface durchgeführt werden. Jedoch ist die Konfiguration "handoff-sta-thresh" nur über CLI möglich! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "AP Handoff"]

=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Hand-off" innerhalb einer WTP Profile Konfiguration? ===

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Access Point Frequenzy Hand-off" ist die folgende: Der FortiGate Wireless Controller überprüft in gewissen Abständen die Wireless Clients/Hosts betreffend Ihrer Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den FortiGate Wireless Controller betreffend dem Wireless Client/Host die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer Wireless Client/Host sich verbinden will, überprüft der FortiGate Wireless Controller die MAC Adresse des Wireless Client/Host und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen abgelegt sind, wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiGate Wireless Controller entscheiden ob der Device über "dual band" (2.4 GHz / 5 GHz verfügt oder nicht:

[[Datei:Fortinet-341.jpg]]

• Wenn der Wireless Client/Host über "kein" Dual-Band verfügt: Wird dem Wireless Client/Host erlaubt sich mit dem Access Point
(2.4 GHz) zu verbinden!

• Wenn der Wireless Client/Host über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiGate Wireless Controller
nicht auf die Anfrage betreffend 2.4 GHz sondern der Wireless Client/Host wird angewiesen sich mit 5 GHz auf den Forti Access
Point zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Forti
Access Point durch den Wireless Client/Host auf dem Forti Access Point auf dem sich der Wireless Client/Host verbinden will
akzeptiert (soft-limit).

Einige Wireless Clients/Hosts unterstützen diesen Vorgang dh. diese Wireless Client/Host unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 5 GHz benutzt. Auf den Wireless Clients/Hosts wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices. Das "frequency-off" respektive der "threshold" wird unter der CLI folgendermassen konfiguriert:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-rssi [Grenzwert des handoff; Standard 25]
# config [radio-1 oder 2]
# set frequenciy-handoff {disable | enable}
# end
# end

"handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Wireless Client/Host bevor der Wireless Client/Host auf den 5 GHz Bereich verschoben wird! Die Konfiguration des "frequenciy-handoff kann ebenfalls im Mgmt. Web Interface durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Frequency Handoff"]

=== Was bedeutet der Konfigurationspunkt "Auto TX Power Control" innerhalb einer WTP Profile Konfiguration? ===

Bei "Auto TX Power Control" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Auto TX Power Control" aktiviert und somit herabgesetzt werden. AB FortiOS 5.0 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:

• Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!

• Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!

Die Informationen über die Signalstärke wird durch den FortiGate Wireless Controller im Hintergrund gesammelt und ausgewertet. Aus diesem Grund erkennt der FortiGate Wireless Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der über dessen FortiGate Wireless Controller verwaltet wird. Desweiteren ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das wenn 50% TX Power benützt wird folgendes gilt:

50% of 100mW = 50mW was wiederum 17dBm entspricht

0 dBm = 1 mW
3 dBm = 2 mW
6 dBm = 4 mW
9 dBm = 7.9 mW
12 dBm = 15.8 mW
15 dBm = 31.6 mW
18 dBm = 61.1 mW
21 dBm = 125.9 mW
24 dBm = 251.2 mW

Dieser Konfigurationspunkt kann im entsprechenden Forti Access Point WTP Profil konfiguriert werden:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control"]

[[Datei:Fortinet-1278.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set auto-power-level [enable | disable]
# set power-level [Setze den entsprechenden Wert in % dh. 1 - 100; Standard 100]
# end

=== Was bedeutet der Konfigurationspunkt "protection-mode" (802.11g Protection Mode) innerhalb einer WTP Profile Konfiguration? ===

Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:

http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination

Ab FortiGate 5.06 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert für "protection-mode" auf "disable":

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio für 5 GHz]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end

Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder 802.11b Wireless Clients/Hosts verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt. Aus diesen Informtionen stellt sich die Frage wann dieser Protection Mode aktiviert werden soll und wenn nicht. Die Antwort ist nicht Generell zu beantworten! Jedoch kann man Grundsätzlich von Folgendem ausgehen:

• Wenn der Forti Access Point sowie die Wireles Clients/Hosts ausschliesslich 802.11g und/oder 802.11n benutzen, kann der
Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:

protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt

• Wenn der Forti Access Point sowie die Wireless Clients/Hosts zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten und diese
"vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:

protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b

=== Was bedeutet der Konfigurationspunkt "beacon-interval" innerhalb einer WTP Profile Konfiguration? ===

Ein Forti Access Point sendet in einstellbaren Intervallen (beacon-intervall) kleine Datenpakete, sogenannte "beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die "beacons" enthalten unter anderem folgende Informationen:

• Netzwerkname ("Service Set Identifier", SSID)
• Liste unterstützter Übertragungsraten
• Art der Verschlüsselung

Dieses "Leuchtfeuer" (beacons) erleichtert den Verbindungsaufbau ganz erheblich, da die Wireless Clients/Hosts lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität und zwar auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. "beacons" werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet um somit ein erfolgreiche Empfang des "Leuchtfeuers" garantiert wird. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate im WTP Profile steht dieser Wet auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch, bedeutet dies eine hohe Kapazität auf dem Forti Access Point sprich viele Wireless Clients/Hosts können sich auf dem Forti Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Wireless Clients/Hosts benötigen eine sehr lange Zeit bis die Verbindung zustande kommt, da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert, werden die passiven Scan's der Wireless Clients/Hosts schneller beantwortet. Also ist die Verbindung schneller jedoch sinkt die Kapazität des Forti Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen (overlapping channel) sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Wireless Clients/Hosts sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:

# config system wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-[1 | 2]
# set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
# end

Der Standard Wert 100 für "beacon's" sollte unter normalen Umständen nicht manipuliert werden! Kommt es zu Problemen, sollte bevor der Interval der "beacon's" manipuliert wird eventuell die Option "probe-resp-suppresion" konsultiert werden, Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22probe-resp-suppression.22_.28Probe_Respond_Suppression.29_innerhalb_einer_SSID_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "ekahau-blink-mode" innerhalb einer WTP Profile Konfiguration? ===

Die Option "ekahau-blink-mode" stellt einen Service dar für das "Real-Time Location System" von Ekahau Vision. Diese Funktion erlaubt es Informationen basierend auf dem Ekahau Vision zum diesem Dienst von Ekahau Vision zu senden um das "Real-Time Location System" zu benützen. Dies bedeutet: Diese Option steht nur im Zusammenhang mit diesem Dienst und muss auch nur dann aktiviert werden wenn dieser Dienst genutzt wird:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config lbs
# set ekahau-blink-mode [enalbe | disable]
# set ekahau-tag [ Mac Adresse xx:xx:xx:xx:xx:xx]
# set erc-server-ip [IPv4 Adresse]
# set erc-server-port [Port Nummer]
# end
# end

=== Was bedeutet der Konfigurationspunkt "coexistence" innerhalb einer WTP Profile Konfiguration? ===

Wenn man ein WTP Profile konfiguriert existiert in den "radio-1 oder 2" settings eine Option mit dem Namen "coexistence". Diese Option steht im Zusammenhang mit den Modi "802.11n und 802.11ac" und somit für 2.4GHz und 5GHz. Die Konfiguration für "coexistence" kann nur über CLI durchgeführt werden und zwar folgendermassen:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 | 2]
# set channel-bonding [20MHz | 40MHz | 80MHz]
# set coexistence [enable | disable]
# end
# end

Die Option steht im direkten Zusammenhang mit dem "channel-bonding". Dies bedeutet: ist das "channel-bonding" auf 20MHz gesetzt steht die Option "coexistence" nicht zur Verfügung da der 40MHz Bereich nicht aktiviert ist. Wenn das "channel-bounding" auf 40MHz gesetzt ist kann die "coexsistence" aktiviert werden was wiederum bedeutet: 20MHz und 40MHz koesistierten resp. beide sind erlaubt. Die Option "coexistence" definiert den HT20 resp. HT40 Mode was wiederum bedeutet:

HT20 = Einzelner 20MHz Channel
HT40 = 2 X 20Mhz Channels und Autoselektierung des Sekundären höherer und tieferen Channels

Wenn somit ein "channel-bounding" aktiviert wird auf 40MHz jedoch die "coexistence" deaktiviert ist so wird 20MHz als Sekundärer Channel ausgeschlossen. Aus kompatibilitäts Gründen sollte dies nicht konfiguriert werden, kann jedoch in Ausnahmen Sinn machen wenn die Performance ausschlaggeben ist jedoch klar damit gerechnet wird das Geräte im 20MHz Bereich damit ausgeschlossen werden.

=== Was bedeutet der Konfigurationspunkt "max-distance" (ACK timeout) innerhalb einer WTP Profile Konfiguration? ===

Das "ACK timeout" auf einem Forti Access Point wird über die Option "max-distance" innerhalb eines WTP Profiles gesteuert. Dies wird in der CLI wie folgt beschrieben:

Setzt das erwartete Maximum in Meter zwischen dem Forti Access Point und den Wireless Clients. Dieser Wert verändert
"ACK timeout" auf dem Forti Access Point um einen maximalen throughput für die maximale definierte Distanz zwischen
Forti Access Point und Wireless Client zu erreichen. Mögliche Werte sind zwischen 0 und 20'000 Meter (Standard 0).

Unter normalen Umständen sollte dieser Wert dh. "0" belassen werden. Wird jedoch eine Punkt zu Punkt Verbindung konfiguriert/etabliert über lange Distanzen zB eine Bridge, kann dieser Wert angepasst werden um ein grosszügiges "ACK timeout" zu erlauben. Für ein Troubleshooting kann dieses Timeout auf dem Forti Access Point angepasst werden. Folgender Befehl Lokal auf dem Forti Access Point gibt den momentanen Wert aus für "ACK timeout" aus:

# iwpriv wifi0 get_acktimeout
wifi0 get_acktimout:64 (0x40)

Um den das "ACK timeout" auf dem FortiAP anzupassen führe folgendes durch:

# Iwpriv wifi-acktimeout [ Wert zB "120"]

Wie Lokaler Zugriff erlangt wird auf einen Forti Access Point beschreibt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Was bedeutet der Konfigurationspunkt "transmit-optimize / powersave-optimize" (PowerSave) innerhalb einer WTP Profile Konfiguration? ===

Die Optionen "transmit-optimize / powersave-optimize" die in einem WTP Profile innerhalb von "radio-1" gesetzt werden können stehen im Zusammenhang mit der "Strom-Spar / Power-Saving" Funktion und 2.4 GHz. Diese Funktion kommt vor allem in mobilen und damit Akku-betriebenen Geräten zu Zuge. Zum Beispiel: Smartphones, Tablets und Notebooks. Um die Akku-Laufzeit dieser Geräte zu verlängern gibt es spezielle Strom-Spar- und Power-Management-Funktionen. Die Traffic-Indicator-MAP (TIM) ist eine Liste, die der Access Point erstellt, um dort alle Wireless-Stationen zu speichern. Um diese Liste aktuell zu halten, schickt der Access Point regelmäßig TIM-Signale (Beacons), die die Wireless-Stationen aufwecken. Die Delivery-Traffic-Indicator-MAP (DTIM) ist auch eine Liste, die vom Access Point gepflegt wird. Der DTIM-Beacon ist ein Broadcast-Signal, das mit einem größeren zeitlichen Abstand gesendet wird, als der TIM-Beacon. Im Regelfall werden WLAN-Netzwerkkarten nur mit dem DTIM-Beacon aufgeweckt um die Laufzeit mobiler Geräte noch weiter zu erhöhen. Unter normalen Umständen sollte die standard Konfiguration nicht verändert werden. Ist dies denoch nötig stehen unter den Optionen folgende Möglichkeiten zur Verfügung:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set transmit-optimize [disable | power-save | aggr-limit | retry-limit | sendbar]
# end
# end

Die möglichen Optionen haben folgende Bedeutung:

• disable: Disable transmit optimization.
• power-save: Mark a client as power save mode if excessive transmit retries happen.
• aggr-limit: Set aggregation limit to a lower value when data rate is low.
• retry-limit: Set software retry limit to a lower value when data rate is low.
• send-bar: Do not send BAR frame too often.

Per Standard steht die Option "transmit-optimize" auf folgende Werte:

# set transmit-optimize power-save aggr-limit retry-limit sendbar

Zusätzlich gibt es die Möglichkeit im 2.4 GHz Bereich den nicht mehr unterstützten 802.11b Bereich komplett zu deaktivieren. Dies wird erreicht in dem die Sendetzeit heruntergesetzt wird für die "beacons" der Management Frames. Damit wird das Signal mit Minimum 6Mbps gesendet anstellt 1Mbps und somit wird 802.11b ausgeschlossen:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set powersave-optimize no-11b-rate
# end
# end

Unter "powersave-optimize" stehen weitere Optionen zur Verfügung die jedoch nur in speziellen Situationen benutzt werden sollten:

• tim TIM bit for client in power save mode.
• ac-vo Use AC VO priority to send out packets in the power save queue.
• no-obss-scan Do not put OBSS scan IE into beacon and probe response frame.
• no-11b-rate Do not send frame using 11b data rate.
• client-rate-follow Adapt transmitting PHY rate with receiving PHY rate from a client.

== CLI ==

=== Welche Kommandos können Lokal auf einem Forti Access Point über die CLI eingegeben werden? ===

Grundsätzlich wird eine Konfiguration eine Forti Access Points über den FortiGate Wireless Controller durchgeführt. Nichts desto trotz verfügt ein Forti Access Point Lokal über Befehlsatz der es erlaubt zB eine statische IPv4 Konfiguration durchzuführen oder ein Troubleshooting. Um Lokal auf einem Forti Access Point per "telnet" zu verbinden muss dieser Zugriff aktiviert werden. Danach kann über den FortiGate Wireless Controller per "telnet" eine Verbindung zu einem entsprechenden Forti Access Point erstellt werden um Lokal auf dem Forti Access Point die Kommandos einzugeben. Weitere Informationen wie dieser Zugriff aktiviert wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Unter FortiOS 5.0/5.2/5.4 stehen folgende Kommandos zur Verfügung:

<big>'''FortiOS 5.0'''</big>

'''# fap-get-status'''
Version: FortiAP-220B v5.0,build064,140117 (GA)
Serial-Number: FAP22B3U11011877
BIOS version: 04000010
Regcode: E
Hostname: FAP22B3U11011877
Branch point: 064
Release Version Information:GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool

'''# brctl -h'''
brctl: invalid argument '-h' to 'brctl'

BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary

Usage: brctl COMMAND [BRIDGE [INTERFACE]]

Manage ethernet bridges.

Commands:
show Show a list of bridges
showmacs BRIDGE Show a list of mac addrs
addbr BRIDGE Create BRIDGE
delbr BRIDGE Delete BRIDGE
addif BRIDGE IFACE Add IFACE to BRIDGE
delif BRIDGE IFACE Delete IFACE from BRIDGE
setageing BRIDGE TIME Set ageing time
setfd BRIDGE TIME Set bridge forward delay
sethello BRIDGE TIME Set hello time
setmaxage BRIDGE TIME Set max message age
setpathcost BRIDGE COST Set path cost
setportprio BRIDGE PRIO Set port priority
setbridgeprio BRIDGE PRIO Set bridge priority
stp BRIDGE [1|0] STP on/off

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOG IN_PASSWD
ADM IN_TIMEOUT
Telnet and GUI session admin timeout in minutes
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV

'''# cw_diag help'''
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

<big>'''FortiOS 5.2'''</big>

'''# get system status'''
Version: FortiAP-221C v5.2,build490,140616 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 212
Release Version Information: GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV

'''# cw_diag help'''
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

<big>'''FortiOS 5.4'''</big>

'''# get system status'''
Version: FortiAP-221C v5.4,build0327,160107 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
System Part-Number: P15285-01
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 327
Release Version Information: GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, diag_sniffer
dmesg, factoryreset, fap-get-status, fap-set-hostname
ft_rate_config, restore, radartool, reboot

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cw_test_led'''
/sbin/cw_test_led <all|power|status|wifi1|wifi2> <all|0|1|2|3|4> [interval]
lan is controlled by hardware, we don't test it here
0: Off
1: On-Amber
2: On-Green
3: On-Flashing Amber
4: On-Flashing Green
interval: Period in each state when all is selected for state

'''# dmesg'''

'''# ft_rate_config'''
ft_rate_config usage:
command and options:
-n <dev_name> -p
-n <dev_name> -m [11bg|11a|11n|11ac] -s <string_256>
-n <dev_name> -a
-n <dev_name> -r
-p print out current rate configuration
-m radio mode
-s configure rate set
11a string format is (6|6-basic,9|9-basic,12|12-basic,18|18-basic,24|24-basic,36|36-basic,48|48-basic,54|54-basic)
11bg string format includes 11a string format and also (1|1-basic,2|2-basic,5.5|5.5-basic)
11n string format is (mcs0/1,mcs1/1,...,mcs6/1,mcs7/1,mcs8/2,mcs9/2,...,mcs15/2,mcs16/3,mcs17/3,...,mcs31/4)
11ac string format is (mcs0/1,mcs1/1,mcs2/1,...,mcs8/1,mcs9/1,mcs0/2,mcs1/2,...,mcs9/4)
-a apply the current configuration to radio
-r reset the user configuration from the ssid

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
AP_MGMT_VLAN_ID
ALLOW_TELNET
0(Telnet disable), 1(Telnet enable), 2(controlled by AC)
ALLOW_HTTP
0(Http disable), 1(Http enable), 2(controlled by AC)
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_DISCOVERY_FCLD_APCTRL
AC_DISCOVERY_FCLD_ID
AC_DISCOVERY_FCLD_PASSWD
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
LED_STATE
0(LED on), 1(LED off), 2(controlled by AC)

'''# cw_diag help'''
cw_diag usage:
cw_diag help [module [mod name]] --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag --flog <size in MB> --turn on/off log message to /tmp/var_log_wtpd.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta [HHHH] --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c fcld-cfg --show current forticloud client config
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c wev --show queued wireless events to report
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:

[[FortiAP:FAQ#Welche_Linux_Befehle_k.C3.B6nnen_auf_einem_FortiOS_f.C3.BCr_einen_Forti_Access_Point_ben.C3.BCtzt_werden.3F]]

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Uptime eines Forti Access Point herauszufinden? ===

Wenn vermutet wird, dass ein Forti Access Point selbständig einen Neustart ausführt, kann folgender Befehl Lokal auf der CLI des Forti Access Point ausgeführt werden um die Uptime des entsprechenden Forti Access Point zu eruieren:

# cw_diag uptime
Current uptime : 574652
WTP daemon start uptime : 18
WTP daemon RUN uptime : 74
Time since WTP daemon started : 574634
Time since WTP daemon connected : 574578

Watchdog timer triggered : 0
Watchdog timer action : 1
Watchdog timer time : 22

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um über die CLI die Netzwerk Konfiguration auszulesen? ===

Die Netzwerk Konfiguration eines Forti Access Point kann über das Forti Access Point Mgmt. Web Interface ausgelesen werden. Wenn dies jedoch nicht möglich ist, kann die momentane Netzwerk Konfiguration über CLi Lokal auf dem Forti Access Point ausgelesen werden. Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Nachdem der Zugriff gewährleistet ist, kann folgendes Kommando ausgeführt werden um die Netzwerk Konfiguration Lokal auf dem Forti Access Point auszulsen:

# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Firmware Version eines Forti Access Points herauszufinden? ===

Die Firmware eines Forti Access Points ist über das Mgmt. Web Interface der Fortigate unter "Managed FortiAPs" ersichtlich. Zusätzlich kann Lokal auf dem Forti Access Point nachfolgender Befehl durchgeführt werden um die Firmware Version resp. FortiOS zu verifizieren:

# fap-get-status
Version: FortiAP-220B v4.0,build222,120109 (MR3)
Serial-Number: FAP22B1234567890
BIOS version: 04000010
Regcode: N
Hostname: FAP22B1234567890
Branch point: 222
Release Version Information:MR3

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

== Troubleshooting ==

=== Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten? ===

Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Wireless Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:

• Als Erstes führe Tests durch mit den Wireless Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher
nicht besetzt oder beeinträchtigt durch "fremde" andere Wireless Infrastrukturen). Nach Möglichkeit ist der 5 Ghz
zu bevorzugen vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch
Interferenzen das Resultat negativ beeinflusst. In diesen Test's sollten vers. Wireless Client's/Workstation benutzt
werden um festzustellen ob das Problem basierend auf einer spezifischen Gruppe von Wireless Client's/Workstation ist.
Ebenfalls sollte für die Wireless Client's/Workstations nur die neusten Wireless Treiber verwendet werden. Ziel ist
es zu versuchen das Problem einzugrenzen auf spezifische Wireless Client's/Workstation oder Bereich wie 5 GHz und
oder 2.4 GHz usw.

• Stelle fest/sicher das der Wireless Client/Workstation mit der max. Rate verbunden ist:

130Mbps für 2Ghz 2x2
300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)

• Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:

http://www.metageek.net/support/downloads (inSSIDer für Windows / Mac / Android)
http://www.nirsoft.net/network_tools.html (WifiInfoView für Windows)
http://www.ekahau.com/products/heatmapper/overview.html (HeatMapper für Windows XP / Windows Vista / Windows 7)

• Vergewissere dich, dass zwischen den Forti Access Point, FortiGate Wireless Controller und Server 1000Mbit benutzt wird. Sofern
nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.

• Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen
auf den CPU und/oder Memory herauszufinden/zu Monitoren:

# get sys perf status
# diagnose sys top

• Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete
"aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete
verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr
aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).

• Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)

[[Datei:Jperf-how-to.pdf]]

• Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol
ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:

http://en.wikipedia.org/wiki/CCMP

CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.

• Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):

[[Datei:Fortinet-332.jpg]]

• Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.

• Ueberprüfe ob zuviele Broadcast sowie Multicast über das Wireless Netz gelangen/transportiert werden.

• Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. deaktivieren)

• Ueberprüfe ob auf den End Devices der User die neusten Treiber sowie Wireless Software installiert ist und überprüfe deren Datenrate.

=== Wie kann vorgegangen werden wenn auf einem Forti Access Point für Performance Probleme Messungen durchgeführt werden sollen? ===

Um in einem Netzwerk sei es Wireless oder Ethernet Messungen durchzuführen, ist es ratsam eine kleine Client to Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:

http://www.ars.de/ars/ars.nsf/docs/netio

Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab, die danach ausgewertet werden. Ein Scenario wäre zB:

'''Windows Client --> Windows Server'''

Windows Server:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):

C:\netio131>win32-i386.exe -s

Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein
anderer Port definiert werden.

Windows Client:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):

C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]

Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls
angegeben werden mit -b. Weitere Optionen sind:

Usage: netio [options] [<server>]

-s run server side of benchmark (o
-b <size>[k] use this block size (otherwise
-B -K -M -G force number formatting to Byte

-t use TCP protocol for benchmark
-u use UDP protocol for benchmark
-h <addr> bind TCP and UDP servers to thi
(default is to bind to all loca
-p <port> bind TCP and UDP servers to thi

<server> If the client side of the bench
a server name or address is req

The server side can run either TCP (-t) or UDP
(default, if neither -t or -u is specified). Th
these protocols only (must specify -t or -u).

'''Windows Client --> Linux Server'''

Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:

#./linux-i386 -s

NETIO - Network Throughput Benchmark, Version 1.30
(C) 1997-2008 Kai Uwe Rommel

UDP server listening.
TCP server listening.
TCP connection established ...
Receiving from client, packet size 1k ... 1364.51 KByte/s
Sending to client, packet size 1k ... 803.63 KByte/s
Receiving from client, packet size 2k ... 1473.31 KByte/s
Sending to client, packet size 2k ... 645.55 KByte/s
Receiving from client, packet size 4k ... 1452.13 KByte/s
Sending to client, packet size 4k ... 640.69 KByte/s
Receiving from client, packet size 8k ... 1120.63 KByte/s
Sending to client, packet size 8k ... 716.57 KByte/s
Receiving from client, packet size 16k ... 1506.04 KByte/s
Sending to client, packet size 16k ... 658.24 KByte/s
Receiving from client, packet size 32k ... 1433.88 KByte/s
Sending to client, packet size 32k ... 855.72 KByte/s
Done.
TCP server listening.

C:\netio131>win32-i386.exe -t [Linux Server / IP]

NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel

TCP connection established.
Packet size 1k bytes: 1381.22 KByte/s Tx, 780.68 KByte/s Rx.
Packet size 2k bytes: 1486.13 KByte/s Tx, 567.92 KByte/s Rx.
Packet size 4k bytes: 1466.74 KByte/s Tx, 612.15 KByte/s Rx.
Packet size 8k bytes: 1129.70 KByte/s Tx, 702.39 KByte/s Rx.
Packet size 16k bytes: 1541.18 KByte/s Tx, 617.14 KByte/s Rx.
Packet size 32k bytes: 1472.19 KByte/s Tx, 796.44 KByte/s Rx.
Done.
=== Was muss ich in Zusammenhang mit meinem WLAN beachten, wenn ich die FortiGate auf 6.4.2 uprade? ===
[[File:FortiOS64.png|50px|link=]] 
Wir haben von Partnern Rückmeldungen erhalten, dass nach dem updaten der FortiGate, welche als WLAN-Kontroller funktionieren, die CPU-Auslastung auf der FortiGate immens hoch wird ( <90% )
Wenn der CLI-Befehl ''diagnose sys top'' ausgeführt wird um die CPU Auslastung auf der FortiGate anzuzeigen, kann man erkennen dass der Prozess '''cwWtpd''' über 90% der Ressourcen nutzt.

[[File:Fortinet-2821.jpg|800px|link=]]

'''Workaround:''' 
Man kann auf der FortiGate für die AP den Spectrum-SCAN bis zum nächsten Reboot oder die nächste Rekonfiguration mit folgendem Befehl deaktivieren:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
diagnose wireless-controller wlac spectral-scan [SERIENUMMER_FAP] [RADIO] disable
</pre>
----
'''Beispiel:'''
<pre>
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 0 disable
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 1 disable
</pre>
|}

[[File:Fortinet-2822.jpg|750px|link=]]

----
''Vielen Dank an Stefan von UCC Pro''

FortiAP:FAQ

2020-10-22T06:58:10Z

Michelle Crapella-Papet: /* Wo befindet sich auf dem FortiOS für einen Forti Access Point das Standard Certificate? */

FortiAP:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x. Die hier zur Verfügung gestellten Informationen und Konfiguratinen betreffen nicht die FortiAP-S mit UTM Features. Wenn FortiAP-S ohne UTM Features betrieben werden können diese über einen FortGate Wireless Controller verwaltet werden!
 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== FAQ ==

== Documentation ==

=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:

http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)

'''Cookbook Supplementary Recipes FortiOS:'''
[[Datei:extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf]] (Extending the range of a wireless network by using mesh topology)
[[Datei:Configuration_of_meshed_WiFi_network.pdf]] (Configuration of meshed WiFi network)
[[Datei:using-a-fortiap-in-bridge-mode-to-add-wireless-access.pdf]] (Using a FortAP in Bridge mode to add wireless access)
[[Datei:using-a-fortiap-in-tunnel-mode-to-add-wireless-access.pdf]] (Using a FortAP in Tunnel mode to add wireless access)
[[Datei:using-MAC-access-control-to-allow-access-to-the-wireless-network.pdf]] (Using MAC access control to allow access to the wireless network)

[[Datei:Secure WLAN Sales Presentation_R1.pptx]] (The Fortinet Secure WLAN Presentation)
[[Datei:Secure WLAN Sales Presentation_R2.pptx]] (The Fortinet Secure WLAN Presentation)
[[Datei:Secure WLAN Sales Presentation_R3.pptx]] (The Fortinet Secure WLAN Presentation)

[[Datei:FortiAP_Quick_Sales_Guide_2014.pdf]] (The Fortinet FortiAP Quick Sales Guide)
[[Datei:Fortinet-Secure-Wireless-LAN-Solutions-Guide.pdf]] (The Fortinet Secure Wireless LAN Solutions Guide 2015)

[[Datei:FortiAP_Technical_FAQ_-_January_2014.pdf]] (Fortinet FortiAP Technical FAQ)
[[Datei:Fortinet Secure WLAN FAQ.pdf]] (Fortniet Secure Wireless LAN (WLAN) Solution)
[[Datei:Securing Wireless Networks for PCI.pdf]] (Fortinet Securing Wireless Networks for PCI Compliance)
[[Datei:FortiAP_5-2-Update-Q1-2015.pptx]] (Fortinet FortiAP 5.2 WLAN Update Q1 2015)
[[Datei:wlc-ivo.pptx]] (Fortinet Secure Access Solution)

==== FortiOS 4 MR3 ====
[[Datei:fortigate-wireless-40-mr3.pdf]] (FortiOS 4.0 MR3 Handbook - Deploying Wireless Networks

[[Datei:FortiOS_4MR3_Wireless_Controller_Overview_v4.pdf]] (FortiOS 4.0 MR3 Wireless Controller Overview)

==== FortiOS 5.0 ====
[[Datei:fortigate-wireless-50.pdf]] (FortiOS 5.0 Handbook - Deploying Wireless Networks)
[[Datei:FortiAP_CLI_50.pdf]] (FortiOS 5.0 FortiAP Command Line Interface)

[[Datei:wirless-technical-training-FOS-5.0-update-v2.pptx]] (FortiOS 5.0 "Wireless Technical Training")

==== FortiOS 5.2 ====

[[Datei:fortigate-wireless-52.pdf]] (FortiOS 5.2 Handbook - Deploying Wireless Networks)
[[Datei:FortiAP_CLI_52.pdf]] (FortiOS 5.2 FortiAP Command Line Interface)

==== FortiOS 5.4 ====

[[Datei:Fortigate-Wireless-54.pdf]] (FortiOS 5.4 Handbook - Deploying Wireless Networks)
[http://cookbook.fortinet.com/supported-upgrade-paths-fortiap FortiAP-Upgradepath auf 5.4.x] (FortiAP 5.4 Supported Upgrade Path)

==== FortiOS 5.6 ====

* [[Datei:FortiAP-ReleaseNote-5.6.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.3.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.4.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.5.pdf]]

* [http://cookbook.fortinet.com/supported-upgrade-paths-fortiap FortiAP-Upgradepath auf 5.6.x]
* [[Datei:Fortigate-Wireless-56.pdf]]

* [[Datei:AV-Engine-ReleaseNotes-56.pdf]]

==== FortiOS 6.0 ====

* [http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ FortiAP-Upgradepath auf 6.0.x]
* [[Datei:FortiGate-Wireless-60.pdf]]
----
''FortiAP Release Notes''
* [[Datei:FortiAP-ReleaseNote-6.0.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.3.pdf]]
----
''FortiAP-S und FortiAP-W Release Notes''
* [[Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.3.pdf]]
----
==== FortiOS 6.2 ====
* [https://docs.fortinet.com/document/fortiap/6.2.0/fortiwifi-and-fortiap-configuration-guide/692236/troubleshooting|Link Troubleshooting FortiAP]

=== Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind? ===

http://pub.kb.fortinet.com/index/

== Hardware ==

=== Welche Forti Access Point Produkte Linien existieren und was sind die Unterschiede? ===

Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:

• Light Forti Access Point

Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.
Diese Access Points müssen zwingen mit einem FortiGate Wireless Controller oder FortiCloud
Wireless Controller betrieben werden. Diese Forti Access Points verfügen über keine UTM
Features lokal auf den Forti Access Points sondern die UTM Features werden über die FortiGate
betrieben resp. bereitgestellt und verwaltet.

• Thick Forti Access Point

Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Dies bedeutet:
FortiGate Devices mit integriertem Radio (2.4 GHz / 5 GHz). Zusätzlich können diese Devices
(Thick Forti Access Points) mit Light Forti Access Points erweitert werden. Die UTM Features
werden wie bei den Light Forti Access Points über die FortiGate (FWF) zur Verfügung gestellt
sowie verwaltet.

• Smart Forti Access Point

Smart Forti Access Point verfügen über lokale UTM Features auf den Smart Forti Access Point
(FortiAP-S) und können nur über FortiCloud Wirless Controller verwaltet werden sofern diese
mit UTM Features eingesetzt werden. Werden Smart Forti Access Point resp. FortiAP-S ohne UTM
Features eingesetzt, können diese auch über einen FortiGate Wireless Controller verwaltet
werden! Weiter Infos siehe nachfolgender Artikel:

[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Forti_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

Nachfolgende Kurzübersicht zeigt ebenfalls welcher Forti Access Point über welche Platform eingesetzt werden kann:

[[Datei:Fortinet-2147.jpg]]

Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:

[[Datei:Fortinet-2133.jpg]]

=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP Hardware und Produkte? ===

Die beste Uerbsicht für FortiAP Produkte bieten die folgenden Dokumente sowie Links:

[[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]]
[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]]

Desweiteren hat Fortinet eine Wireless Brochure Released, die eine generelle Uebersicht bietet:

[[Datei:Wireless_Brochure.pdf]] (Unified Access LayerArchitecture)
[[Datei:FortiOS_Wireless.pdf]] (FortiOS 5 Wireless LAN Controller)

Weitere Informationen betreffend technischem Aufbau eines FortiAP Produktes siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_Forti_Access_Point_Produkts_aus.3F]]

Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt:

'''Hardware Overview – FortiAP (Indoor)'''

[[Datei:Fortinet-1362.jpg]]

'''Hardware Overview – FortiAP (Outdoor)'''

[[Datei:Fortinet-1363.jpg]]

'''Hardware Overview – FortiAP (Remote)'''

[[Datei:Fortinet-1364.jpg]]

=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP-S Hardware und Produkte? ===

Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über einen FortiGate Wireless Controller verwaltet werden können wenn UTM Features auf den "Smart Forti Access Point" resp. "FortiAP-S" eingesetzt werden, sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" (FortiAP-S) nur dann anwendbar wenn diese "ohne" UTM Features betrieben werden. Nur ohne UTM Features können "Smart Forti Access Point" über einen FortiGate Wireless Controller verwaltet und betrieben werden. In so einer Situation sind diese hier gezeigten Konfigurationen anwendbar. Siehe auch folgender Artikel:

[[FortiAP:FAQ#Welche_Forti_Access_Point_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F]]

Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" (FortiAP-S) siehe nachfolgender Artikel:

[[FortiAP-S:FAQ]]

=== Verfügen alle FortiGate Devices über einen Wireless Controller für Forti Access Points? ===

Grundsätzlich verfügen alle FortiGate Devices über einen Wireless Controller mit Aussnahme von:

FortiGate 20C
FortiGate 30D

Ab FortiOS 5.0.6 / 5.2 wurde der FG-30D die Möglichkeit gegeben den FortiGate Wirless Controller zu verwenden. Ebenfalls kann die 30D ab dieser Version 2 FortiAPs managen! Somit ist jeder FortiGate Device limitiert in der Anzahl der FortiAPs die verwaltet resp. konfiguriert werden können. Folgender Artikel gibt Auskunft über die Anzahl FortiAPs die mit einem entsprechenden FortiGate Devices verwaltet/konfiguriert werden können sowie was dabei zu berücksichtigen ist:

[[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]

=== Wieviele Forti Access Points können über eine FortiGate Wireless Controller konfiguriert werden? ===

Ab FortiOS 5.0 gibt nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAPs die über eine FortiGate konfiguriert werden können:

[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix |Produkte Matrix]]

Ab FortiOS 5.0.3 wurde die Anzahl der FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden könnnen erweitert. Dies bedeutet: es wird unterschieden zwischen folgenden Mode:

• SSID im "tunneling" Mode
• SSID im "local bridging" Mode

Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID konfiguriert auf "local bridging", zählt dieser FortiAP als "remote" (wtp-mode). Dies gilt jedoch nur wenn ausschliesslich nur diese Art einer SSID auf dem entsprechenden FortiAP benützt wird. Werden auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als "normal" (wtp-mode). Somit, wenn man einen FortiAP konfiguriert mit SSID im "local bridging" Mode kann dieser FortiAP explizit als "wtp-mode remote" gesetzt werden. Dies kann auf der CLI durchgeführt werden:

# config wireless-controller wtp
# edit [Gebe die entsprechende Serial Nummer des FAP an]
# set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
# end

Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging" gesetzt, erscheint folgende Meldung:

Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'

Die Produkt Matrix gibt somit Auskunft über die möglichen "normal" Mode sowie "remote" Mode. Die Anzahl der möglichen FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden können wird folgendermassen angegeben in der Produkt Matrix:

FG-60D 10/5 (Total/Tunnel)

Somit stehet zB für eine FG-60D folgendes zur Verfügung:

• 5 FortiAPs mit SSID im "tunneling" und/oder "local bridging" gemischt! (wtp-mode normal)
• 5 FortiAPs mit SSID im "local bridging" Mode (wtp-mode remote)

= 10 Total möglich wobei 5 im "local bridging" only! (10/5)

Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FortiAPs sowie "local bridging":

[[Datei:Fortinet-844.jpg]]

Die offizielle Information betreffend "tunneling" und/oder local bridging" möglichen FortiAPs auf einem FortiGate Device findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

Fortinet hat ein Dokument herausgegeben, in dem der Umstand dieser Aenderung erklärt wird und wieso dem so ist:

[[Datei:Maximum_Number_of_Managed_FortiAPs_in_FortiOS_5_0_3_FAQ_-_August_2013_v1_r5.pdf]]

=== Kann ich einen Forti Access Point Device ohne FortiGate Wireless Controller konfigurieren und betreiben? ===

Ein Forti Access Point hat zwar ein Mgmt. Web Interface über dieses bestimmte einfache Konfigurationen durchgeführt werden können wie zB die Vergabe einer fixen IPv4 Adresse jedoch benötigt ein Forti Access Point für den Betrieb und dessen Grundkonfiguration einen FortiGate Wireless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem Forti Acces Point vom FortiGate Wireless Controller übermittelt/zugewiesen und somit kann ein Forti Access Point nicht ohne FortiGate Wirless Controller betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein Forti Access Point auch ohne FortiGate Wireless Controller betrieben werden da Fortinet neu einen entsprechenden Wireless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:

[[FortiCloud:FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F]]

=== Was ist die max. Anzahl User die auf einem Forti Access Point verbunden werden können? ===

Nun die FortiAPs unterliegen keinem Hardlimit! Wenn eine Limitierung konfiguriert werden möchte, kann dies über die jeweilige SSID im Mgmt. Web Interface über folgende Position konfiguriert werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients

Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen:

3-7 - For a direct wire replacement.
8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
>50 - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.

Diese Angaben stammen aus folgendem Dokument:

[[Datei:FortiAP Technical FAQ - January 2014.pdf]])

=== Was ist die max. Anzahl SSID's die ich auf einem Forti Access Point konfigurieren und betreiben kann? ===

Grundsätzlich gelten die "maximum values" für das entsprechende FortiOS. Weitere Informationen betreffend "maximum values" siehe nachfolgenden Link:

[[Datei:Fortigate-max-values-50.pdf]]
[[Datei:Fortigate-max-values-52.pdf]]
[http://help.fortinet.com/fgt/54/max-values/5-4-0/max-values.html Datei:Fortigate-Max-Values-54.pdf]

In diesen "maximum values" sind zwei Werte gelistet:

• SSIDs Dieser Wert stellt das Maximum dar der SSID's die konfiguriert werden können!
• SSID lists per FortiAP Dieser Wert stellt das Maximum dar der SSID's die für einen Forti Access Point konfiguriert werden können!

Dabei ist folgendes zu beachten: Wenn auf einem Forti Access Point die volle Anzahl der SSID's konfiguriert wird so entsteht durch den Traffic der SSID's selber eine hohe Belastung (zusätzliche Broadcast Frames). Aus diesem Grund ist es nicht empfehlenswert mehr als 7 SSID's auf einem Forti Access Point zu konfigurieren da durch mehr SSID's die Performance durch die zusätzlichen Broadcast Frames beeinträchtigt wird. Die empfohlen Anzahl seitens Fortinet ist 4 SSID's!

=== Wie sieht der Hardware-Technische Aufbau (block diagram) eines Forti Access Point Produkts aus? ===

In der nachfolgenden Abbildung resp. "block diagram" wird anhand eines FortiAP-28C gezeigt, wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:

[[Datei:Fortinet-1347.jpg]]

Wie aus dem "block diagram" ersichtlich ist, wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:

http://en.wikipedia.org/wiki/Qualcomm_Atheros

Desweiteren eine "Schematische" Uebersicht betreffend FAP-221C, FAP-320C sowie FAP-321C:

'''FAP-221C'''

[[Datei:Fortinet-1359.jpg]]

'''FAP-320C'''

[[Datei:Fortinet-1360.jpg]]

'''FAP-321C'''

[[Datei:Fortinet-1361.jpg]]

Weitere Modelle betreffend Forti Access Point Hardware Schematics findet man unter folgenden Link:

[[Fortinet:ProduktInfo#Fortinet_Hardware_Schematics]]

=== Wieso kann die Hardware eines Forti Access Point FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten? ===

Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:

[[FortiAP:FAQ#Wo_finde_ich_detailliert_Informationen_.C3.BCber_Wireless_.22802.11AC_MU-MiMo.22_Funktion.3F]]

In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:

# cw_diag -c radio-cfg

Radio 0: AP
country : cfg=CH oper=CH
radio type : 11N_2.4G
beacon intv : 100
tx power : 15
HT param : '''mcs=23 gi=disabled bw=20MHz'''
ack timeout : 64
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=6 age=25011
channel : num=6
oper_chan : 6
r_ac md_cap : 2, 6, 10,
r_ac chan list : 2, 6, 10,
chan list : 2, 6, 10,
hw_chan list : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
nol list :
ap scan : background regular scan,
ap scan period : 600s
ap scan intv : 1s
ap scan dur : 20ms
ap scan idle : 0ms
ap scan rpt tmr: 30s
sta scan : enabled
arrp : enabled --info only
spect analysis : disabled
wids : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
long-dur-thresh: 8200
auth-flood: time=10, thresh=30
assoc-flood: time=10, thresh=30
Radio 1: AP
country : cfg=CH oper=CH
radio type : 11AC
beacon intv : 100
tx power : 31
VHT param : '''mcs=9 gi=disabled bw=80MHz'''
ack timeout : 25
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=0 age=68299
channel : num=0
oper_chan : 36
r_ac md_cap : 36, 40, 44, 48,
r_ac chan list : 36, 40, 44, 48,
chan list : 36, 40, 44, 48,
hw_chan list : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
128, 132, 136, 140,
nol list :
ap scan : disabled,
sta scan : disabled
arrp : disabled --info only
spect analysis : disabled
wids : disabled

Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche Umgebungsvariablen 100% stimmen was wiederum bedeutet: Der Host/Client muss für die Verbindung zB ebenfalls den entsprechenden "MCS Index" unterstützen! Somit wenn die Umgebungs Variablen 100% stimmen bestimmt der MCS Index den max. Durchsatz gemäss unteren Tabelle:

[[Datei:Fortinet-718.jpg]]

=== Welches FortiOS soll im Zusammenhang mit FortiGate Devices und/oder Forti Access Points eingesetzt werden? ===

Grundsätzlich ist es empfohlen die jeweiligen Release Notes für das entsprechenden FortiOS für einen Forti Access Point zu konsultieren um zu verifizieren welche Version für welchen FortiGate Patch Level unterstützt wird. In einem Upgrade Scenario muss ebenfalls verifiziert werden, wie ein Upgrade zu erfolgen hat dh. von welcher FortiOS Version für die Forti Access Points. Teilweise ist es möglich für Forti Access Points höhere Versionen einzusetzen dh. Zb FortiGate Device 5.0 und auf den Forti Access Point 5.2. Dabei ist jedoch zu berücksichtigen: Features die für FortiOS 5.2 grundsätzlich zur Verfügung stehen, können obwohl der Forti Access Points basierend auf FortiOS 5.2 betrieben wird, nicht zugewiesen werden da der FortiGate Wireless Controller FortiOS 5.0 basierend ist. Da die Konfiguration eines Forti Access Point über den FortiGate Wireless Controller einem Forti Access Point zugewiesen wird kann in so einer Konstellation der FortiGate Wireless Controller einem Forti Access Point nicht 5.2 basierend Features zuweisen da der FortiGate Wireless Controller diese nicht kennt da dieser auf FortiOS 5.0 basiert. Je nach FortiOS Version ist es nicht möglich ein durchgeführtes Upgrade durch ein Downgrade zu ersetzen. Auch hier gibt die Release Notes des entsprechenden FortiOS für die Forti Access Points Auskunft ob ein nachträgliches Downgrade durchführbar ist. Weitere Auskunft über diese Problematik betreffend Downgrade von 5.2 auf 5.0 gibt nachfolgender Artikel:

[[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_einer_Firmware_5.0_ein_.22Downgrade.22_durchf.C3.BChren.3F]]
[[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.4_anhand_einer_Firmware_5.2_ein_.22Downgrade.22_durchf.C3.BChren.3F]]

Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet: ein Upgrade für den FAP-320C ist folgendermassen durchzuführen:

Schritt 1: FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out
Schritt 2: Danach Upgrade mit regulärem Image auf 5.2.2

Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Patch Level sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss, die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:

https://support.fortinet.com/Download/FirmwareImages.aspx

/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Nachträglich eine kurze Uebersicht über die möglichen Konstellation:

FortiGate 5.2.x --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)
FortiGate 5.0.x --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)
FortiGate 5.0.x (Special Support Build) --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (Zwingend für Modelle FAP-221C/222C/223C/321C damit diese erkannt werden)

Bei dieser Aufstellung der Möglichkeiten ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D sind in der Version Forti Access Point 5.0.x nicht erhältlich. Somit müssen die Forti Access Point basierend auf Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu achten immmer den neusten Patch Level für Forti Access Points einzusetzen unter berücksichtigung der Release Notes.

=== Wie kann ich das lokale Passwort auf einem Forti Access Point zurücksetzen? ===

Wenn ein Forti Access Point in Betrieb genommen wird so ist das Standard Password wie bei allen Fortinet Geräten für den User "admin" nicht gesetzt dh. kein Passwort. Wenn nun dennoch in einer weiteren Konfiguration auf einem Forti Access Point ein Passwort gesetzt wird und später für ein Login dieses nicht mehr zur Verfügung steht kann Grundsätzlich folgendes durchgeführt werden:

"Forti Access Point ist nicht mit einem FortiGate Wireless Controller verbunden"

Wenn ein Forti Access Point nicht mit einem FortiGate Wireless Controller verbunden ist dh. das entsprechende
Passwort benötigt wird um Lokal auf den Forti Access Point zu verbinden bleibt einem nichts anderes übrig als
einen "Factory Reset" auszuführen auf dem Forti Access Point. Zu diesem Zweck verfügen alle Forti Access Points
über einen "Hardware Reset" Button anhand diesem ein Factory Reset ausgeführt werden kann. Weitere Informationen
dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

"Forti Access Point ist mit einer FortiGate Wireless Controller verbunden"

Wenn der Forti Access Point über eine FortiGate Wireless Controller verbunden ist kann das Passwort auf einem
Forti Access Point über den "FortiGate Wireless Controller" der FortiGate zurück gesetzt werden. Dies wird
folgendermassen ausgeführt:

'''FortiOS 5.0/5.2'''

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set login-passwd-change default
# end
# end

'''FortiOS 5.4'''

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set override-login-passwd-change enable
# set login-passwd-change default
# end
# end

Sofern der Forti Access Point ein WTP Profile benutzt kann das Passwort ebenfalls über dieses WTP Profile
zurück gesetzt werden:

# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile des Forti Access Point an]
# set login-passwd-change default
# end
# end

Durch dieses Kommando wird das Passwort eines Forti Access Point auf "default" zurück gesetzt dh. es gilt User
"admin" und kein Passwort.

=== Wie kann ich für eine Forti Access Point Hardware einen Factory Reset durchführen? ===

Wenn für eine Forti Access Point Hardware ein Factory Reset durchgeführt werden soll so kann das Lokal über die CLI auf einem Forti Access Point durchgeführt werden. Einerseits wenn dies durchgeführt werden möchte, ist es möglich per "telnet" über den Forti Gate Wireless Controller Zugriff auf die CLI eines Forti Access Point zu erhalten. Ebenso kann der Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden werden um danach ebenso über "telnet" Zugriff auf die CLI des Forti Access Point zu erhalten.

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Wenn ein Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden ist muss "telnet" Zugriff über das Mgmt. Web Interface des Forti Access Point aktiviert werden. Um auf der CLI danach ein Factory Reset auszuführen gebe folgendes ein:

# cfg -x
# reboot

oder auch

# factoryreset

Durch den Befehl "cfg -x" wird der Forti Access Point zurückgesetzt und zware ohne Neustart des Forti Access Point im Gegensatz zu "factoryreset"! Aus diesem Grund muss nach "cfg -x" ein manueller Neustart durchgeführt werden. Die Forti Access Points können ebenfalls auch manuell anhand eines "Hardware Reset" Buttons auf Factory Reset zurückgestellt werden. Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:

'''FAP-210B and FAP-220B'''
Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.

'''FAP-221B, FAP 221C and FAP-223B'''
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Es wird automatisch ein Neustart ausgeführt.

'''FAP-320B and FAP320C'''
Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
ein Neustart ausgeführt.

'''FAP-222B'''
Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.

'''FAP-11C'''
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.

Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:

[[Fortinet:ProduktInfo#FortiAP]]

=== Was bedeuten die verschiedenen Regionen Codes im Zusammenhang mit der Forti Access Point Hardware resp. SKU? ===

Wenn man einen Forti Access Point beim Distributor bestellt, wird die korrekte Fortinet Hardware mit der SKU indiziert dh. eine Fortinet SKU zB für einen FortiAccess Point FAP-221C hat folgende SKU:

FAP-221C-E

Der Zusatz "-E" indiziert den "Regionen Code". Dies bedeutet: Durch den entsprechenden Regionen Code werden Regulatorien resp. Richtlinien der einzelnen Ländern bestätigt. Dies bedeutet wiederum: Muss für ein Projekt zB ein Forti Access Point nach Japan gesendet werden ist es nicht korrket ein "-E" Modell nach Japan zu senden da sich dieser Forti Access Point dh. "-E" unterscheidet von "-J" und somit die Richtlinien für das entsprechende Land nicht eingehalten werden. Somit muss bei einer Bestellung dies mitgeteilt werden zB:

FAP-221C-J

Um den richtigen Forti Access Point mit dem korrekten "Region Code" bestellt werden kann muss das Installations Land bekannt sein damit der korrekte "Region Code" verifiziert werden kann. Nachfolgend einen Ueberblick ober die verschiedenen "Region Code":

'''-A''' CANADA
GUAM
PUERTO RICO
ARGENTINA
UNITED STATES

'''-E''' ARUBA
AUSTRIA
BELGIUM
BOSNIA AND HERZEGOVINA
BULGARIA
CAMBODIA
CROATIA
CYPRUS
CZECH REPUBLIC
DENMARK
ESTONIA
FINLAND
FRANCE
GERMANY
GREECE
GREENLAND
HAITI
HUNGARY
ICELAND
IRAQ
IRELAND
ITALY
LATVIA
LEBANON
LIECHTENSTEIN
LITHUANIA
LUXEMBOURG
MACEDONIA
MALTA
NETHERLANDS
NETHERLANDS ANTILLES
NORWAY
POLAND
PORTUGAL
ROMANIA
SAUDIA ARABIA
SERBIA & MONTENEGRO
SLOVAK REPUBLIC
SLOVENIA
SOUTH AFRICA
SPAIN
SWEDEN
SWITZERLAND
TURKEY
UNITED ARAB EMIRATES
UNITED KINGDOM
BELARUS
KENYA
MOZAMBIQUE
ANGOLA
SUDAN
MAURITANIA

'''-I''' ARMENIA
AZERBAIJAN
GEORGIA
ISRAEL
KUWAIT
Morocco
TUNISIA
UZBEKISTAN
MONACO

'''-J''' JAPAN

'''-K''' KOREA REPUBLIC

'''-N''' AUSTRALIA
BARBADOS
BOLIVIA
BRAZIL
CHILE
COLOMBIA
COSTA RICA
DOMINICAN REPUBLIC
GUATEMALA
ECUADOR
EL SALVADOR
FIJI
HONG KONG
JAMAICA
MACAU
MEXICO
NEW ZEALAND
OMAN
PANAMA
PAPUA NEW GUINEA
PARAGUAY
PERU
PHILIPPINES
QATAR
TRINIDAD & TOBAGO
VENEZUELA

'''-V''' VIETNAM
BAHRAIN
SRI LANKA

'''-S''' BRUNEI DARUSSALAM
INDIA
SINGAPORE
THAILAND
GRENADA
HONDURAS
BELIZE
CHINA
IRAN
NEPAL
MALAYSIA
PAKISTAN
URUGUAY
EGYPT

'''-T''' TAIWAN

'''-U''' UKRAINE

'''-P''' RUSSIA

'''-W''' ALBANIA
TANZANIA
YEMEN
ZIMBABWE
ALGERIA
BANGLADESH
INDONESIA
KAZAKHSTAN
SYRIA

== Power Adapter ==

=== Wo finde ich eine Uebersicht ob ein Forti Access Point mit PowerAdapter geliefert wird oder PoE unterstützt? ===

FortiAPs werden teilweise mit jedoch teilweise auch ohne PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAPs mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter die für fast alle FortiAPs erhältlich sind aufgeführt: 
'''FortiAP Netzteile:'''
[[Datei:Fortinet-2814.jpg|750px|link=]]
[[Datei:Fortinet-2815.jpg|750px|link=]]
[[Datei:Fortinet-2816.jpg|750px|link=]]
----
'''FortiAP S-Serie Netzteile:'''
[[Datei:Fortinet-2817.jpg|750px|link=]]
----
'''FortiAP U-Serie Netzteile:'''
[[Datei:Fortinet-2818.jpg|750px|link=]]
----
'''FortiAP C-Serie Netzteile:'''
[[Datei:Fortinet-2819.jpg|750px|link=]]
----

Betreffend dieser Informationen im Zusammenhang mit FortiAP-S siehe nachfolgender Artikel:

[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

----
2692514 GPI-115 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
2700323 GPI-130 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W

== FortiCare ==

=== Muss ich für die "Lifetime Warranty" eines Forti Access Point ein FortiCare (Maitenance) beziehen? ===

"Lifetime Waranty" muss für einen Forti Access Point nicht in jedem Fall bezogen werden! Die Fortinet hat im März 2014 folgendes Dokument released:

[[Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf]]
[[Datei:Fortinet_Limited_Lifetime_Warranty_FAQ_-_January_2015.pdf]]

Dieses Dokument besagt folgendes:

Jeder FortiAP der nach 1. November 2013 gekauft/registriert wurde (purchased after November 1st 2013) benötigt kein FortiCare mehr und hat
"LifeTime Waranty" betreffend RMA. "LifeTime Waranty" bedeutet: 5 Jahre nach EOL (End Of Life Announcement).

Alle Geräte vor dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden! Alle FortiAP die über kein FortiCare verfügen und nach dem 1. November 2013 gekauft wurden, werden über Fortinet EMEA (Sophia Antipolis) bei Defekt ausgetauscht. Was jedoch zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich nicht auf:

• Firmware Upgrade
• Technischer Support (Ticketing)

Somit muss für die Aussage im Zusammenhang mit "Lieftime Warranty" folgendes berücksichtigt werden: Um ein Firmware Upgrade auf einem Forti Access Point durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt man weiterhin FortiCare dh. ohne FortiCare können keine regulären Firmware Upgrades für Forti Access Point durchgeführt werden und können keine technischen Support Tickets eröffnet werden! Somit muss für einen Forti Access Point Maintenance resp. mit FortiCare bezogen werden!

== Antenna ==

=== Kann man Forti Access Points mit externen Antennen Nach-/Ausrüsten? ===

Grunsätzlich ist es möglich Forti Access Points mit externen Antenen Nach-/Auszurüsten dh. das eingesetzte Forti Access Point Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Dies bedeutet: ob der vorhanden Anschluss für eine externe Antenne zur Verfügung steht oder nicht. Ob dies der Fall ist, kann über das jeweiligen Quickstart und/oder Datasheet verifiziert werden:

[[Fortinet:ProduktInfo#FortiWiFi]]
[[Fortinet:ProduktInfo#FortiAP]]

Fortinet bietet eigene externe Antennen an in der Forti Access Point Produktlinie. Der Wirkungsgrad dieser Antennen etc. kann im jeweiligen Datasheet nachgelesen werden:

[[Fortinet:ProduktInfo#FortiAntenna]]

=== Was ist zu beachten wenn Forti Access Points mit einer externen Antenne ausgerüstet wird? ===

Eine externe Antenne verteilt das Signal nur dh. es verstärkt dieses nicht! Die Antennen verteilen das Signal in Ihrer speziellen Art und Weise (Wirkungsgrad). Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

=== Welchen Anschluss benützt eine Forti Access Point für den externen Antenna Anschluss? ===

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

[[Fortinet:ProduktInfo#FortiWiFi]]
[[Fortinet:ProduktInfo#FortiAP]]

Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:

https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder

=== Gibt es von Fortinet für Forti Access Point eine externe "omnidirect" Antenne? ===

Omnidirect bedeutet: 360° was wiederum bedeutet, dass Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet externen Antennen gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung (Wirkungsgrad):

[[Fortinet:ProduktInfo#FortiAntenna]]

== FortiAP-OS ==

=== Wo finde ich den Upgrade Pfad für das FortiAP OS? ===
Den Upgrade Pfad um einen FortiAccespoint upzugraden ist in den Docs und in den Release Notes ersichtlich:
https://docs.fortinet.com/document/fortiap/6.4.2/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-s-and-fortiap-w2-version-6-4-2
Aktuelle Liste (FortiOS 6.4.2): 
[[File:Fortinet-2823.jpg|750px|link=]]

=== Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet? ===

Beim FortiOS eines Forti Access Point handelt es sich um ein "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0). Dies bedeutet: Prozesse und / oder Deamons werden über die zuständigen RC-Level (Start Scripts) abgewickelt. Diese RC-Level welche wiederum einfach Scripts darstellen, lesen Konfigurations-Dateien aus um die notwendige Konfiguration durchzuführen. Die RC-Levels befinden sich im folgenden Verzeichnis:

/etc/rc.d/

Die Konfigurations-Dateien befinden sich im folgenden Verzeichnis:

/etc/ath

In diesem Verzeichnis existieren folgende Files welche für folgende Konfiguration zuständig sind:

'''<big>dflt.cfg (Standard Konfiguration)</big>'''

# more /etc/ath/dflt.cfg

--------------- output dflt.cfg ---------------

## Default values of FAP cfg variables
## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
## Add an entry like: CFG_VAR_NAME_DFLT=DFLT_VALUE
## Don't include "" in DFLT_VALUE

BAUD_RATE_DFLT=9600
FIRMWARE_UPGRADE_DFLT=0
ADMIN_TIMEOUT_DFLT=5

ADDR_MODE_DFLT=DHCP
STP_MODE_DFLT=0
AP_IPADDR_DFLT=192.168.1.2
AP_NETMASK_DFLT=255.255.255.0
IPGW_DFLT=192.168.1.1
DNS_SERVER_DFLT=208.91.112.53
AP_MGMT_VLAN_ID_DFLT=0
WAN_MODE_DFLT=bridged
WAN_IPADDR_DFLT=192.168.2.1
WAN_NETMASK_DFLT=255.255.255.0
TELNET_ALLOW_DFLT=0
HTTP_ALLOW_DFLT=1

AC_DISCOVERY_TYPE_DFLT=0
AC_IPADDR_1_DFLT=192.168.1.1
AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
AC_CTL_PORT_DFLT=5246
AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
AC_PLAIN_CTL_DFLT=0
AC_DATA_CHAN_SEC_DFLT=2

MESH_AP_TYPE_DFLT=0
MESH_AP_MODE_DFLT=0
MESH_AP_SSID_DFLT=fortinet.mesh.root
MESH_AP_BSSID_DFLT=
MESH_AP_PASSWD_DFLT=fortinet.mesh.root
MESH_ETH_BRIDGE_DFLT=0
MESH_MAX_HOPS_DFLT=4
MESH_SCORE_HOP_WEIGHT_DFLT=50
MESH_SCORE_CHAN_WEIGHT_DFLT=1
MESH_SCORE_RATE_WEIGHT_DFLT=1
MESH_SCORE_BAND_WEIGHT_DFLT=100
MESH_SCORE_RSSI_WEIGHT_DFLT=100

--------------- output dflt.cfg ---------------

'''<big>apcfg (Benutzerspezifische Konfiguration)</big>'''

# more /etc/ath/apcfg

--------------- output dflt.cfg ---------------

###################################################################################
## apcfg
##
## Configuration file for Atheros AP.
## This file will "predefine" default configuration data for the AP. This
## will first read all configuration data from flash (cfg -E), then fill in any
## defaults that are missing. Thus the defaults will appear on the web pages
## even if the configuration store has been cleared.
##
###################################################################################
##
## Get the current settings from flash/cache area
##

cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$

source /etc/ath/dflt.cfg

##
## Set Network configuration
##
## AP_IPADDR = IP address of the bridge

## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
## WAN_MODE = bridged for attached to bridged, Get address if dhcp, fixed address
## if static
##
###################################################################################

if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
cfg -a FIRMWARE_UPGRADE=0
cfg -c
if [ ${LOGIN_PASSWD_ENC} ]; then
cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
fi
fi

cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}

cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}

cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}

##
## Set WTP configuration
##
cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}

##
## Set MESH configuration
##
cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
if test ${MESH_AP_PASSWD+defined}
then
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
else
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
fi
cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}

cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
_DFLT}} T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
#
# Account for S26 peculiarity
#
export WAN_IF=eth1
export LAN_IF=eth0

#
# Indicate if you want the WLAN to be activated on boot up.
#

cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}

#
# AP Start Mode
# This can be overridded by environmental variables
# Modes can be
# standard := standard single AP start mode
# rootap := WDS root AP for WDS modes
#reptater-ind := WDS repeater station independent mode
# client := WDS "virtual wire" client
# multi := Multiple BSSID with all encryption types
# dual := Dual concurrent, automatically configure interface
# stafwd := Station mode with address forwarding enabled
#
#

cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}

#################################################################################
## Default Parameters
## If these are not set explictly by exporting environmental variables, the following
## Defaults will be applied
#################################################################################
#
# AP_PRIMARY_CH could be
# 11na (which means auto-scan in 11na mode) or
# 11ng (which means auto-scan in 11ng mode)

cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}

##
## Set up the channel for dual mode
##

cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}

##
## This is for pure G or pure N operations. Hmmmm...
##

cfg -a PUREG=${PUREG:=0}
cfg -a PUREN=${PUREN:=0}

##
## Channel Configuration Section
##

cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
cfg -a SHORTGI=${SHORTGI:=1}
cfg -a SHORTGI_2=${SHORTGI_2:=1}

#
# Aggregation. First parameter enables/disables,
# second parameter sets the size limit
#

cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
cfg -a AMPDUMIN=${AMPDUMIN:=32768}
cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
cfg -a CWMMODE=${CWMMODE:=1}
cfg -a CWMMODE_2=${CWMMODE_2:=1}
cfg -a RATECTL=${RATECTL:="auto"}
cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}

##
## AP Identification Section
##

cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"

if [ "${AP_STARTMODE}" = "dual" ]; then
cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
fi

##
## Set the default modes for multi configuration
## Set default security modes
## Set default secfile to PSK, only valid in WPA mode
## Default keys are Decimal (NOT hex)
##
export MAX_VAPS_PER_RADIO=4

_1
## trailer - it's not a VAP number, it's the number of the key. This is done for-More-- (73% of 8884 bytes)
## both radios.
##

my_wep_keys="_1 _2 _3 _4"
for i in $my_wep_keys;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
done

##
## Now, for each radio, set the primary key and the mode value
##
cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"

my_vaps="'' _2 _3 _4 _5 _6 _7 _8"
for i in $my_vaps;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_AP_MODE="AP_MODE$i"
ITER_AP_SECMODE="AP_SECMODE$i"
ITER_AP_SECFILE="AP_SECFILE$i"
ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
eval ITER_MODE=\$$ITER_AP_MODE
eval ITER_SECMODE=\$$ITER_AP_SECMODE
eval ITER_SECFILE=\$$ITER_AP_SECFILE
eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
done LE=${ITER_WPS_ENABLE:="0"}

##
## Export the variables again to catch the defaults
##

cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$

##
## Set the proper radio parameter values depending on the
## interface selected. These are exported vice included
## in cache. These should really be in apup vice here,
## but this works OK.
##

for i in $my_vaps;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_RADIO_ID="AP_RADIO_ID$i"
eval ITER_RADIO_ID=\$$ITER_RADIO_ID
if [ "${ITER_RADIO_ID}" = "1" ]; then
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
else
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
fi
done

#####################################################################################
## The following parameters are board specific, and should not be modified
#####################################################################################

export ATH_use_eeprom=0

--------------- output dflt.cfg ---------------

=== Wo befindet sich das Standard Certificate auf dem FortiOS für ein Forti Access Point? ===

Das Standard Zertifikate für ein Forti Access Point ist wichtig und sollten nie manipuliert werden! Dies bedeutet: anhand dieser Zertifikates wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS-Verschlüsselung aufgebaut. Weitere Informationen betreffend DTLS-Verschlüsselung kann nachfolgendem Artikel entnommen werden:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Die Zertifikate befinden sich im folgenden Verzeichnis:

/etc/cert

/etc/fgt.crt
/etc/fgt.key

=== Wo befindet sich auf dem FortiOS für einen Forti Access Point das "root" des WebServers? ===

Ueber das FortiOS eines Forti Access Point wird ein Mgmt. Web Interface zur Verfügung gestellt für die minimale lokale Konfiguration. Das "root" des WebServers dieses Mgmt. Web Interface befindet sich auf dem FortiOS eines Forti Access Point im folgenden Verzeichnis:

/usr/www

=== Welche Linux Befehle können auf einem FortiOS für einen Forti Access Point benützt werden? ===

Ein Forti Access Point basiert auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Linux Kommandos abgesetzt werden wie zB:

ifconfig
more
cd

Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:

/bin
/sbin

# ls -la /bin

--------------- output /bin ---------------

drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ash -> busybox
-rwxr-xr-x 1 admin root 1143436 Dec 11 00:54 busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cat -> busybox
lrwxrwxrwx 1 admin root 24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 chmod -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cp -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 date -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 df -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 dmesg -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 echo -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 egrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 factoryreset -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 fgrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 grep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ip -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 iproute -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 kill -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ln -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 login -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ls -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mkdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 more -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mv -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ping -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ps -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 pwd -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rm -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rmdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sh -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sleep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sync -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 touch -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 umount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 uname -> busybox

--------------- output /bin ---------------

# ls -al /sbin

--------------- output /sbin ---------------

drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
-rw-r--r-- 1 admin root 0 Dec 11 00:35 .dummy
-rwxr-xr-x 1 admin root 12128 Dec 11 00:54 apstart
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 arp -> ../bin/busybox
-rwxr-xr-x 1 admin root 1348400 Dec 11 00:54 cwWtpd
-rwxr-xr-x 1 admin root 6096 Dec 11 00:54 cw_debug
lrwxrwxrwx 1 admin root 6 Dec 11 00:54 cw_diag -> cwWtpd
-rwxr-xr-x 1 admin root 2534 Dec 11 00:46 cw_test_led
-rwxr-xr-x 1 admin root 3727 Dec 11 00:46 cw_test_radio
-rwxr-xr-x 1 admin root 4652 Dec 11 00:54 diag_console_debug
-rwxr-xr-x 1 admin root 5084 Dec 11 00:54 diag_debug_crashlog
-rwxr-xr-x 1 admin root 3932 Dec 11 00:54 ebtables
-rwxr-xr-x 1 admin root 9508 Dec 11 00:54 fap-factory-license
-rwxr-xr-x 1 admin root 4892 Dec 11 00:54 fap-get-status
-rwxr-xr-x 1 admin root 4484 Dec 11 00:54 fap-mount-udisk
-rwxr-xr-x 1 admin root 5956 Dec 11 00:54 fap-set-hostname
-rwxr-xr-x 1 admin root 4148 Dec 11 00:54 fap-umount-udisk
-rwxr-xr-x 1 admin root 74220 Dec 11 00:54 fsd
-rwxr-xr-x 1 admin root 11012 Dec 11 00:54 get
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 getty -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 halt -> ../bin/busybox
-rwxr-xr-x 1 admin root 4408 Dec 11 00:54 help
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 ifconfig -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 init -> ../bin/busybox
-rwxr-xr-x 1 admin root 3724 Dec 11 00:54 init_sys_shm
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 insmod -> ../bin/busybox
-rwxr-xr-x 1 admin root 21584 Dec 11 00:54 iwconfig
-rwxr-xr-x 1 admin root 25304 Dec 11 00:54 iwlist
-rwxr-xr-x 1 admin root 11352 Dec 11 00:54 iwpriv
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 lsmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 modprobe -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 poweroff -> ../bin/busybox
-rwxr-xr-x 1 admin root 12548 Dec 11 00:54 radartool
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 reboot -> ../bin/busybox
-rwxr-xr-x 1 admin root 61 Dec 11 00:49 repeater_pass_configuration
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 restore
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 rmmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 route -> ../bin/busybox
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 setcfg
-rwxr-xr-x 1 admin root 9268 Dec 11 00:54 startup_fw
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 udhcpc -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 upgrade -> ../bin/busybox
-rwxr-xr-x 1 admin root 105972 Dec 11 00:54 usbmuxd
-rwxr-xr-x 1 admin root 19848 Dec 11 00:54 wlanconfig
-rwxr-xr-x 1 admin root 244180 Dec 11 00:54 wpa_supplicant

--------------- output /sbin ---------------

== FortiPlanner ==

=== Was ist ein FortiPlanner und wo finde ich weitere Informationen zum FortiPlanner? ===

Beim FortiPlanner handelt es sich um ein Tool das Fortinet zur Verfügung stellt um eine Wireless Plannung durchzuführen. Weitere Informationen zum FortiPlanner siehe nachfolgenden Artikel:

[[FortiPlanner:FAQ]]

== 802.11 ==

=== Wo finde ich detailliert Informationen über den Wireless "IEEE 802.11" Standard? ===

Folgender Link gibt Auskunft über den "IEEE 802.11" Standard und enthält weitere nützliche Links:

http://en.wikipedia.org/wiki/802.11

=== Wo finde ich detailliert Informationen über den Wireless "802.11ac" Standard? ===

Fortinet hat ein Dokument veröffentlich in dem der neue "802.11ac" ([[http://en.wikipedia.org/wiki/IEEE_802.11ac |IEEE 802.11ac]] Standard beschrieben wird:

[[Datei:802.11ac_Wireless_LAN_FAQ_-_July_2013.pdf]]
[[Datei:802.11ac_Wireless_LAN_FAQ_-_Januar_2014.pdf]]
[[Datei:802.11ac_Wireless_LAN_FAQ_-_Februar_2014.pdf]]

Dabei ist eine Position in den Dokument zu berücksichtigen:

'''Do I need to buy new APs to support 802.11ac?'''
Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.

Somit können bestehende Modelle wie zB FAP-221B nicht auf den neuen Standard 802.11ac anhand eines Software Updates gebracht werden da es für den 802.11ac Standard neue Hardware benötigt die diesen Standard 802.11ac unterstützt wie zB FAP-221C. Desweiteren ist zu berücksichtigen, dass für diesen Standard resp. neue Hardware und für FortiOS 5.0 ein spezielles FortiOS installiert werden muss, damit die neuen FAP-221C die auf diesen neuen Standard 802.11ac basieren erkannt werden. Dieser neue "Special Support Build" wird basierend auf FortiOS 5.0 unter folgenden Link zur Verfügung gestellt:

https://support.fortinet.com/Download/FirmwareImages.aspx

/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Dieser Link kann nur dann aufgerufen werden, wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Mit diesem "Special Support Build" wird ausschliesslich die neuen Forti Access Point (zB FAP-320C und FAP-221C) basierend auf 802.11ac unter FortiOS 5.0 unterstützt. Die Forti Access Points müssen mit FortiOS 5.2 betrieben werden. Um den "Special Support Build" zu installieren muss folgendermassen vorgegangen werden:

1. Installierte Basis offizielles FortiOS 5.0.x

2. Upgrade auf die letzte zur Verfügung stehende offizielle Version zB FortiOS 5.0.12 gemäss Upgrade Path:

[[Datei:FortiOS-Upgradepath.pdf]]

3. Einspielen des "Feature Support Build" basierend auf FortiOS 5.0.12

Für FortiOS 5.2 und höher muss zur Unterstützung der neuen 802.11ac Standard kein "Feature Support Build" installiert werden!

=== Wo finde ich detailliert Informationen über Wireless "802.11AC MU-MiMo" Funktion? ===

Unter "802.11AC MU-MiMo" versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". MiMo bedeutet somit konkret:

MI steht für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen

Dahinter verbirgt sich im Prinzip ein cleveres Radio/Antennen Management! Wenn ein Access Point über mehrer "radios" mit Antennen vefügt, kann der Access Point seine "radio" Antennen gezielt aufteilen wenn er mehrere Gegenstellen zu bedienen hat um damit jeder Gegenstelle eine besonders stabile und starke Verbindung zu garantieren:

[[Datei:Fortinet-326.jpg]] oder [[Datei:Fortinet-331.jpg]]

Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:

[[Datei:Fortinet-718.jpg]]

Wenn diese Technology für "802.11AC MU-MiMo", die auch für den Forti Access Point FAP-320B/C benutzt wird eingesetzt werden soll, so muss ebenfalls die Client/Host Seite über diese Technolgie verfügen. Dies bedeutet: der Client/Host selber müssen diese Technologie durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client/Host zB IPad "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte um die entsprechende Performance zu erlangen!

== Wireless Controller ==

=== Wie kann ich für einen FortiGate Wireless Controller den "Country Code" Konfigurieren? ===

Ein Forti Access Point wird über die Fortigate Wireless Controller konfiguriert. Es ist zwingend Notwendig die korrekte "location" (Country Code) zu setzen bevor ein Forti Access Point konfiguriert wird. UM den entsprechenden Country Code auf dem FortiGate Wireless Controller zu konfigurieren führe folgendes durch:

# config wireless-controller setting
# set country CH
# end

Wenn man die Konfiguration abschliesst, kann es zu einer Fehlermeldung führen. Der Grund dafür sind existierende WTP Profiles die auf den alten Country Code basierend. Der Konfigurationspunkt in den WTP Profiles die auf dem Country Code basieren, sind die zur Verfügung gestellten "channels" und diese können von Land zu Land unterschiedlich sein. Aus diesem Grund unter FortiOS 5.0 dürfen kein WTP Profiles existieren wenn der Country Code neu gesetzt wird. Aus diesem Grund müssen die bestehenden WTP Profiles unter FortiOS 5.0 gelöscht werden. Dies wird folgendermassen durchgeführt:

# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)'''y'''

Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert werden jedoch wird sämtliche "channel" Konfiguration zurückgesetzt und muss bei einer bestehenden Konfiguration nachträglich kontrolliert werden. Wird der Country Code unter FortiOS 5.2 auf der CLI geändert erscheint folgende Meldung:

This operation will also clear channel settings of all the existing wtp profiles
Do you want to continue (y/n)'''y'''

=== Kann ich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos absetzen? ===

Ab FortiGate/FortiAccessPoint FortiOS 5.4.1 ist es möglich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos abzusetzen. Welche Kommandos dabei auf dem Forti Access Point abgesetzt werden können siehe nachfolgender Artikel:

[[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_Lokal_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]

Wenn Kommandos die für eine Forti Access Point zur Verfügung stehen über den FortiGate Wireless Controller abgesetzt werden, spielt es keine Rolle ob der Administrative Access eines Forti Access Points dh. telnet, ssh, http oder https aktiviert ist oder nicht denn die Kommandos werden über CAPWAP UDP-5246 durchgeführt. Um ein Kommando abzusetzen steht folgende Syntax mit deren Optionen zur Verfügung:

# diagnose wireless-controller wlac wtpcmd [Forti Access Point IPv4] [CAPWAP Port] cmd [cmd-to-ap | run | show | showhex | clr | r&s | r&sh]

Die verschiedenen Optionen für "cmd" haben folgende Bedeutung:

• cmd-to-ap: any shell commands, but AP will not report results until the command is finished on the AP
• run: controller sends the ap-cmd to the FAP to run
• show: show current results reported by the AP in text
• showhex: show current results reported by the AP in hex
• clr: clear reported results
• r&s: run/show
• r&sh: run/showhex

Das Kommando das sich am Besten eignet um Kommandos abzusetzen ist "r&s" dh. "run and show". Nachfolgend ein Beispiel anhand "cfg -s" das die momentane Konfiguration eines Forti Access Points zeigt:

# diagnose wireless-controller wlac wtpcmd [Forti Access Point IP] 5246 cmd r&s "cfg -s"

Um die IPv4 Adresse eines Forti Access Points über CLI zu verifizieren siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

=== Wie kann ich auf einem FortiGate Wireless Controller ein Troubleshooting durchführen (diagnose)? ===

Auf einem FortiGate Wireless Controller stehen folgende troubleshooting Kommandos zur Verfügung um verschiedenen Informationen zu verifizieren:

# diagnose wireless wlac -h
wlac usage:
wlac help --show this usage
wlac ping [-c cnt] [-s len] <ip> --send cnt len-bytes ping request
wlac tpt --show non-wireless terminaton point info
wlac tablesize --print tablesize for wireless-controller part only
wlac kickmac mac --disassociate a sta
wlac kickwtp ip cport --tear down a wtp session
wlac plain-ctl [[wtp-id] [0|1] | clear] --show, set or clear current plain control setting
wlac sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
wlac sniff [intf [wtp-id] [0|1|2] | clear] --show, set or clear sniff setting on intf for wtp-id
wlac list-vap --show configured VAPs and VAP groups.
wlac scanclr --clear the scanned rogue ap list
wlac scanstaclr --clear the scanned rogue sta list
wlac sta_filter [sta-mac level | clear] --show, set or clear sta filter
wlac wtp_filter [id vfid-ip:port level | clear] --show, set or clear wtp filter
wlac clear debug --clear all debug settings
wlac show debug --show all debug settings
wlac show kernel --show all -k command settings
wlac show data --show all -d settings
wlac show control --show all -c settings
wlac show all --show all -k,-c,-d and debug settings
wlac -k cws [wlan] --list cws info(kern)
wlac -k wtp [vfid-ip:port lip:port] --list wtp info(kern)
wlac -k vap [wlan | bssid] --list vap info(kern)
wlac -k sta [wlan | bssid mac] --list sta info(kern)
wlac -k wlan-sta wlan sta-ip --list wlan's sta info(kern)
wlac -d usage --list objects usage(data)
wlac wpad_vap [ip|bssid] --list vap info in wpad_ac
wlac wpad_sta [mac] --list sta info in wpad_ac
wlac sta-idle-auth [time] --get/set non-auth sta idle time
wlac -d all --list wlan/wtp/vap/sta info(data)
wlac -d wlan --list wlan info(data)
wlac -d wtp --list wtp info(data)
wlac -d vap --list vap info(data)
wlac -d sta --list sta info(data)
wlac -d sta-idx [wlan mac next] --list indexed sta info(data)
wlac -d wlsta wlan --list wlan's sta info(data)
wlac -d wtpsta wtp-index --list wtp's sta info(data)
wlac -d radiosta wtp-id rId --list radio's sta info(data)
wlac -c status --display ac status summary
wlac -c sta [mac] --list sta(ctl)
wlac -c wtpprof [wtpprof] --list configured wtp profiles(ctl)
wlac -c wtp [wtp] --list configured wtps(ctl)
wlac -c wtp-idx [wtp next] --list indexed wtp (ctl)
wlac -c radio-idx [wtp rId next] --list indexed radio (ctl)
wlac -c vap-idx [wtp rId wlan next] --list indexed vap (ctl)
wlac -c wlan [wlan|ssid] --list configured wlans(ctl)
wlac -c swintf --list configured switch interface(ctl)
wlac -c apsintf --list configured aps interface(ctl)
wlac -c ap-status --list configured ap status(ctl)
wlac -c widsprof --list configured wids profiles(ctl)
wlac -c byod_dev [dev | mac] --list configured devices(ctl)
wlac -c byod_devgrp [devgrp --list configured device groups(ctl)
wlac -c byod_devacl [devacl] --list configured device access lists(ctl)
wlac -c byod_devtype [devtype] --list configured device types(ctl)
wlac -c byod [wlan] --show device access in control plane
wlac -c byod_detected [wlan] --list detected devices(ctl)
wlac -c ws [ip] --list current wtp sessions(ctl)
wlac -c ws-fail --show current wtp sessions with SSID config failures
wlac -c ws-mesh vfid-ip:port --list this wtp session's mesh parent and child info(ctl)
wlac -c vap --list vap info(ctl)
wlac -c ap-rogue --list rogue ap info(ctl)
wlac -c sta-rogue --list rogue sta info(ctl)
wlac -c rap-hostlist bssid --list hosts related to the ap(ctl)
wlac -c arp-req --list arp info on the controller(ctl)
wlac -c mac-table --list mac table(ctl)
wlac -c br-table --list bridge table(ctl)
wlac -c nol --list the AP's non occupancy channel list for radar
wlac -c scan-clr-all --clear the scanned rogue ap and sta data(ctl)
wlac -c ap-onwire-clr bssid --clear the rogue ap's on wire flag(ctl)
wlac -c darrp --list darrp radio table(ctl)
wlac -c darrp-schedule --list darrp schedule table
wlac -c sta-cap [mac] --list sta capability(ctl)
wlac -c sta-locate --list located wireless stations(ctl)
wlac -c sta-locate-reset [1|2] --reset sta-locate data(ctl); 1: reset stats, 2 (default): flush entries
wlac -c rf-analysis [wtp-id|ac] --list rf analysis results(ctl)
wlac -c rf-sa wtp-id rId [chan] --list rf spectrum info
wlac -c radio-ifr wtp-id rId --list radio's interfering APs
wlac -c wids --show detected sta threat in control plane

=== Was kann getan werden, wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate Wireless Controller? ===

Wenn ein Forti Access Point in einem bestimmten IPv4 Adress Subnet/Segment in dem der Forti Access Point über den FortiGate Wireless Controller verwaltet wird (CAPWAP) nicht ersichtlich ist, muss folgendes berücksichtigt werden:

• Der Switch und/oder ein Router darf folgende Protokolle und Port nicht verwerfen/blocken:

Broadcast, Multicast sowie Unicast
CAPWAP Port UDP-5246

Auf einigen Switch Modellen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste das diese Protokolle nicht über den Switch verworfen/geblockt wird. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:

http://www.ietf.org/rfc/rfc5415.txt

Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP) kann folgendes durchgeführt werden:

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

'''Setze einen neuen Debug Filter:'''

# diagnose debug application cw_acd 5

'''Aktiviere Debug:'''

# diagnose debug enable

"5" stellt die "verbosity" dar. Diese "verbosity" zeigt alle Fehler an sowie den gesamten CAPWAP Prozess (Discovery, Keep Uplive etc.). Sobald das "debug" nicht mehr benötigt deaktiviere den "debug" Mode sowie setze den Filter zurück!

'''Deaktiviere den Debug Modus:'''

# diagnose debug disable

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

Um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate für das Interface auf dem der Forti Access Points verbunden ist ausgeführt werden:

# diagnose sniffer packet [Definiere das entsprechende Interface zB "dmz" oder alle Interfaces "any"] "port 5246" 6 0 a

Im Sniffer Output muss die Antwort des Forti Access Point über Unicast (Discovery Request) zum FortiGate Wireless Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Wireless Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf de FortiGate Wireless Controller nicht ersichtlich ist. Ein anderer Ansatz ist Broadcast, Multicast und Unicast zu verhindert. Der Grund, dass ein Forti Access Point diesen Vorgang/Protokolle benutzt um den FortiGate Wireless Controller zu finden, ist das der Forti Access Point nicht die nötige Information resp. IPv4 Adresse des FortiGate Wireless Controller besitzt um diese IPv4 Adresse Anzufragen. Die einfachste Art dies zu erreichen, ist dem Forti Access Point über den DHCP Server die nötige Information der IPv4 Adresse des FortiGate Wireless Controller zu zuweisen. Wenn für die Forti Access Point ein DHCP Server der FortiGate benutzt wird kann dies über Kommandozeile folgendermassen konfiguriert werden:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

Wenn ein seperater DHCP Server benutzt wird, kann anhand der Option 138 der seperate DHCP Server so konfiguriert werden, dass dieser über diese Option dem Forti Access Point die IPv4 Adresse des FortiGate Wireless Controller zuweist. Diese Option 138 die für die IPv4 Adresse des FortiGate Wireless Controllers steht, ist auf dem Forti Access Point per Standard anhand der Konfiguration "AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138" gesetzt und kann bei Bedarf verändert werden:

# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE:=138
# cfg -c

=== Wie kann ich für eine FortiGate den FortiGate Wireless Controller komplett deaktivieren? ===

Wenn man zB. aus Security Gründen den FortiGate Wireless Controller der auf einer FortiGate per Standard aktiviert ist komplett deaktivieren möchte, kann dies über CLI durchgeführt werden:

# config system global
# set wireless-controller [enable | disable]
# end

Dieses Kommando deaktiviert den FortiGate Controller komplett und somit können keine Forti Access Point mehr angebunden, verwaltet oder konfiguriert werden. Möchte man den "wireless-controller" nicht deaktivieren aber verhindern, dass sich Forti Access Points auf dem lokalen FortiGate Wireless Controller registrieren kann dies mit verschiedenen Konfigurationen erreicht werden. Weitere Auskunft über diese verschiedenen Konfigurationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_die_automatische_Registration_eines_Forti_Access_Point_auf_einem_FortiGate_Wireless_Controller_verhindern.3F]]

=== Wie kann ich auf einer FortiGate den FortiGate Wireless Controller/Service neu starten? ===

Wenn man den FortiGate Wireless Controller aus irgendwelchen Gründen neu starten möchte, kann dies mit verschiedenen Kommandos durchgeführt werden. Dabei ist jedoch zu beachten das ein komplett Unterbrucht für das Forti Access Point Wireless Netzwerk durchgeführt wird resp. für die Wireless Clients/Hosts. Nachfolgendes Kommando zeigt wie anhand des "execute" Kommandos der FortiGate Wireless Controller neu gestartet wird:

# execute wireless-controller restart-acd

Zu diesem Kommando steht ebenfalls die Option "reset-wtp" zur Verfügung. Durch diese Option werden alle oder spezifizierte Forti Access Points anhand der Serien Nummer angewiesen deren WTP Profiles neu zu laden. Dadurch wird ein Neustart des entsprechenden Forti Access Point durchgeführt oder durch "all" für alle Forti Access Points:

# execute wireless-controller reset-wtp [Definiere die entsprechende Serien Nummer eine Forti Access Points oder "all"]

Wenn dieser Vorgang nicht den gewünschten Effekt erziehlt kann auch folgendes durchgeführt werden jedoch sollte dieser Vorgang als letzte Option benutzt werden. Um die PID (Prozess ID Deamon) herauszufinden für den FortiGate Wireless Controller resp. Service "cw_acd" benützen folgenden Befehl auf der Console:

# fnsysctl more /var/run/cw_acd.pid
110

Sobald die PID eruiert ist, kann diese anhand des Kill Level 9 neu gestartet werden:

# diagnose sys kill [Kill Level/Sequenz 1 - 32] [PID des Prozesses cw_acd]

Durch diesen Vorgang ensteht ebenfalls ein Unterbruch auf dem FortiGate Wireless Controller, denn der Kill Level 9 zwingt den Service die Konfiguration für den FortiGate Wireless Controller neu einzulesen und für den Service ein "restart" durchzuführen. Dies kann nachträglich kontrolliert werden, denn wenn abermals die PID Nummer des Service "cw_acd" ausgelesen wird und durch den "restart" wird dem Service einen neue PID Nummer zugewiesen:

# fnsysctl more /var/run/cw_acd.pid
11985

=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welcher SSID und MAC Adresse verbunden sind? ===

Um herauszufinden welche Wireless Clients/Hosts mit welcher SSID über den FortiGate Wireless Controller verbunden sind benutze folgenden Befehl über die CLI der FortiGate:

# diagnose wireless-controller wlac -d sta

vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=198.18.2.2 mac=94:65:9c:74:47:c6 vci=MSFT 5.0 host=DESKTOP-HSEH6HM
user= group= signal=0 noise=0 idle=0 bw=1 use=4 chan=3 radio_type=11N security=wpa2_only_personal encrypt=aes cp_authed=no online=yes mimo=2

* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

*? vf=0 wtp=15 rId=1 wlan=fortinet4guest vlan_id=0 ip=0.0.0.0 mac=08:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=captive encrypt=none cp_authed=no online=yes

In unserem Beispiel sehen wir, dass ein Client mit der IP 198.18.2.2 verbunden ist mit der MAC Adresse 94:65:9c:74:47:c6. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "fortinet4intern" sowie "fortinet4guest" mit deren MAC Adresse "1a:5b:0e:5d:f7:15" und "08:5b:0e:5d:f7:0d". Ebenso sieht man die Authentication des Client 198.18.2.2 dh. "wpa2_only_personal" (aes) und den Host Namen "DESKTOP-HSEH6HM".

=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welchem IEEE 802.11 Standard verbunden sind? ===

Ueber nachfolgenden Befehl kann man verifizieren über welchen IEEE 802.11 Standard ein Client mit einem Forti Access Point verbunden ist:

# diagnose wireless-controller wlac -d sta

* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:0d''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 '''radio_type=11N'''
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:15''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 '''radio_type=11AC'''
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

=== Wie finde ich über den FortiGate Wireless Controller heraus mit welcher IPv4 Adresse ein Forti Access Point verbunden ist? ===

Um herauszufinden mit welcher IPv4 Adresse ein Forti Access Point mit dem FortiGate Wireless Controller verbunden ist kann das Mgmt. Web Interface benutzt werden:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > Connected Via

Steht der Mgmt. Web Interface Zugriff nicht zu Verfügung kann die IPv4 Adresse mit der ein Forti Access Point auf dem FortiGate Wireless Controller verbunden ist auch über die CLI der FortiGate verifiziert werden:

'''Liste alle IP's auf die momentan durch die Forti Access Point benutzt werden:'''

# diagnose wireless wlac -d wtp
vf=0 wtp=1 base=08:5b:0e:5d:f7:0d 198.18.3.3:45521<->198.18.3.1:5247 use=7
vf=0 wtp=2 base=08:5b:0e:0c:f4:1a 193.193.135.70:49026<->193.193.135.66:5247 use=4
vf=0 wtp=4 base=08:5b:0e:a3:97:a8 198.18.3.2:53715<->198.18.3.1:5247 use=6
vf=0 wtp=5 base=08:5b:0e:97:23:0e 193.193.135.71:46015<->193.193.135.66:5247 use=4

'''Liste alle Forti Access Point auf um die Serien Nummern zu verifizieren:'''

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

'''Liste einen bestimmten Forti Access Point anhand dessen Serien Nummer sowie mit dessen Informationen Informationen/IP:'''

# diagnose wireless wlac -c wtp [Entsprechende Serien Nummer des Forti Access Point zB "FAP21D3U14000144"; Keine Serien Nummer Angabe listet alle Forti Access Points auf]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------

Um nachträglich anhand dieser IPv4 Adresse über den Forti Gate Wireless Controller eine "telnet" Verbindung zum Forti Access Point durchzuführen siehe nachfolgender Artikel::

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme mit einem Wireless Client/Host Troubleshooten? ===

Um Verbindungsprobleme mit einem Wireless Client/Host zu Troubleshooten kann der "diagnose" Befehl Lokal auf dem FortiGate Wireless Controller benützt werden oder auf dem Forti Access Point anhand des Befehls "cw_debug". Um dieses Troubleshooting durchzuführen, muss im ersten Schritt für den Wireless Client/Host eruiert werden, mit welcher MAC Adresse der Wireless Client/Host verbindet um diese im "diagnose" Befehl zu benutzen und um so den Traffic auf diese MAC Adresse des Wireless Clients/Host einzuschränken. Wie diese MAC Adresse über den FortiGate Wireless Controller eruiert werden kann siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_welche_Clients_mit_welcher_SSID_und_MAC_Adresse_verbunden_sind.3F]]

Sobald die MAC Adresse des Wireless Client/Host eruiert wurde, kann nachfolgender "diagnose" Befehl benutzt werden um den Traffic des Client/Host anhand dieser MAC Adresse einzusehen:

# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 1
STA Filter Index 0/1 sta 9c:b7:0d:de:8f:74 log-enabled 1

Nach der MAC Adresse wird mit "1" die Funktion des "sta_filter" anhand der MAC Adresse aktiviert. Anhand "0" wird die Funktion wiederum deaktiviert. Für "wlac" stehen weitere Befehle zur Verfügung. Weitere Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_auf_einem_FortiGate_Wireless_Controller_ein_Troubleshooting_durchf.C3.BChren_.28diagnose.29.3F]]

Nachträglich, nach dem Troubleshooting muss die Funktion "sta_filter" wieder deaktiviert werden anhand folgenden Befehls:

# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 0
STA Filter is empty

Wird dies nicht durchgeführt so bleibt die Funktion "sta_filter" anhand "1" aktiv was aus performance Gründen nicht empfohlen wird. Nachfolgendes Beispiel zeigt eine korrekte Verbindung eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 dh. Der Client/Host sollte keine Verbindung erstellen vor der Aktivierung der "sta_filter" Funktion um nachträglich nur den Verbindungsaufbau einzusehen:

44386.013 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_req <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_resp ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <dc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 NON-AUTH band 0x10 mimo 2*2
44386.015 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(60) sta 94:65:9c:74:47:c6 add ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.015 94:65:9c:74:47:c6 <cc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 0
44386.028 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(60) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.029 94:65:9c:74:47:c6 <eh> send 1/4 msg of 4-Way Handshake
85792.029 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=95 replay cnt 1
85792.030 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 139B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=135
85792.032 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 2/4 Pairwise replay cnt 1
85792.033 94:65:9c:74:47:c6 <eh> send 3/4 msg of 4-Way Handshake
85792.033 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=175 replay cnt 2
85792.033 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 179B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=95
85792.036 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 4/4 Pairwise replay cnt 2
44386.037 94:65:9c:74:47:c6 <dc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 AUTH
44386.038 94:65:9c:74:47:c6 <cc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 1 ******
44386.038 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(62) sta 94:65:9c:74:47:c6 add key (len=16) ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.046 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(62) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.047 94:65:9c:74:47:c6 <eh> ***pairwise key handshake completed*** (RSN)
44386.086 94:65:9c:74:47:c6 <dc> DHCP Request server 0.0.0.0 <== host DESKTOP-HSEH6HM mac 94:65:9c:74:47:c6 ip 198.18.2.2 xId bd0e86c
44386.094 94:65:9c:74:47:c6 <dc> DHCP Ack server 198.18.2.1 ==> host mac 94:65:9c:74:47:c6 ip 198.18.2.2 mask 255.255.255.128 gw 198.18.2.1 xId bd0e86c

Nachfolgendes Beispiel zeigt einen korrekten Disconnect eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:

44447.890 94:65:9c:74:47:c6 <dc> STA del 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(64) sta 94:65:9c:74:47:c6 del ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA del 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL action del_by_wtp reason 201
85852.892 94:65:9c:74:47:c6 <eh> ***WPA_PTK 94:65:9c:74:47:c6 DISCONNECTED***
44447.894 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(64) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)

Nun der oben gezeigte "output" stammt vom Fortigate Wireless Controller! Möchte man die gleiche Vorgehensweise für den Wireless Client/Host auf dem Forti Access Point durchführen muss in erster Linie auf dem Forti Access Point auf dem der Wireless Client/Host verbunden ist "telnet" für den Zugriff aktiviert werden. Wie dies durchgeführt wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Der Nachteil auf einem Forti Access Point liegt darin, dass der Traffic nicht anhand einer MAC Adresse eingeschränkt werden kann dh. durch "0x7fff" wird ein Debug Level 32767 gesetzt. Gleichzeitig muessen die "telnet" Nachrichten in der Console für "cw_debu" aktiviert werden. Es ist absolut nicht empfohlen diesen "cw_debug" über einen Consolen Port auf dem Forti Access Point durchzuführen oder über den Consolen Port der FortiGate selber. Der Grund ist der Folgende: Durch diesen "cw_debug" werden soviel "output" Produziert, dass der "buffer" des Consolen Port in kurzer Zeit vollgeschriebe wird. Dies verunmöglicht einen korrekten "cw_debug". Aus diesem Grund sollte die Verbindung SSH basierend sein dh. es sollte per SSH auf die FortiGate verbunden werden und nachträglich per "telnet" auf den entsprechenden Forti Access Point:

# execute [telnet | ssh] [IPv4 Adresse des entsprechenden Forti Access Point zB "198.18.3.3"]
Trying 198.18.3.3...
Connected to 198.18.3.3.
Local Access Point FAP-221C login: admin

BusyBox v1.15.0 (2016-01-07 14:13:50 PST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Eingeloggt auf dem Forti Access Point können die entsprechenden Optionen für "cw_debug" eingesehen werden:

# cw_debug app
Usage:

cw_debug <on|off> --turn on/off telnet log message
cw_debug app <app_name> [debug_var] --get/set application debug var
cwWtpd capwap WTP daemon
dhcp capwap DHCP discover
wifi capwap wifi configuration commands
cwWtpd_mem capwap WTP daemon mem
fsd fsd daemon
hostapd hostapd daemon
wpa_supp wpa supplicant daemon
ddnscd ddnscd daemon
admin_timeout telnet/GUI session idle timeout in seconds
fapportal fapportal daemon
fcldc forticloud client daemon
service capwap WTP service daemon
all all above daemons

Um für "cw_debug" den "telnet" Output zu aktivieren führe folgendes durch:

# cw_debug on

Danach setze den "debug" Level für "cw_debug app cwWtpd" anhand folgenden Befehls:

# cw_debug app cwWtpd 0x7fff

Auch hier ist es absolut Notwendig, nach einem erfolgreichen Troubleshooting den Debug wiederum zu aktivieren. Wird dies nicht durchgeführt, bleibt der Debug Modus im Hintergrund aktiv und beeinflusst die Performance des Forti Access Point:

# cw_debug app cwWtpd 0x0

Nachfolgendes Beispiel zeigt den "output" einer korrekte Verbindung des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 wobei darauf hinzuweisen ist das dieser "output" nicht einfach ist zu lokalisieren. Aus diesem Grund wird empfohlen den "output" der SSH resp. "telnet" Session für einen spätere Analyse in ein Log File zu schreiben:

49009.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248929 dbg 00007fff Pkts 0 0
49010.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248930 dbg 00007fff Pkts 0 0
49011.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248931 dbg 00007fff Pkts 0 0
49012.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248932 dbg 00007fff Pkts 0 0
49012.742 Wireless event: cmd=0x8c03 len=20
49012.752 ==========================cwWtpProcRawMsg 7 1=========================
49012.752 cwWtpProcRawMsg recvfrom total bytes 1750766
49012.752 cwWtpProcRawMsg: it's a control message
49012.752 cwWtpProcCipherCtrlMsg: looking at 125-byte encapsulated control message
49012.752 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 125 (errno: 11)
49012.752 ==========================cwWtpProcRawMsg 7 2=========================
49012.752 cwWtpDtlsThread: SSL_read() returned 66 ssl_err 0
49012.753 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.753 CAPWAP Control Header Dump:
49012.753 msgType : 25 STA_CFG_REQ
49012.753 seqNum : 165
49012.753 msgElemLen : 53
49012.753 flags : 0
49012.753 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.753 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.753 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.753 ==========================cwWtpFsmThread 4 1=========================
49012.753 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.754 CWWS_RUN_enter: Add 1 STAs.
49012.754 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.754 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.754 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.755 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.755 CAPWAP Control Header Dump:
49012.755 msgType : 26 STA_CFG_RESP
49012.755 seqNum : 165
49012.755 msgElemLen : 11
49012.755 flags : 0
49012.755 wtpDtlsWrite: SSL_write() was successful
49012.756 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49012.756 ==========================cwWtpFsmThread 4 2=========================
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.756 cwWtpSendRawMsg: called with 81 bytes - dumping...
49012.756 cwWtpSendRawMsg: send out encrypted msg.
49012.756 cwWtpSendRawMsg: sendto of 81 of 81 bytes for 192.168.3.1/5246
49012.756 cwWtpSendRawMsg: sendto total bytes 2407860
49012.756 cwWtpProcOutCipherCtlMsg: successfully sent data...
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.962 ==========================cwWtpProcRawMsg 7 1=========================
49012.964 cwWtpProcRawMsg recvfrom total bytes 1750959
49012.964 cwWtpProcRawMsg: it's a control message
49012.964 cwWtpProcCipherCtrlMsg: looking at 189-byte encapsulated control message
49012.964 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 189 (errno: 11)
49012.964 ==========================cwWtpProcRawMsg 7 2=========================
49012.964 cwWtpDtlsThread: SSL_read() returned 135 ssl_err 0
49012.964 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.964 CAPWAP Control Header Dump:
49012.964 msgType : 25 STA_CFG_REQ
49012.965 seqNum : 166
49012.965 msgElemLen : 122
49012.965 flags : 0
49012.965 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.965 cw_me_decode: me type 11_sta_session_key (1038) len 36 claims 29 more octets
49012.965 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.965 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.965 ==========================cwWtpFsmThread 4 1=========================
49012.965 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.965 CWWS_RUN_enter: Add 1 STAs.
49012.965 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.966 cwWtpStaRbtDel: DEL duo to ADD remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49012.966 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.966 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.966 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.966 CAPWAP Control Header Dump:
49012.966 msgType : 49013.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248933 dbg 00007fff Pkts 0 0
49014.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248934 dbg 00007fff Pkts 0 0
49015.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248935 dbg 00007fff Pkts 0 0
49016.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248936 dbg 00007fff Pkts 0 0
49017.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248937 dbg 00007fff Pkts 0 0
49018.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248938 dbg 00007fff Pkts 0 0

Nachfolgendes Beispiel zeigt den Output eines "korrekten" Disconnect des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:'''

49113.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249033 dbg 00007fff Pkts 0 0
49114.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249034 dbg 00007fff Pkts 0 0
49114.417 Wireless event: cmd=0x8c04 len=20
49114.417 Wireless event: cmd=0x8c02 len=31
49114.417 Custom wireless event: 'del sta: wlan00 '
49114.417 cwWtp_wireless_event_wireless_custom Radio 0 wId 0 Del STA: 9c:b7:0d:de:8f:74
49114.417 cwWtpSend_REQ_MSG: sending WTP_EVENT_REQ (9) msg.
49114.417 cwWtpSendRawMsgQueue: SENDING OUT type 9 seqNum 156
49114.417 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.417 CAPWAP Control Header Dump:
49114.417 msgType : 9 WTP_EVENT_REQ
49114.417 seqNum : 156
49114.417 msgElemLen : 34
49114.417 flags : 0
49114.418 wtpDtlsWrite: SSL_write() was successful
49114.418 cwWtpSendRawMsgQueue: wtpDtlsWrite() succeeded.
49114.418 cwWtpPendingMsgAdd: add type 9 seqNum 156 into pending msg queue at head 18 Cnt 1
49114.418 cwWtpProcOutCipherCtlMsg: calling recv()
49114.418 cwWtpSendRawMsg: called with 113 bytes - dumping...
49114.418 cwWtpSendRawMsg: send out encrypted msg.
49114.418 cwWtpSendRawMsg: sendto of 113 of 113 bytes for 192.168.3.1/5246
49114.418 cwWtpSendRawMsg: sendto total bytes 2408459
49114.419 cwWtpProcOutCipherCtlMsg: successfully sent data...
49114.419 cwWtpProcOutCipherCtlMsg: calling recv()
49114.430 ==========================cwWtpProcRawMsg 7 1=========================
49114.430 cwWtpProcRawMsg recvfrom total bytes 1751749
49114.430 cwWtpProcRawMsg: it's a control message
49114.430 cwWtpProcCipherCtrlMsg: looking at 109-byte encapsulated control message
49114.430 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 109 (errno: 11)
49114.430 ==========================cwWtpProcRawMsg 7 2=========================
49114.430 cwWtpDtlsThread: SSL_read() returned 47 ssl_err 0
49114.431 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.431 CAPWAP Control Header Dump:
49114.431 msgType : 25 STA_CFG_REQ
49114.431 seqNum : 168
49114.431 msgElemLen : 34
49114.431 flags : 0
49114.431 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49114.431 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x100ef468 msgPtr (nil) len 0
49114.431 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49114.432 ==========================cwWtpProcRawMsg 7 1=========================
49114.432 cwWtpProcRawMsg recvfrom total bytes 1751830
49114.432 cwWtpProcRawMsg: it's a control message
49114.432 cwWtpProcCipherCtrlMsg: looking at 77-byte encapsulated control message
49114.432 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 77 (errno: 11)
49114.432 ==========================cwWtpProcRawMsg 7 2=========================
49114.432 ==========================cwWtpFsmThread 4 1=========================
49114.432 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49114.432 CWWS_RUN_enter: Del 1 STAs.
49114.432 CWWS_RUN_enter: STA DEL 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name wId 0
49114.432 CWWS_RUN_enter STA_DISASSOC wId 0 Intf wlan00 9c:b7:0d:de:8f:74
49114.433 do80211priv ap wlan00 op 35814 Invalid argument
49114.433 cwWtpStaRbtDel: STA_CFG_REQ remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49114.433 CWWS_RUN_enter: sending STA CFG RESP msg.
49114.433 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.433 CAPWAP Control Header Dump:
49114.433 msgType : 26 STA_CFG_RESP
49114.433 seqNum : 168
49114.433 msgElemLen : 11
49114.433 flags : 0
49114.433 wtpDtlsWrite: SSL_write() was successful
49114.434 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49114.434 ==========================cwWtpFsmThread 4 2=========================
49114.434 cwWtpDtlsThread: SSL_read() returned 24 ssl_err 0
49114.434 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.434 CAPWAP Control Header Dump:
49114.434 msgType 49115.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249116.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249036 dbg 00007fff Pkts 0 0
49117.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249037 dbg 00007fff Pkts 0 0
49118.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249038 dbg 00007fff Pkts 0 0
49119.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249039 dbg 00007fff Pkts 0 0
49120.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249040 dbg 00007fff Pkts 0 0

Folgender Fortinet Knowledge Base Artikel gibt weitere Auskunft über dieses Troubleshooting:

http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33214&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=35950338&stateId=0%200%2035948485

=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme betreffend CAPWAP Troubleshooten? ===

Auf einem FortiGate Wireless Controller kann die Komunikation der einzelnen Fortinet Access Point betreffend CAPWAP folgendes Kommando eingesehen werden:

# diagnose wireless-controller wlac -c wtp

Bei diesem Output gibt speziell die Position "last failure" Auskunft über Probleme. Wenn zB nachfolgende Meldungen auftauchen ist dies ein Indikator das die Komunikation zwischen Fortinet Access Point und FortiGate Wireless Controller Verbindungstechnisch nicht einwandfrei funktioniert:

last failure : 4 -- Control message maximal retransmission limit reached
last failure : 14 -- ECHO REQ is missing

Diese Verbindungsprobleme können auftreten aus Netzwerktechnischen Gründen oder wenn zuviel Broadcast/Multicast Traffic über die Fortinet Access Point benutzt wird. Ist dies der Fall kann über die nachfolgenden Optionen die Timers erhöht werden:

# config wireless-controller global
# set max-retransmit [0 - 64; Standard 3]
# end

# config wireless-controller timers
# set echo-interval [1 - 255; Standard 30]
# end

Durch die Erhöhung der Werte dh. "max-retransmit 15" sowie "echo-interval 100" werden die "retransmit" sowie der "interval" erhöht.

=== Wie kann ich auf dem FortiGate Wireless Controller die momentanen Konfiguration eines Forti Access Point auslesen? ===

Um die momentane Konfiguration für 2.4 GHz sowie 5.0 GHz Forti Access Point über den Fortinet Wireless Controller für einen spezifischen Forti Access Point auszulesen kann folgender Befehl benützt werden:

# config wireless-controller wtp
# get
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
# end

'''Fuer 2.4 GHz Radio eines Forti Access Point'''

# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296
-------------------------------RADIO_IDX 1----------------------------
Radio 1 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11N
channel list : 1 6 11
darrp : enabled
txpower : 100% (calc 18 oper 18 max 18 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 0
bgscan rptintv : 30
sta scan : enabled
WIDS profile : local-default.local
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:0d
oper chan : 11
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------

'''Fuer 5.0 GHz Radio eines Forti Access Point'''

# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296 0
-------------------------------RADIO_IDX 1----------------------------
Radio 2 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11AC
channel list : 36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 ...
darrp : enabled
txpower : 100% (calc 14 oper 14 max 14 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 250
bgscan rptintv : 30
sta scan : disabled
WIDS profile : ---
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:15
oper chan : 48
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------

== Grundsetup ==

=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.0/5.2 in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:

WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 192.168.3.1 | FAP 220B |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 192.168.1.99
LAN

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem FortiAccess Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Es wird unter normalen Umständen empfohlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IP Range 192.168.3.0/24:

<big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>

System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]

[[Datei:Fortinet-1232.jpg]]

Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimm aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die FortiAccess Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie AC (Wireless Controller)
IP Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen! führe auf der
CLI folgendes aus:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

<big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des FortiAccess Points'''</big>

Nun muss der FortiAccess Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1233.jpg]]

[[Datei:Fortinet-1234.jpg]]

[[Datei:Fortinet-1235.jpg]]

Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:

[[Datei:Fortinet-1236.jpg]]

<big>'''Forti Access Point Firmware Upgrade durchführen'''</big>

Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Ein Firmware Upgrade wird folgendermassen durchgeführt:

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1237.jpg]]

[[Datei:Fortinet-1238.jpg]]

[[Datei:Fortinet-1239.jpg]]

Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem FortiAccess Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:

# config wireless-controller wtp
# get

Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:

# edit [Serien Nummer des entsprechendne FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable enable
# end

Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:

# execute [telnet | ssh] [IPv4 Adresse des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:

# cfg -x
# reboot

<big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"'''</big>

User & Device > User > User Definition > Create New

'''User/Gruppe only4also'''

[[Datei:Fortinet-1240.jpg]]

[[Datei:Fortinet-1241.jpg]]

[[Datei:Fortinet-1242.jpg]]

[[Datei:Fortinet-1243.jpg]]

[[Datei:Fortinet-1244.jpg]]

User & Device > User > User Groups > Create New

[[Datei:Fortinet-1245.jpg]]

[[Datei:Fortinet-1246.jpg]]

'''User/Gruppe also4guest'''

[[Datei:Fortinet-1245.jpg]]

[[Datei:Fortinet-1247.jpg]]

Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:

[[Datei:Fortinet-1248.jpg]]

Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:

[[Datei:Fortinet-1249.jpg]]

Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Guest_Access]]

<big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:

WiFi Controller > WiFi Network > Create New

[[Datei:Fortinet-1250.jpg]]

[[Datei:Fortinet-1251.jpg]]

[[Datei:Fortinet-1252.jpg]]

Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:

[[FortiAP:FAQ#Konfiguration]]

<big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>

[[Datei:Fortinet-1253.jpg]]

[[Datei:Fortinet-1254.jpg]]
[[Datei:Fortinet-1255.jpg]]

Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

<big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]

[[Datei:Fortinet-1256.jpg]]

[[Datei:Fortinet-1257.jpg]]

<big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:

Firewall Objects > Address > Address > Create New

[[Datei:Fortinet-1258.jpg]]

[[Datei:Fortinet-1259.jpg]]

[[Datei:Fortinet-1258.jpg]]

[[Datei:Fortinet-1260.jpg]]

<big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

Policy > Policy > Policy > Create New

'''"only4also Firewall Policy Rule"'''

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1262.jpg]]

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1263.jpg]]

'''"also4guest Firewall Policy Rule"'''

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1264.jpg]]

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.4 in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.4. Für das Beispiel gehen wir von folgender Situation aus:

WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 198.18.3.1 | FAP 221C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 198.18.0.1
INTERNAL1

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem Forti Access Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den Forti Access Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet, muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Wir empfehlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IPv4 Range 198.18.3.0/24:

<big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>

Network> Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]

[[Datei:Fortinet-1697.jpg]]

Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimmt aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Restrict Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die Forti Access Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IPv4 über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem Forti Access Point zur Verfügung wie AC (Wireless Controller)
IPv4 Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen. Führe auf der
CLI folgendes aus:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

<big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des Forti Access Points'''</big>

Nun muss der Forti Access Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:

WiFi&Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Edit

[[Datei:Fortinet-1698.jpg]]

[[Datei:Fortinet-1699.jpg]]

Sobald der Forti Access Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:

[[Datei:Fortinet-1700.jpg]]

<big>'''Forti Access Point Firmware Upgrade durchführen'''</big>

Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Ein Firmware Upgrade wird folgendermassen durchgeführt:

WiFi & Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Upgrade

[[Datei:Fortinet-1701.jpg]]

Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem Forti Access Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:

# config wireless-controller wtp
# get

Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:

# edit [Serien Nummer des entsprechendne Forti Access Point zB "FP221C3X14001296"]
# set override-allowaccess [enable|disable]
# set allowaccess [telnet | http | https | ssh]
# end

Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:

# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point; Ersichtlich über "Managed FortiAPs"]
FP221C3X14001296 login: admin

BusyBox v1.15.0 (2015-07-31 17:21:29 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:

# factoryreset

<big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"</big>

'''Konfiguration des Users für "only4also"'''
User & Device > User Definition > Create New
[[Datei:Fortinet-1702.jpg]]

[[Datei:Fortinet-1703.jpg]]

Beim Schritt 3 "Contact Info" Next anwählen.

[[Datei:Fortinet-1704.jpg]]

'''Konfiguration der Gruppe für "only4also"'''
User & Device > User Groups > Create New
[[Datei:Fortinet-1705.jpg]]

'''Gruppe also4guest'''
User & Device > User Groups > Create New
[[Datei:Fortinet-1706.jpg]]

Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden.
Dies erfolgt über das folgende Menu: User & Device > Guest Management > Create New

Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:

[[Datei:Fortinet-1707.jpg]]

Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen:

[[Datei:Fortinet-1708.jpg]]

[[Datei:Fortinet-1709.jpg]]

Weitere detailliert Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Guest_Access]]

<big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:

'''SSID "only4also"
WiFi & Switch Controller > SSID > Create New
[[Datei:Fortinet-1710.jpg]]
[[Datei:Fortinet-1711.jpg]]

'''SSID "also4guest"
WiFi & Switch Controller > SSID > Create New
[[Datei:Fortinet-1712.jpg]]
[[Datei:Fortinet-1713.jpg]]

Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:

[[FortiAP:FAQ#Konfiguration]]

<big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>

[[Datei:Fortinet-1714.jpg]]

[[Datei:Fortinet-1715.jpg]]

Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

<big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>

WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]

[[Datei:Fortinet-1721.jpg]]

<big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:

Policy & Objects > Addresses > Create New > Adress

[[Datei:Fortinet-1718.jpg]]

Alle weiteren Adressobjekte analog erfassen. (net-only4also-192.168.4.0-24 und net-local-lan-198.18.0.0-24))

<big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

'''"only4also Firewall Policy Rule"'''
Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-1719.jpg]]

'''"also4guest Firewall Policy Rule"'''
Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-1720.jpg]]

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

== Setup ==

=== Wie kann ich per "telnet/ssh" auf einen Forti Access Point verbinden wenn dieser über keinen Consolen Port verfügt? ===

Wenn ein Forti Access Point zB FAP-21D über keinen Consolen Port verfügt kann man dennoch über "telnet/ssh" (SSH ab FortiGate/FortiAP FortiOS 5.4.1) auf den Forti Access Point zugreifen um zB ein "debug" auszuführen oder eine lokale Konfiguration auf dem Forti Access Point durchzuführen. Die Funktion "telnet/ssh" muss vorgängig auf dem Fortigate Wireless Controller freigeschaltet werden. Dies bedeutet: ein direkter Zugriff per "telnet/ssh" auf den Forti Access Point ist nicht möglich. Der Zugriff eines "telnet/ssh" erfolgt über die Fortigate CLI oder über das Mgmt. Web Interface der FortiGate anhand des CLI Funktion für einen Forti Access Point. Um die Funktion für "telnet/ssh" freizuschalten auf dem FortiGate Wirless Controller kann dies entweder für FortiOS 5.0/5.2 sowie 5.4 für einen Forti Access Point erfolgen oder unter FortiOS 5.4 für ein WTP Profile. Um "telnet/ssh" für einen Forti Access Point zu aktivieren führe ein Login durch auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:

'''Aktiviere "telnet" und/oder "http" im WTP Profile (FortiOS 5.4)'''

# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile an]
# set allowaccess [telnet | http | https | ssh]
# end

Das entsprechende WTP Profile muss nun dem entsprechenden Forti Access Point zugewiesen sein damit
die Aktivierung von "telnet/ssh" und/oder "http/https" erfolgt. Danach kann über folgende Position
eine CLI geöffnet werden:

WiFi Controller > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste] > Edit in CLI

Wenn der Zugriff für "telnet/ssh" über den FortiGate Wireless Controller resp. CLI erfolgen soll muss
und die entsprechende IPv4 des Forti Access Point umbekannt ist siehe nachfolgender Absatz für FortiOS
5.0/5.2.

'''Aktiviere "telnet" im WTP(FortiOS 5.0/5.2)'''

Ueberprüfe über "wtp" welche Forti Access Points existieren:

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

Ueberprüfe über "diagnose wireless" welche IP ein bestimmter Access Points benutzt:

# diagnose wireless wlac -c wtp [Gebe den entsprechenden Forti Access Point an]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------

Editiere den entsprechenden Forti Access Point auf dem "telnet" freigeschaltet werden soll und aktiviere den Zugriff:

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set login-enable enable
# end

Für FortiOS 5.4 existiert dieses Kommando "login-enable" nicht mehr. Ein Zugriff für "telnet/ssh" und/oder "http/https" kann
dennoch über "wtp" für einen entsprechenden Forti Access Point freigeschaltet werden und wird folgendermassen
durchgeführt:

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

Durch diese Konfiguration wird ein Neustart des Forti Access Point durchgeführt!

Teste den Zugriff per "telnet/ssh" auf den entsprechenden Access Point:

# exec [telnet | ssh] 193.193.135.71
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

#

Wenn "ssh" benutzt wird ist folgendes berücksichtigen: Wenn ein das "default" Passwort auf einem Forti Access Point gesetzt ist dh. also kein Passwort dann erscheint durch nachfolgenden Befehl kein Login Prompt sondern es wird direkt ein Login durchgeführt:

# execute ssh [IPv4 Adresse des Forti Access Point]
Warning: Permanently added '[IPv4 Adresse]' (RSA) to the list of known hosts.

Es wird somit im Hintergrund effektiv folgender Befehl ausgeführt:

# execute ssh admin@[IPv4 Adresse des Forti Access Point]

Da kein Passwort gesetzt wurde auf dem Forti Access Point wird direkt der Standard User "admin" benutzt für das Login. Das ist der Grund wieso kein Login Prompt erscheint. Somit hat man die Wahl entweder den User "admin" im Kommando mitzugeben oder nicht. Ist ein Passwort gesetzt auf dem Forti Access Point und der User "admin" wird mit dem Kommando migegeben erscheint nur die Passwort abfrage. Wir der User mit gesetzen Passwort auf dem Forti Access Point nicht mitgegeben erscheint der Login Prompt für die Eingabe des Users und Passworts. Wie schon erwähnt gibt es neu ab FortiOS 5.2 die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist die Option "set login-enable enable" oder für FortiOS 5.4 "override-allowaccess" und/oder innerhalb eines WTP Profiles "allowaccess". Werden diese Optionen für einen Zugriff über "telnet" nicht aktiviert sei es für FortiOS 5.0/5.2 sowie für 5.4, steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen führe folgendes aus:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick] > [Connect to CLI]

[[Datei:Fortinet-1292.jpg]]

[[Datei:Fortinet-1293.jpg]]

=== Was ist die Default IPv4 Adresse für einen Forti Access Point und wie kann ich mich auf diese IPv Adresse verbinden? ===

Wenn ein Forti Access Point gestartet wird, reagiert auf Netzwerkebene der Forti Access Point folgendermassen:

• Der Forti Access Point sendet einen DHCP Anfrage in das Segment! Wird diese DHCP Anfrage beantwortet wird das
"wan" Interface des Forti Access Point anhand der Informationen des DHCP Server konfiguriert!

• Beantwortet "Kein" DHCP Server die Anfrage des Forti Access Point so wird auf dem Interface des Forti Access
Points die "default" IPv4 Adresse konfiguriert:

192.168.1.2/24

Somit kann man sich auf einen Forti Access Point folgendermassen verbinden sofern der Forti Access Point betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):

1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):

192.168.1.1 255.255.255.0

2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)

3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):

http://192.168.1.2

Möchte man sich auf den Forti Access Point verbinden jedoch wurde das Interface auf "Static" konfiguriert und die IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults gesetzt werden. Weitere Informationen wo sich der "reset button" bei den verschiedenen Modellen befindet, kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:

[[Fortinet:ProduktInfo#FortiAP]]

=== Wie kann ich auf einem Forti Access Point für das Netzwerk Interface eine statische IPv4 Adresse konfigurieren? ===

Wenn man einen Forti Access Point manuell dh. mit einer statischen IPv4 Adressen konfigurieren möchte so kann dies über CLI sowie über das Mgmt. Web Interface durchgeführt werden. Um die Konfiguration durchzuführen muss auf die Standard IPv4 Adresse des Forti Access Point's zugegriffen werden. Wie dies durchzuführen ist siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um die Konfiguration einer statischen IPv4 Adresse über Mgmt. Web Interface des Forti Access Point durchzuführen gebe folgende Adresse in den Browser ein:

http://192.168.1.2

Danach kann über das Mgmt. Web Interface die Konfiguration durchgeführt werden. Um die Konfiguration einer statischen IPv4 Adresse für den Forti Access Point auf CLI durchzuführen muss "telnet" Zugriff für den Forti Access Point aktiviert werden. Die Aktivierung für den "telnet" Zugriff kann über das Mgmt. Web Interface durchgeführt werden. Um nachträglich die Konfiguraiton auf der CLI des Forti Access Point durchzuführen gebe folgendes ein:

# cfg –a AP_IPADDR=[Gebe eine enstprechende IPv Adresse an zB "192.168.1.2"]
# cfg –a ADDR_MODE=STATIC
# cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IPv ADresse zB "255.255.255.0"]
# cfg -a DNS_SERVER=[DNS Server IPv4 Adresse]
# cfg -c

Um die entsprechende Konfiguration nachträglich zu überprüfen gebe folgendes ein:

# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138

Weitere lokale Konfigurations Möglichkeiten auf dem Forti Access Point können anhand des folgenden Befehls aufgelistet werden:

# cfg -h

=== Wie kann ich die FortiGate Wireless Controller IPv4 Adresse für einen Forti Access Point über DHCP Server zuweisen? ===

Wenn einem Forti Access Point dessen FortiGate Wireless Controller IPv4 Adresse über DHCP Server zugewiesen werden soll kann dies über die DHCP Option "138" durchgeführt werden. Dies bedeutet: Wenn für die diese IPv4 Adresse des FortiGate Wireless Controllers ein bestehender DHCP Server benutzt wird muss in diesem die IPv4 Adresse als Option "138" gesetzt werden sowie auf dem entsprechenden Forti Access Point verifiziert werden ob diese Option "138" korrekt gesetzt ist. Dies wird lokal auf der CLI des Forti Access Point durchgeführt:

'''Auslesen der momentaner Netzwerk Konfig:'''

# cfg -s

'''Konfiguration der DHCP Option:'''

# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
# cfg -c

Unter normalen Umständen empfehlen wir den DHCP Server auf dem FortiGate Device zu benutzen. Dadurch muss die Option "138" nicht gesetzt werden, denn im DHCP Server auf dem FortiGate Device kann anhand "wifi-ac1" die IPv4 Adresse des FortiGate Wireless Controller direkt konfiguriert werden. Zu "failover" Zwecken stehen 3 "wifi-ac" zur Verfügung. In diesem Zuge empfehlen wir ebenfalls die Konfiguration des DNS Server IPv4 Adresse sowie die IPv4 Adresse des NTP Servers:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

Nachträglich kann die Konfiguration resp. die Zuweisung der IPv4 Adresse über Kommandozeile auf dem Forti Access Point folgendermassen kontrolliert werden:

# cw_diag -c wtp-cfg

=== Wie kann ich auf einem Forti Access Point auf einer SSID eine "MAC Reservation + Access Control" Konfigurieren? ===

Eine "MAC Reservation + Access Control" kann unter FortiOS 5.0/5.2 sowie 5.4 innerhalb des DHCP Servers, der für die SSID aktiviert wird, konfiguriert werden. Dies ist jedoch nur dann möglich, wenn die entsprechende SSID im "tunneling" Mode ist und nicht für "local bridge" konfiguriert wurde, da im Bridge Mode kein DHCP Server aktiviert werden kann (local break-out). Die Konfiguration kann über Mgmt. Web Interface sowie auf CLI durchgeführt werden. Dabei ist folgendes Wichtig:

Ein DHCP Server eines FortiOS ist per Standard im "assign" Mode und bedeutet: Jede Anfrage wird vom DHCP Server mit einer
entsprechender IPv4 Adresse beantwortet. Möchte man nur Anfragen beantworten betreffend definierter MAC Adressen, muss der
DHCP Server auf "block" gesetzt werden. Im Standard "assign" Mode stehen folgende Funktionen innerhalb des DHCP Servers für
die IPv4 Adressse sowei MAC Adressen zur Verfügung:

• Reserve IP
• Assign IP
• Block

Möchte man die "MAC Reservation + Access Control" unter Mgmt. Web Interface konfigurieren, findet man die entsprechenden Optionen unter folgender Position:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [DHCP Server] > [Addtional DHCP Options]

[[Datei:Fortinet-1693.jpg]]

[[Datei:Fortinet-1694.jpg]]

Möchte man diese Konfiguration unter CLI durchführen, führe folgendes durch:

# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# set description [Definiere einen entsprechenden Kommentar für DHCP Server]
# set status [disable | enable]
# set mac-acl-default-action [assign | block]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# set domain [Setze eine entsprechende Domain zB "local.intra"]
# set wins-server1 [IPv4-Adresse für Win Server 1]
# set wins-server2 [IPv4-Adresse für Win Server 1]
# set default-gateway [IPv4-Adresse für Default Gateway]
# set next-server <IPv4-Adresse für Bootstrap Server]
# set netmask [IPv4-Netmask für DHCP Server IP Range]
# set interface [Name des Interface für den DHCP Server zB "internal"]
# config ip-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [IPv4 Start Adresse für den DHCP Bereich]
# set end-ip [IPv4 End Adresse für den DHCP Bereich]
# end
# set timezone-option [disable | default | specify]
# set timezone [01 | 02 | 03 | 04 | 05 | 81 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 74 | 14 | 77 | 15 | 16 | 17 | 18 | 19 | 20 | 75 | 21 | 22 | 23 | 24 | 80 | 79 | 25 | 26 | 27 | 28 | 78 | 29 | 30 | 31 | 85 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 83 | 84 | 40 | 41 | 42 | 43 | 39 | 44 | 46 | 47 | 51 | 48 | 45 | 49 | 50 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 62 | 63 | 61 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 00 | 82 | 73 | 86 | 76]
# config exclude-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [Definition der IPv4 Start Adresse für den DHCP Exclude Bereich]
# set end-ip [Definition der IPv4 End Adresse für den DHCP Exclude Bereich]
# end
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end

Eine weitere Möglichkeit ab FortiOS 5.0 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand der "Device Detection" Funktion oder eigene definierten Devices innerhalb der "Device Detection" Funktion, kann der der Zugriff eingeschränkt werden. Um die Funktion "Device Detection" zu aktivieren, muss innerhalb der SSID resp. des "virtuellen" Interfaces das für die SSID konfiguriert wird, diese Funktion aktiviert werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [Aktiviere "Device Detection"]

Durch diese Funktion "Device Detection" wird versucht jeden Device in diesem Segment der das Interface der FortiGate benützt zu identifizieren. Um "Device Detection" auf der CLI für die SSID zu aktivieren führe folgendes aus:

# config system interface
# edit [Name des entsprechenden Interfaces resp. SSID]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end

Es wird empfohlen die "device-identification-active-scan" nicht per Standard zu aktivieren. Um innerhalb der "Device Detection" Funktion einen eigenen Device zu definieren dh. nicht über die auf dem Interface aktivierte Funktion "device-identification", kann dieser Device innerhalb des DHCP Server auf der CLI konfiguriert werden:

# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# config user device
# edit [Vergebe einen entsprechenden Namen für den Device]
# set mac [MAC Adresse für den entsprechenden Device]
# end

Für diese definierten Devices können ebenfalls entsprechenden Gruppen angelegt werden:

# config user device-group
# edit [Name für die Device Gruppe]
# set member [Wähle die entsprechenden Member]
# end

Wieder eine andere Möglichkeit ist über eine entsprechende Firewall Policy Rule für die SSID anhand der "Device Detection" Funktion den Zugriff einzuschränken:

Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > [Device Identiy | Source Device Type]

Unter FortiOS 5.4 existiert innerhalb der Firewall Policy Rule keine entsprechende Position, sondern der entsprechende Device muss über zB die Source eingebunden werden. Wähle dazu:

Policy & Objects > IPv4 Policy > Create New

[[Datei:Fortinet-1695.jpg]]

=== Wie kann ich über einen Forti Access Point alle Wireless Devices in dessen Wirkungsgrad erkennen und auflistet? ===

Ein Forti Access Point kann anhand der Funktion "station-locate" so konfiguriert werden, dass dieser Forti Access Point für dessen Umgebung alle Wireless Devices auflistet der dieser Erkennt. Dabei werden sehr viele Informationen für diese Wireless Devices aufgeführt die auch für das "location tracking" benutzt wird. Da die Funktion relativ Performance Intensiv ist, sollte diese Funktion nur zu Analyse benutzt werden und nicht Permanent ausser es wird anhand des "Euclid Analytics Service" Format ein "location tracking" benutzt. Die Funktion kann einzeln für einen entsprechenden "radio's" aktiviert werden dh. für 5 GHz und/oder 2.4 GHz. Aktiviert wird die Funktion in dem entsprechenden WTP Profile das dem Forti Access Point zugewiesen wird:

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profil]
# config radio-1
# set station-locate enable
# end
# config radio-2
# set station-locate enable
# end
# end

Die Informationen die im Hintergrund vom Wireless Controller über den Forti Access Point "radio" gesammelt werden sind umfänglich! Nachträglich kann man anhand des "diagnose" Kommando Kommando auf der CLI die gesammelten Informationen aus dem Wireless Controller auslesen:

# diagnose wireless wlac -c sta-locate

sta_mac vfid rid base_mac freq_lst frm_cnt frm_fst frm_last intv_sum intv2_sum intv3_sum intv_min intv_max signal_sum signal2_sum signal3_sum sig_min sig_max sig_fst sig_last ap
00:24:d7:e2:ea:08 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 3 164 44 120 7200 432000 59 60 -246 20190 -1658532 -85 -79 -79 -85 0

Das Format das durch "sta-locate" produziert wird, ist im "Euclid Analytics Service" Format. Weitere Informationen dazu siehe:

http://euclidanalytics.com/products/technology/

Um die Informationen für "sta-locate" zu löschen kann anhand des "diagnose" Kommando dies durchgeführt werden:

# diagnose wireless wlac -c sta-locate reset

Unter FortiOS 5.4 wurde zusätzlich eine Funktion implementiert, die das löschen der Informationen regelmässig übernimmt. Dies bedeutet: Anhand eines "timers" kann für diese Funktion ein "reset" automatisiert durchgeführt werden. Dabei ist jedoch folgendes zu beachten:

Die Funktion "sta-locate" erstellt für einen Host/Client erstmalig einen Log Eintrag dh. wenn der Host/Client in einem
späteren Zeitpunkt abermals erkannt wird, so wird kein weitere Log Eintrag erstellt für "sta-locate". Um die vorhandenen
Informationen zu löschen kann ein "timer" benützt werden 1 and 86400 seconds (24 hours) wobei nicht empfohlen ist den
"timer" kleiner als 30 Sekunden zu setzen da dies doppelte Einträge für den Host/Client produzieren kann. Der "timer"
steht per Standard auf "1800" Sekunden was 30 Minuten entspricht!

# config wireless-controller timers
# set sta-locate-timer [1 and 86400 seconds (24 hours); Standard 1800]
# end

=== Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IPv4 Adress Range benutzt wir im LAN? ===

Eine FortiOS kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung resp. "subnet-overlap" von IPv4 Range's/Subnet auf Interface's konfiguriert werden da dies durch die Funktion "allow-subnet-overlap disable" verhindert wird:

# config system settings
# set allow-subnet-overlap [enable | disable]
# end

Möchte man ein "subnet-overlap" für eine SSID konfigurieren, sollte dies gut überlegt sein. Dies bedeutet: Soll ein Forti Access Point über eine SSID den Zugriff in das interne LAN Segment direkt ermöglichen, kann zB anstelle eines "subnet-overlap" die "local bridge" Funktion für eine SSID benutzt werden. Dadurch wird ermöglicht, dass das Interface auf dem Forti Access Point in den Bridge Modus versetzt wird, und die Host/Client die über eine entsprechende SSID verbinden, eine IPv4 Adresse vom DHCP Server zugewiesen erhalten der im internne LAN Segment den Host/Client zur Verfügung steht. In so einem Scenario muss jedoch der Forti Access Point mit dem internen Segment LAN direkt verbunden werden. Wenn dennoch ein "subnet-overlap" Konfiguration auf einer SSID konfiguriert wird und die entsprechende Option "allow-subnet-overlap" wurde nicht aktiviert kommt es zu einer Fehlermeldung:

Subnets overlap between 'port1' and the primary IP of 'port1'
object set operator error, -54 discard the setting

IP address is in same subnet as the others.

Wenn dennoch ein "allow-subnet-overlap" auf enable gesetzt werden möchte, kann dies über CLI auf System Ebene durchgeführt werden. Da es sich bei dieser Funktion um eine Option auf System Ebene handelt möchten wir nochmals daraufhinweisen dies gut zu überlegen da durch die Aktivierung dieser Option eine "loop" Gefahr besteht!

=== Kann ich für einen Forti Access Point die LED's deaktivieren damit diese bei Gebrauch nicht mehr blinken? ===

Ab FortiOS 5.2.3 ist dies möglich und wird benützt um die Forti Access Point möglichst zB für Hotels dezent erscheinen zu lassen. Diese Funktion steht nicht für jeden Forti Access Point zur Verfügung dh. zB für FAP-221C steht diese Funktion zur Verfügung. Wenn die "LED" auf einem Forti Access Point deaktiviert werden sollen, kann dies über den FortiGate Wireless Controller auf CLI im WTP Profile für den Forti Access Point durchgeführt werden oder über den FortiGate Wireless Controller für den Forti Access Point selber:

# config wireless-controller wtp
# edit [Serien Nummer des entsprechenden Forti Access Point]
# set override-led-state [enable | disable]
# set led-state [enable | disable]
# end

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profiles]
# set led-state [enable | disable]
# end

Auf der CLI für einen Forti Access Point ist die Konfiguration ebenfalls möglich. Dabei ist jedoch zu berücksichtigen wenn dies durchgeführt wird, dass der FortiGate Wireless Controller diese lokal durchgeführte Konfgiguration auf dem Forti Access Point anhand der Konfiguration für den Forti Access Point oder anhand des WTP Profiles nicht überschreibt. Dieses Verhalten kann anhand der "LED_STATE" Konfiguration lokal auf dem Forti Access Pont konfiguriert werden. Erstelle eine "telnet" Verbindung auf den Forti Access Point. Wie dies durchzuführen ist siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Danach kann lokal auf dem Forti Access Point folgendes durchgeführt werden:

# cfg -a LED_STATE=[0|1|2]
# cfg -s

Die Werte für "LED_STATE" haben folgende Bedeutung:

0 = Die LED's sind aktiviert.
1 = Die LED's sind deaktiviert.
2 = Ob die LED's aktiviert und/oder deaktiviert sind wird über den Wirless Controller der FortiGate gesteuert.

Per Standard ist der Wert auf "2" gesetzt dh. die Konfiguration über den Wireless Controller anhand der Option "led-state" aktiviert und/oder deaktiviert die LED's auf dem Forti Access Point. Werden die Werte "0" oder "1" gesetzt werden die Einstellung über den FortiGate Wireless Controller ignoriert!

=== Wie kann ich die automatische Registration eines Forti Access Point auf einem FortiGate Wireless Controller verhindern? ===

Wenn ein Forti Access Point in einem IPv4 Subnet/Segment der FortiGate in Betrieb genommen wird so benützt dieser Forti Access Point den "autodiscover" Modus um einen Wireless Controller zu finden. Ist auf dem FortiGate Device in diesem Segement und für das Interface CAPWAP aktiviert so antwortet der FortiGate Wireless Controller auf diese CAPWAP (UDP-5246) Anfragen. Dadurch erscheint unter den "Managed FortiAPs" im Mgmt. Web Interface der Forti Access Point. Danach kann der Forti Access Point durch "Authorized" Authorisiert werden. Wenn man jedoch dies aus irgendwelchen Gründen verhindern möchte, fragt sich wie diese "automatisch Registration" dh. das die Forti Access Point unter "Managed FortiAPs" erscheinen verhindert werden kann. Dazu gibt es verschiedenen Möglichkeiten/Konfiguration die durchgeführt werden können zB:

• Wenn über das Segment in dem sich die Forti Access Point keine "CAPWAP" Anfragen beantwortet werden sollen kann "CAPWAP" auf diesem
Segment resp. Interface deaktiviert werden:

# config system interface
# edit [Name des entsprechenden Interface zB "dmz"]
# unselect capwap
# end

• Wenn auf dem FortiGate Device keine Forti Access Point verwaltet/konfiguriert werden sollen, kann der FortiGate Wireless Controller
komplett deaktiviert werden:

# config system global
# set wireless-controller [enable | disable]
# end

• Befinden sich im Segment verschiedenen Forti Access Point dh. solche die über den Wireless Controller der FortiGate verwaltet werden
sollen und solche die nicht über die FortiGate verwaltet werden sollen, müssen alle Forti Access Point die nicht über die FortiGate
die das Segment zur Verfügung stellt, lokal so konfiguriert werden damit diese Anfragen zu einemn spezifischen Wireless Access Point
Controller senden und nicht im "autodiscovery" Modus (Broadcast, Multicast, Unicast). Dies wird erreich, in dem auf den entsprechenden
Forti Access Point Controller folgendes konfiguriert wird:

Verbinde dich per "telnet" auf den Forti Access Point Controller. Wie dies durchzuführen ist siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Ausgehend davon das "telnet" Zugriff auf einem Forti Access Point aktiviert ist, kann anhand eines CLI "Widgets" über das Mgmt. Web
Interface auf den Forti Access Point zugegriffen werden. Dazu wähle:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste "CLI"]

Danach muss folgendes konfiguriert werden um den Forti Access Point so zu konfigurieren, dass dieser "statisch" nur noch Anfragen zu
einem bestimmten FortiGate Wireless Controller anhand dessen IPv Adresse sendet:

# cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
# cfg -c
# cfg -s

Für "failover" Zwecke stehen bis zu 3 "AC_IPADDR" zur Verfügung. Um die Anfragen "statisch" durchzuführen dh. nicht mehr per Broadcast,
Multicast sowie Unicast konfiguriere folgendes:

# cfg -a AC_DISCOVERY_TYPE=1
# cfg -c
# cfg -s

• Unter FortiOS 5.4 gibt es eine weitere Möglichkeit die "automatische" Registrierung zu verhindern dh. durch nachfolgenden Befehl wird
keine "automtische" Registrierung mehr ausgeführt. Die Funktion wird komplett deaktiviert:

# config system interface
# edit [Name des entsprechenden Interfaces zB "dmz"]
# set ap-discover [enable | disable]
# end

Wird diese Funktion "ap-discover" deaktiviert, können Forti Access Point nur noch Registriert werden, und erscheinen unter "Managed FortiAPs",
wenn diese vorgängig anhand der Serien Nummer Registriert werden. Dies wird folgendermassen durchgeführt:

WiFi Controller > Managed FortiAPs > Create New > [Gebe die entsprechende Serien Nummer ein des FortiAP]

In diesem Zuge kann bereits ein entsprechendes WTP Profile zum Forti Access Point hinzugefügt werden. Bringt man den entsprechenden Forti
Access Point in dem Segment "online" in dem "CAPWAP" für das entsprechenden FortiGate Interface aktiviert wurde, wird dieser Forti Access
Point automatisch "Authorized" mit dem zugewiesenen WTP Profile. Möchte man dies auf der Kommandozeile durchführen führe folgendes durch:

# config wireless-controller wtp
# edit [Serien Nummer des Forti Access Point]
# set name [Name des Forti Access Point zB "FAP-221C-1-UG"]
# set wtp-profile [Gebe ein entsprechendes vorhandenes WTP Profile an]
# end

== Upgrade ==

=== Wo finde ich den Upgrade Pfad um einen FortiAP upzugraden? ===

Unter folgendem Link findet man den Upgrade Pfad um einen FortiAP richtig upzugraden:

https://cookbook.fortinet.com/supported-upgrade-paths-fortiap/

=== Wie kann ich für einen Forti Access Point ein Firmware Upgrade durchführen? ===

Bevor ein Firmware Upgrade auf einen Forti Access Point durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Dies bedeutet: Vor einem Firmware Upgrade sollte die entsprechende Release Notes für die neue Firmeware des Forti Access Point konsultiert werden. Es muss zwingend der Upgradepfad beachtet werden:
http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachfolgender Artikel berücksichtigt werden:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Wenn verifiziert worden ist welche Firmware Version eingesetzt werden kann, stehen verschiedenen Möglichkeiten zur Verfügung ein Firmware Upgrade durchzuführen:

<big>'''Firmeware Upgrade über den FortiGate Wireless Controller'''</big>

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1237.jpg]]

[[Datei:Fortinet-1238.jpg]]

[[Datei:Fortinet-1239.jpg]]

<big>'''Firmeware Upgrade über Forti Access Point anhand CLI und TFTP Server'''</big>

# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]

Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

<big>'''Firmeware Upgrade über Forti Access Point Web Mgmt. Interface Lokal und/oder Remote'''</big>

Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end

Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end

Wenn ein Firmware Upgrade eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem
Host/Client verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender
Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:

# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:

# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c

Danach kann ein Upgrade lokal auf dem Forti Access Point durchgeführt werden über folgende Position:

[[Datei:Fortinet-1265.jpg]]

<big>'''Bulk Firmeware Upgrade über den FortiGate Wireless Controller anhand CLI und TFTP Server'''</big>

Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F]]

=== Wo finde ich die Firmware für die FortiAP E-Serie? ===
Wenn man für folgende Produkte die Firmware vom Support Portal herunterladen will, findet man diese nicht wie gewohnt im Menu FortiAP sonder im Menu ''FortiAP-W2''!

[[Datei:Fortinet-1909.jpg]]

'''Betroffe FortiAP:'''
* FAP-221E
* FAP-222E
* FAP-223E
* FAP-224E
* FAP-421E
* FAP-423E

=== Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen? ===

Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll, kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet: anhand einer Firmeware die für spezifische Forti Access Point's auf den FortiGate Wireless Controller geladen wird, werden alle diese spezifischen Forti Access Point durch ein Kommando angewiesen sich vom FortiGate Wireless Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen müssen gegeben sein:

• Verifizierung der eingesetzten Firmeware und der neuen Firmware gemäss Release Notes dh wie und ob ein Upgrade möglich ist
für die eingesetzte Firmware. Den Upgradepath findet man unter http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachträglicher Artikel konsultiert werden:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]])

• Installiere einen TFTP Server (FTP ebenfalls möglich) der für den FortiGate Wireless Controller erreichbar ist um das spezifische Image
für die Forti Access Points vom TFTP Server zum FortiGate Wireless Controller raufzuladen. Als TFTP Server kann zB folgendes eingesetzt
werden:

SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx

Wenn die neue Firmware die eingesetzt werden soll für die Forti Access Points anhand der Releaste Notes verifiziert wurde und der Upgradpath auf http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ beachtet wurde, dann führe folgendes durch:

1. Lade das entsprechende Image für den Bulk Upgrade der Forti Access Points in das "root" Verzeichnis des TFTP Servers zB "image.out"!
2. Führe auf der FortiGate Kommandozeile folgendes aus:

# execute wireless-controller upload-wtp-image [tftp | ftp] [Name des Images auf dem TFTP Servers zB "image.out] [IPv4 Adresse des TFTP Servers]

Durch diesen Befehl wird der FortiGate Wireless Controller angewiesen vom TFTP Server das entsprechende "image.out" runterzuladen. Pro
Bulk Update Prozess kann nur ein Image eines spezifischen Forti Access Point Modell's auf den FortiGate Wireless Controller geladen
werden!

3. Nachdem das entsprechende Image vom TFTP Server runtergeladen wurde kann verifiziert werden ob sich das Image auf dem FortiGate
Wireless Controller befindet:

# execute wireless-controller list-wtp-image

4. Nun kann ein Bulk Upgrade über den FortiGate Wireless Controller ausgeführt werden. Dies bedeutet: Durch das nachfolgende Kommando werden
die Forti Access Points angewiesen sich das Image auf dem FortiGate Wireless Controller runter zu laden und das Upgrade durchzuführen.

# execute wireless-controller reset-wtp [Gebe an "all" oder bei unterschiedlichen Modellen die spezifischen Serien Nummern der Forti Access Points für das Upgrade]

Um die verschiedenen Serien Nummern der Forti Access Points auf dem FortiGate Wireless Controller zu verifizieren kann folgender Befehl benutzt werden:

# config wireless-controller wtp
# get

5. Nach dem das Bulk Upgrade durchgeführt wurde kann das spezifische Image vom FortiGate Wireless Controller gelöscht werden:

# execute wireless-controller delete-wtp-image

=== Kann für einen Forti Access Point basierend auf Firmeware 5.2 anhand einer Firmware 5.0 ein "Downgrade" durchführen? ===

Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:

Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
"verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.

Ab FortiOS 5.2.3 ist ein Downgrade auf FortiOS 5.0.x nicht mehr möglich. Aus diesem Grund ist es in jedem Fall zu empfehlen die entsprechenden Release Notes betreffend eine Upgrade sowie Downgrade zu konsultieren. Bevor ein Downgrade ausgeführt wird muss berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's mit FortiGate's basiernd auf FortiOS 5.0.9 und/oder 5.2 betrieben werden können. Nachfolgender Link gibt detaillierte Auskunft welche Versionen basiernd auf FortiGate 5.0 und/oder 5.2 eingesetzt werden können.

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

=== Kann für einen Forti Access Point basierend auf Firmeware 5.4 anhand einer Firmware 5.2 ein "Downgrade" durchführen? ===

Für jedes Downgrade wie Upgrade ist vorgehend die entsprechenden Release Notes zu konsultieren ob dies ermöglich wird oder nicht. Für Forti Access Points basierend auf FortiOS 5.4 ist folgendes zu berücksichtigen:

Ein Upgrade auf FortiOS 5.4 für Forti Access Points kann ab FortiOS 5.2.4 durchgeführt werden jedoch ein Downgrade für Forti Access
Points basierend auf FortiOS 5.4 ist gemäss Release Notes nicht möglich. Forti Access Points basierend auf FortiOS 5.4 können nur mit
FortiGates betrieben werden basierend auf FortiOS 5.4.

== Backup ==

=== Wie kann ich für einen Forti Access Point Konfiguration ein Backup erstellen? ===

Wenn ein Backup einer Forti Access Point Konfiguration durchgeführt wird muss berücksichtigt werden, dass dieses Backup nur die lokale Konfiguration des Forti Access Point enthält dh. dieses Backup enthält nicht die Konfiguration zB der SSID, WTP Profiles usw. Ein Backup eines Forti Access Point's kann über Mgmt. Web Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Mgmt. Web Interface wird im Hintergrund folgender Befehl ausgeführt:

<big>'''Backup der Forti Access Point Konfiguration über CLI'''</big>

# cfg -e
BAUD_RATE=9600
ADMIN_TIMEOUT=5
AP_IPADDR=192.168.1.2
AP_NETMASK=255.255.255.0
IPGW=192.168.1.1
AP_MODE=0
DNS_SERVER=208.91.112.53
AP_MGMT_VLAN_ID=0
ADDR_MODE=DHCP
STP_MODE=0
TELNET_ALLOW=1
HTTP_ALLOW=1
AC_DISCOVERY_TYPE=0
AC_IPADDR_1=192.168.1.1
AC_HOSTNAME_1=_capwap-control._udp.example.com
AC_CTL_PORT=5246
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138
AC_DATA_CHAN_SEC=2
MESH_AP_TYPE=0
MESH_AP_SSID=fortinet.mesh.root
MESH_AP_BSSID=
MESH_AP_PASSWD=fortinet.mesh.root
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100

<big>'''Backup der Forti Access Point Konfiguration über Web Mgmt. Interface'''</big>

Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end

Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end

Wenn ein Backup eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem Host/Client
verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:

# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:

# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c

Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden und
ein manuelles Backup unter folgender Position ausgeführt werden:

Status > System Configuration > Last Backup

Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese
verschiedenen Positionen erläutert:

WTP_NAME=FP221B3X12001413 [Hostname Forti Access Point]
ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
AC_CTL_PORT=5246 [CAPWAP Comunication Port]
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
MESH_AP_TYPE=0 [1 = Mesh Type "leave"; 2 = Mesh Type root]
MESH_AP_SSID=fortinet.mesh.root [Mesh SSID Name]
MESH_AP_BSSID= [Mesh SSID Broadcast Name]
MESH_AP_PASSWD=fortinet.mesh.root [Mesh SSID Passwort]
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100

Somit kann dieses Backup File herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und dieses als Restore wieder einzuspielen!

== Local Bridging ==

=== Wie konfiguriere ich für eine Forti Access Point ein Wireless "local-bridging"? ===

Wenn für einen Forti Access Point eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:

• Tunnel to Wireless Controller
• Local bridge with FortiAP's Interface

Zusätzlich steht die Funktion "Mesh Downlink" zur Verfügung die jedoch nur im Zusammenhang mit "mesh" benutz wird. Wenn die Standard Konfiguration einer SSID benutzt wird dh. "Tunnel to Wireless Controller" so wird der Traffic des Host/Client über den CAPWAP (UDP-5246) Tunnel zum FortiGate Wireless Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen LAN/Segment's, in dem sich der Forti Access Point befindet, direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate Wireless Controller gesendet. Eine Ausnahme bildet die ab FortiOS 5.2 Funktion "Splitt Tunneling" die es erlaubt einen spezifischen IPv4 Adress Range/Subnet von diesem Umstand auszunehmen. Weitere Informationen zu dieser "Split Tunneling" Funktion siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

Soll jedoch der Traffic direkt vom Forti Access Point Interface in das LAN/Segment erlaubt werden in dem sich die Forti Access Points befinden, muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum FortiGate Wireless Controller exisitert wird in dieser Situation nur zu Management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:

Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
die Verbindung zum FortiGate Wireless Controller so werden die Wireless Hosts/Clients nicht beinträchtigt da der Access Point
im Bridge Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!

Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:

# config wireless-controller vap
# edit [Name SSID Profile]
# set ssid [Name der SSID]
# set local-bridging [enable | disable]
# set vlanid [VLAN ID]
# set local-authentication enable
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# end

Sofern gewünscht kann eine VLAN ID für die SSID vergeben werden! Wenn der Traffic zwischen den Wireless Host/Client über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf "disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable", kann das Interface des Forti Access Point im Bridge Mode nicht mehr verhindern, dass Wireless Hosts/Clients über die gleiche SSID untereinander komunizieren. Wenn ein "local-bridging" auf einem FortiWiFi Device für deren interne "radio's" konfiguriert wird, erscheint folgende Fehlermeldung:

"Maximum number of entries has been reached"

Somit kann keine SSID auf einem FortiWifi Device für deren "radio's" auf "local-bridging" konfiguriert werden. Als Workaround für einen FortiWifi Device, kann jedoch eine SSID im "Tunnel Mode" konfiguriert werden ohne aktivierten DHCP Server auf der SSID. Danach kann diese SSID anhand eines Software Switches, der für Forti Access Points per Grundsatz nicht unterstützt wird, zum "internal" Interface hinzugefügt werden. Damit die Wireless Hosts/Client die auf die SSID verbinden eine IP zugewiesen bekommen, wird auf dem "Software Switch" ein DHCP Server aktiviert! Somit kann diese SSID auf dem FortiWifi Device zusammen mit dem "internal" Interface als lokales und gemeinsames LAN/Segment genutzt werden! Diese Konfiguration gilt nur im Zusammenhang mit FortiWiFi's und ist nicht im Zusammenhang mit Forti Access Points zu benutzen da "Software Switches" in Zusammenhang mit Forti Access Points nicht unterstützt werden. Werden auf dem FortiWifi Devices zusätzliche Forti Access Points betrieben, können diese wie üblich anhand "Local Bridging" konfiguriert werden!

=== Kann ich auf einem Forti Access Point für ein "local bridging" Broadcast/Multicast verhindern (susspression)? ===

Dies ist ab FortiOS 5.2.2 innerhalb einer SSID möglich. Dies wird über CLI folgendermassen konfiguriert:

# config wireless-controller vap
# edit [Name der SSID]
# set broadcastsuppression [dhcp-up | dhcp-down | dhcp-starvation | arp-known | arp-unknown | arp-reply | arp-poison | arp-proxy | netbios-ns | netbios-ds | ipv6 | all-other-mc | all-other-bc]
# end

Per Standard wird für die Funktion "broadcastsuppession" folgende Werte benutzt:

dhcp-up arp-known

Die Werte die unter "broadcastsuppresion" konfiguriert werden können haben folgende Bedeutung:

dhcp-up Suppress broadcast uplink DHCP messages.
dhcp-down Suppress broadcast downlink DHCP messages.
dhcp-starvation Suppress broadcast DHCP starvation req messages.
arp-known Suppress broadcast ARP for known wireless clients.
arp-unknown Suppress broadcast ARP for unknown wireless clients.
arp-reply Suppress broadcast ARP reply from wireless clients.
arp-poison Suppress ARP poison messages from wireless clients.
arp-proxy Reply ARP requests for wireless clients as a proxy.
netbios-ns Suppress NetBIOS name services packets with UDP port 137.
netbios-ds Suppress NetBIOS datagram services packets with UDP port 138.
ipv6 Suppress IPv6 packets.
all-other-mc Suppress all other multicast messages.
all-other-bc Suppress all other broadcast messages.

Grundsätzlich stet der Befehle "broadcastsuppression" auch für eine SSID zur Verfügung die "NICHT" als "Local Bridging" konfiguriert wurde (Tunnel to Wireless Controller). Die Erweiterung wurde jedoch "explizit" hinzugefügt für "Local Bridging" SSID's. Der Grund ist Folgende:

Wenn ein Forti Access Point als "local bridging" eingesetzt wird in eine Subnet zB /20 so ist der Broadcast Traffic der zusätzlich
auf dem Forti Access Point entsteht beträchtlich und beeinträchtigt somit die Performance des Forti Access Point durch die über
Broadcast gesendeten "frames" vom Subnet über den Forti Access Point zum Client. Durch die gesetzten Optionen werden "frames" nur
dann vom Forti Access Point zum Client (over the air) gesendet, wenn die "Destination IPv4" Adresse existiert ansonsten werden diese
verworfen. Im "Tunnel to Wireless Controller" Mode agiert der Forti Access Point in gleicher Weise, jedoch fungiert der Forti Access
Point als eine Art "ARP Proxy" und sendet ARP Anfrage nur zum Client (over the air) wenn der ARP Anfragen über "get sys arp" vorhanden
sind. Dies gilt nur innerhalb der gleichen SSID. Diese Funktion resp. Optionen sind nur in "high density" (Hohes Aufkommen von Clients
in grossen Netzwerken zB /20) Umgebungen zu benützen um die zusätzlicne "frames" zu verhindern (broadcast arp). Somit, unter normalen
Umständen ist diese Option auf den Standard Werten zu belassen dh. "dhcp-up sowie arp-known".

== VLAN ==

=== Kann ich für Forti Access Point SSID's "Dynamische VLAN's" vergeben und wie konfiguriere ich diese? ===

Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" zu einer SSID zu vergeben im Zusammenhang mit einem Radius Server zB FortiAuthenticator. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:

IETF 64 (Tunnel Type) = Muss auf VLAN gesetzt werden
IETF 65 (Tunnel Medium Type) = Muss auf 802 gesetzt werden
IETF 81 (Tunnel Private Group ID) = Muss auf die entsprechende VLAN ID gesetzt werden

Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig die nötigen Informationen nach erfolgreicher Radius Authentifizierung anhand Radius Attribute zu übermitteln. Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server, wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) über die SSID zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen, ist die Funktion unter der entsprechenden SSID generell zu aktivieren:

# config wireless-controller vap
# edit [Wähle den Namen der entsprechenden SSID]
# set dynamic-vlan [enable | disable]
# end

Um die VLAN Konfiguration lokal auf einem Forti Access Point auszulesen kann folgendes Kommando ausgeführt werden:

# cw_diag show wllbr

Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:

[[Datei:Dynamic VLANs.pdf]]

=== Kann ich auf einem Forti Access Point für eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"? ===

Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige LAN/Segment gesendet anstelle diesen über den Data Channel Enkapsuliert (CAPWAP) zum FortiGate Wireless Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern, muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Mgmt. Web Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann lokal auf dem Access Points über CLI folgender Befehl abgesetzt werden um die Konfiguration einzusehen:

# brctl show
# cat /proc/net/vlan/conf

Die Konfiguration einer VLAN ID für eine SSID kann ab FortiOS 5.2 über Mgmt. Web Interface durchgeführt werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSDI] > Optional VLAN ID

[[Datei:Fortinet-1266.jpg]]

Möchte man die VLAN ID für eine SSID die auf "Local bridge with FortiAP's Interface" konfiguriert wurde über CLI konfigurieren führe folgendes durch:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set vdom root
# set ssid [Name der SSID]
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# set local-bridging [enable | disable]
# set vlanid [Gebe die entsprechende VLAN ID an]
# end

== Mesh/Bridging ==

=== Wie konfiguriere ich für einen Forti Access Point ein Wireless "Mesh/Bridging Netzwerk" (manuell/automatisch)? ===

Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:

'''NOTE''' Fortinet hat speziell betreffend "Mesh" ein spezielle Handbook's Released, dass auf die Konfiguration von "Mesh" eingeht.
Aus diesem Grund lohnt sich ebenfalls diese Handbook's einzusehen:

[[FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

'''Wireless Mesh (No VLAN Support)'''
Ein Access Point - auch genannt "root" Mesh Access Point - ist direkt verbunden mit dem FortiGate Wireless Controller.
Alle anderen Forti Access Points - auch genannt "leaf" Mesh Access Points - benützen den FortiGate Wireless Controller
in dem diese über den "root" Mesh Access Point sich zum FortiGate Wirelesss Controller verbinden. Für Wireless Hosts/
Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. bemerken nicht, dass
sie sich zu einem Mesh Netzwerk verbinden.

'''Wireless bridging (No VLAN Support)'''
Für ein Bridging werden zwei physische LAN Segmente über Fortinet Access Points verbunden (the backhaul SSID). Die Ethernet
Anschlüsse resp. Interfaces auf den Forti Access Points ("leaf" Mesh Access Point), die diese LAN Segmente verbinden können
benutzt werden um ein zusätzliches Wireless Segment für die Wireless Hosts/Clients bereitzustellen. Grundsätzliche sind die
Clients direkt in dem jeweiligen Segment per LAN oder über ein erweitertes Wireless Netzwerk verbunden.

Daraus ergeben sich folgende Möglichkeiten:

<big>'''Forti Access Points werden benützt als "root" Mesh und "leaf" Mesh Access Points'''</big>

[[Datei:Fortinet-345.jpg]]

<big>'''FortiWiFi Device wird benützt als "root" Mesh Access Point und die Forti Access Points als "leaf" Mesh Access Points'''</big>

[[Datei:Fortinet-346.jpg]]

<big>'''Forti Access Points werden benützt um zwei LAN Segmente zu verbinden (Bridging)'''</big>

[[Datei:Fortinet-347.jpg]]

Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:

• Alle Forti Access Points die im Mesh Wireless Network eingesetzt werden, müssen über Firmware 5.0 Build 003 oder höher verfügen!

• Forti Access Point FAP-222B muss über die Bios Version 400012 oder höher verfügen:

ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out

• Auf dem FortiGate/FortiWiFi Wireless Controller muss FortiOS 5.0 GA oder höher installiert sein!

'''NOTE''' Folgende Funktionen sollten möglichst nicht benützt werden auf dem Forti Access Point "radio" auf dem der
Mesh Link konfiguriert wurde:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
[[FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F]]
[[FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F]]

Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) oder Automatischer Konfiguration:

'''<big>AUTOMATISCHE KONFIGURATION WIRELESS MESH</big>'''

Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].
Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen werden:

[[Datei:Fortinet-348.jpg]]

Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:

• Konfiguriere einen "root" Mesh Access Point auf einer Forti Access Point oder auf einer FortiWiFi Device.
• Konfiguriere die Forti Access Points für "leaf" Mesh.
• Authorisiere die "leaf" Mesh Forti Access Point damit diese auf den FortiGate/FortiWiFi Controller verbinden können.

'''Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points'''

Wähle über das Mgmt. Web Interface folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Selektiere den gewünschten Forti Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".

Wähle folgendes:

Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)

'''NOTE''' Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
mehr gesetzt werden!

[[Datei:Fortinet-349.jpg]]

'''Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points'''

Verbinde dich auf das Mgmt. Web Interface des Forti Access Point auf dem "leaf" Mesh konfiguriert werden soll.
Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.
Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Auf dem Mgmt. Web Interface unter "Connectivity" konfiguriere folgendes:

'''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

Uplink Mesh
Mesh AP SSID fortinet.mesh.[VDom Name dh. Standard "root"]
Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]

[[Datei:Fortinet-350.jpg]]

Bestätige die Konfiguration anhand "Apply".

'''Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Forti Access Points'''

Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Forti Access Points über den "root" Mesh
Access Points am FortiGate/FortiWiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss
jeder "leaf" Mesh Forti Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Gehe auf "refresh" bis der/die "leaf" Mesh Forti Access Points ersichtlich sind. Danach selektiere den Forti
Access Point und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Forti Access
Points ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit "OK"
die Konfiguration.

Sobald die Konfiguration bestätigt wurde wir der Forti Access Point seinen Status von Offline zu Online wechseln
(ca. 2 Minuten). Die automatische Konfiguration ist abgeschlossen und kann getestet werden.

'''<big>AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen
Port (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging
Mode aktiviert da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point
(backhaul link) verbindet. Ein Forti Access Point Device für Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist
empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Wireless Hosts/Client im Wireless Netzwerk.
Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!

'''Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''

Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti
Access Point direkt mit dem zu verbindenen Segment verbunden!

[[Datei:Fortinet-358.jpg]]

'''<big>MANUELLE KONFIGURATION WIRELESS MESH</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Mesh Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Forti Access Points verbinden
sich über diesen "root" Mesh AP (backhaul link) zum FortiGate/FortiWiFi Controller. Ein Forti Access Point Device für
Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4
GHz für die Wireless Hosts/Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende
Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's.

'''Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Forti Access Point'''

• Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die Forti Access Points benutzt werden kann.
• Erstelle eine SSID für den "backhaul link".
• Erstelle eine Forti Access Point WPT Profil das die SSID für den "backhaul link" enthält.
• Füge das neue WPT Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
• Konfigureire den "root" Mesh Forti Access Point.

Um die SSID für den "backhaul link" zu erstellen wähle im Mgmt. Web Interface der FortiGate folgendes:

WiFi Controller > WiFi Network > SSID, select Create New

Konfiguriere folgendes:

Interface Name [Name des Interfaces zB "mesh-backhaul"]
IP/Netmask [Belasse die IPv4 Adresse auf 0.0.0.0/0.0.0.0]
SSID [Name der SSID zB "mesh-backhaul"]
Preshared Key [Wähle ein Preshared Key]

[[Datei:Fortinet-351.jpg]]

Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:

# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set mesh-backhaul enable
# end

Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:

[[Datei:Fortinet-352.jpg]]

Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:

'''NOTE''' Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
Position "Traffic Mode"

# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set ssid "[Name der SSID zB "mesh-backhaul"]"
# set security wpa2-only-personal
# set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
# set encrypt AES
# set vdom root
# set mesh-backhaul enable
# end

Nun muss ein "backhaul" Forti Access Point Profile erstellt werden. Wähle dazu im Mgt. Web Interface der FortiGate folgendes:

WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":

- Wähle für das WTP Profile einen Namen zB "mesh-backhaul-root".
- Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Forti Access Point.
- Aktiviere die Position "Mesh Downlink".
- Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".

[[Datei:Fortinet-353.jpg]]

'''NOTE''' Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.

Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:

# config wireless-controller wtp-profile
# edit [Profil Name zB "mesh-backhaul-root"]
# config platform
# set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
# end
# config radio-1
# set mode ap
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# end

Nun muss das erstellt WTP Profil dem Forti Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
Wähle dazu im WebGui folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Der "root" Mesh Forti Access Point muss über physisches LAN/Segment angeschlossen sein sowie Verbindung
zum FortiGate/FortiWiFi Controller haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und
kann selektiert werden. Gehe auf "Authorize" und wähle das entsprechende WTP Profil das erstellt wurde
für den "backhaul link". In unserem Beispiel wäre dies zB "mesh-backhaul-root"! Nach einiger Zeit geht
danach der Forti Access Point auf den Status "Online".

Um das Profil per CLI zum entsprechenden Profile hinzu zufügen, gehe folgendermassen vor:

# config wireless-controller wtp
# get
FAP22B3U11005354

# edit FAP22B3U11005354
# set admin enable
# set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
# end

Nun muss der "root" Mesh Forti Access Point als solches definiert werden dh. im Mgmt. Web Interface unter folgender
Position ist die entsprechende IPv4 Adresse des Forti Access Points zu eruieren:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Wir nehmen an, dass der Forti Access Point dem wir das "backhaul" Profil hinzugefügt haben die IPv4 Adresse 192.168.3.2
zugewiesen worden ist. Verbinde dich nun anhand dieser IPv4 Adresse auf das Mgmt. Web Interface des Forti Access Point.
Führe ein Login durch anhand User "admin" und kein "Passwort" sofern keines gesetzt wurde:

http://192.168.3.2

Im Mgmt. Web Interface auf dem Forti Access Point unter "Mesh Configuration" selektiere:

Ethernet with mesh backup support

[[Datei:Fortinet-354.jpg]]

'''NOTE''' Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden da
der Access Point als "root" Mesh konfiguriert ist ignoriert!

Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe Lokal auf der CLI des Forti Access Points folgendes ein:

# cfg -a MESH_AP_TYPE=2
# cfg –c

Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:

# cfg -s

Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

'''Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point'''

Wie schon beschrieben sind "leaf" Mesh Forti Access Points Devices die das Wireless Netz (nicht physisch verbunden)
benutzen um sich in das Wireless Netz zu integrieren. Die Verbindung zum FortiGate/FortiWiFi Controller wird über
den "root" Mesh Access Point bewerkstelligt.

Um ein "leafe" Forti Access Point zu konfigurieren benutzen wir das Mgmt. Web Interface des Forti Access Points. Per
Standard nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2.
Verbinde dich nun auf den WebBased Manager anhand dieser IP:

'''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

http://192.168.1.2

Im WebBased Manager konfiguriere folgendes:

Uplink [Mesh]
Mesh AP SSID [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
Mesh AP Password [Preshared Key gemäss SSI "mesh-backhaul"]"

Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
Konfiguration mit "Apply":

[[Datei:Fortinet-355.jpg]]

Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:

Wenn ein Forti Access Point nicht über einen FortiGate Wireless Controller konfiguriert und eingebunden ist sondern Lokal
über einen Host/Client, ist der Consolen Port per "telnet" über die Standard IP 192.168.1.2 erreichbar. Wird ein Forti
Access Point über einen FortiGate/FortiWiFi Wireless Controller konfiguriert so ist der Forti Access Point über den
FortiGate/FortiWiFi Controller per "telnet" erreichbar sofern dieser Zugriff aktiviert ist. Folgender Artikel gibt
Auskunft wie "telnet" aktiviert werden kann:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

# cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
# cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
# cfg -a MESH_AP_TYPE=1
# cfg -c

Um die Konfiguration zu verifizieren (Es wird ein Neustart des Forti Access Point ausgeführt) geben folgendes ein:

# cfg -s

Als nächsten Schritt muss für die "leaf" Forti Access Points ein Profil angelegt werden. Dazu wähle im Mgmt. Web
Interface folgendes:

WiFi Controller > Managed Access Points > Custom AP Profile

Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:

Name Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
Platform Selektiere die Platform für den entsprechenden Forti Access Point der für "leaf" Mesh eingesetzt werden soll.
Radio 1 Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Radio 2 Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.

[[Datei:Fortinet-356.jpg]]

'''NOTE''' Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.

Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:

# config wireless-controller wtp-profile
# edit [Namen für das Profil zB "mesh-backhaul-leaf"]
# config platform
# set type [Selektiere entsprechend dem Forti Access Point Modell die für "leaf" Mesh eingesetzt werden die Platform]
# end
# config radio-1
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# config radio-2
# set mode ap
# set band 802.11n
# set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
# end
# end

Nun muss das entsprechende WTP Profil das erstellt worden ist dem entsprechenden Forti Access Point der für "leaf" Mesh
Forti Access Point benützt wird, zugewiesen werden. Wähle daszu im Mgmt. Web Interface:

WiFi Controller > Managed A ccess Points > Managed FortiAP

Wenn der "leaf" Mesh Forti Access Point in Betrieb ist, müsste dieser nun in der Liste der Forti Access Points erscheinen.
Selektiere diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird, sollte
der Forti Access Point die Mesh IPv4 Adresse zeigen. Nach dem "Authorize" kann das entsprechende WTP Profile für die "leaf"
Mesh Forti Access Point, das vorhergend erstellt worden ist, gewählt werden. Bestätige die Konfiguration anhand "Apply".
Wenn die Konfiguration auf der CLI durchgeführt werden soll führe folgendes aus:

# config wireless-controller wtp
# get
FAP22B3U11d05924

# edit FAP22B3U11d05924
# set admin enable
# set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
# end

Die Konfiguration der '''Manuelle Konfiguration betreffend Mesh''' ist nun abgeschlossen. Um das "Mesh" Wireless
Netzwerk zu kontrollieren wähle im Mgmt. Web Interface folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

In dieser View werden alle verbundenen und nicht verbundenen Forti Access Points aufgelistet. Wenn man unter "Column
Settings" das Feld "Connected Via" einblended, sieht man in diesem Feld "Mesh" für die Forti Access Points die über
Mesh verbunden sind sowie deren IPv4 Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen
Forti Access Point durchgeführt werden:

# cw_diag -c mesh

Eine weitere Möglichkeit um an Informationen heranzukommen, ist auf dem Forti Access Point folgender Befehl abzusetzen:

# dmesg

'''<big>MANUELLE KONFIGURATION WIRELESS BRIDGING</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über den
Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Forti Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging Mode
aktiviert da dieser an einem LAN/Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point (backhaul
link) verbindet. Ein Forti Access Point Device verfügt für Mesh über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen
5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!

'''Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''

Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem "leaf"
Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti Access Point
direkt mit dem zu verbindenen Segment verbunden!

[[Datei:Fortinet-357.jpg]]

== Guest Access ==

=== Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion? ===

Fortinet bietet im Zusammenhang mit der FortiGate Wireless Infrastrukturen zwei verschiedene Arten eines Ticketing System's für Guest Access:

'''Guest Access Provisioning:'''
Das "Guest Access Provisioning" basiert auf einem Ticket System dh. durch einen definierten Administrator kann dieser
die entsprechenden Tickets erstellen resp. generieren. Für dieses "Gues Access Provisioning" können die Tickets selber
dh. Inhalt und Aussehen nicht modifiziert werden sondern sind vorgegeben. In so einer Situation sollte die "Captive
Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit
FortiOS 5.0/5.2 oder höher. Es müssen keine zusätzliche Installationen durchgeführt werden da ein FortiGate Wireless
Controller alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur Implmenenterung
siehe:

[[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]

'''User Self Registration:'''
In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein "Captive Portal"
vorgeschaltet sein, jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self Registration Portal. Die Felder,
der Inhalt etc. des Self Registration Portal und/oder der Ticket's können vollumfänglich selber betreffend Inhalt und Aussehn
definiert werden. Für das "Wireless Self Registration" benötigt man einen FortiAuthenticator! Weitere Inoformationen zur
Implementierung siehe:

[[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]

=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Self Registration" Funktion? ===

Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:

[[FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F]]

Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einem FortiGate Wireless Controller konfiguriert wird:

[[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]

=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Guest Access Provisioning" Funktion? ===

Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0/5.2 oder höher) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:

'''NOTE''' Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt
werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe
nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_.22Wireless_Guest_Access_Provisioning.22_ein_Custome_Language_File.3F]]

User & Device > User > User Groups

[[Datei:Fortinet-363.jpg]]

Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch durch das System
erstellt (Batch):

[[Datei:Fortinet-373.jpg]]

Zur dazugehörigen Gruppe erstellen wir einen Administrator, der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:

System > Admin > Administrators

[[Datei:Fortinet-364.jpg]]

Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:

[[Datei:Fortinet-365.jpg]]

[[Datei:Fortinet-366.jpg]]

Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:

[[Datei:Fortinet-367.jpg]]

[[Datei:Fortinet-368.jpg]]

Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch"
erstellt (Batch). Dies sieht dann folgendermassen aus:

[[Datei:Fortinet-374.jpg]]

Nach der "automatischen" Erstellung wird folgendes Ausgegeben:

[[Datei:Fortinet-375.jpg]]

Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes:

[[Datei:Fortinet-376.jpg]]

Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:

[[Datei:Fortinet-377.jpg]]

Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing. Vorraussetzung dafür ist jedoch das ein "Email Service" konfiguriert wurde. Dazu siehe nachfolgende Artikel:

[[FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F]]
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_den_.22Email_Service.22_konfigurieren.3F]]

[[Datei:Fortinet-369.jpg]]

Wählt man zB Printing so erscheint folgendes:

[[Datei:Fortinet-372.jpg]]

'''NOTE''' Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden!

Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:

[[Datei:Fortinet-370.jpg]]

Wenn man sich als "regulärer" Administrator wiederum einloggt, kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:

User & Device > User > Guest Management

[[Datei:Fortinet-371.jpg]]

Ein "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts wie der "Restricted to Provision Guest Accounts" Administrator" erstellen/verwalten! Für die SSID muss nun ein "Captive Portal" ausgewählt jsowie konfiguriert werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:

[[Datei:Fortinet-1267.jpg]]

Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal". Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste der Guest Account die URL abermals eingeben! Als Letzteres muss eine entsprechende Firewall Policy Rule implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Konfiguration getestet werden. Sobald ein Wireless Host/Client die entsprechende SSID aufruft, wird er mit dieser SSID anhand einer IPv4 Adresse die vom DHCP Server stammt der für die SSID konfiguriert wurde, verbunden. Wenn nun ein Wireless Host/Client danach eine Anfrage absetzt dh. eine Web Seite aufruft wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der Wireless Host/Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:

'''Guest Access User Group'''

# config user group
# edit [Name der Gruppe zB "FortiGroup-Guest"]
# set group-type guest
# set user-id [email | auto-generate | specify]
# set password [auto-generate | specify | disable]
# set user-name [enable | disable]
# set email [enable | disable]
# set mobile-phone [enable | disable]
# set default-expire [seconds]
# end

'''Guest admin profile options'''

# config system admin
# edit [Name des Administrators]
# set guest-auth [enable | disable]
# set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
# end

'''SSID Security Mode option captive-portal'''

# config wireless-controller vap
# edit [Name des SSID Profiles zB "only4guest"]
# set vdom "root"
# set ssid [Name der SSID zB "only4guest"]
# set security captive-portal
# set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
# set intra-vap-privacy enable
# end
# config system interface
# edit [Name des Interface für SSID zB "only4guest"]
# set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
# set allowaccess ping
# set devindex 0
# set device-identification enable
# set snmp-index 0
# end
# config system dhcp server
# edit [Gebe einen Integer an zB 1]
# set forticlient-on-net-status disable
# set dns-service default
# set default-gateway [IPv4 Adresse zB 192.168.10.1]
# set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
# set interface [Interface für DHCP Server zB "only4guest"]
# config ip-range
# set start-ip 192.168.10.2
# set end-ip 192.168.10.254
# end
# end

Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:

# diagnose test guest ?
add add a guest user
del delete guest users
list list guest users

# diagnose test guest list
user_id=new-user-1@beispiel.com
group=Beispiel-Gruppe
user_name=gast-1
password=pwj8m9
mobile_phone=
sponsor=
company=
email=new-user-1@beispiel.com
expire=1 Hours

# diagnose test guest add
<group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>

# diagnose test guest del
12 deleted for group '', user-id ''

# diagnose test guest list
0 found for group '', user-id ''

=== Wie konfiguriere ich für ein "Wireless Guest Access Provisioning" ein Custome Language File? ===

Auf einer FortiGate ist das Mgmt. Web Interface und Replacement Messages per Standard Englisch. Unter der folgende Position können andere Sprachen gewählt werden:

System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]

Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):

• Guest Management Admin Accounts (Guest Access Provisioning)
• SSL VPN Portal
• SSL VPN Personal Bookmarks

Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:

# config system global
# set gui-custom-language enable
# end

Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Mgmt. Web Interface auf der FortiGate
aktiviert:

System > Config > Advanced > Language

[[Datei:Fortinet-1285.jpg]]

Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:

System > Custom Languages

Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann
als Vorlage um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":

[[Datei:sample-language-template.txt]]
[[Datei:sample-language-template-54.txt]]

Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:

System > Config > Advanced > Language > Create New

[[Datei:Fortinet-1286.jpg]]

Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:

System > Custom Languages

Danach kann das File raufgeladen werden:

[[Datei:Fortinet-1287.jpg]]

Damit das entsprechende File benutzt wird für die Funktion des "Wireless Guest Access Provisioning", muss
dies unter CLI und/oder über Mgmt. Web Interface für den Guest Administrator konfiguriert werden:

System > Admin > Administrators > [Wähle den entsprechenden Guest Administrator] > Language > [Wähle das entsprechende "Sprachfile"]

[[Datei:Fortinet-1289.jpg]]

# config system admin
# edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
# set guest-auth enable
# set guest-lang [Wähle das entsprechende "Sprachfile"]
# end
# end

=== Wie kann ich für die "Wireless Guest Access Provisioning" Funktion die Erstellung der Tickets (Anzahl) limitieren? ===

Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" Ticket erstellen. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket Erstellung in der Anzahl limitiert. Ab FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:

# config user group
# edit guest-group
# set group-type guest
# set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
# end
# end

Wird die Konfiguration durchgeführt für Guest Administratoren die bereits Tickets erstellt haben, muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert für Anzahl Tickets tiefer als die existierenden "valid" Tickets konfiguriert werden so müssen um den Wert anzupassen zuerst Tickets gelöscht werden um den entsprechenden Wert zu setzen.

=== Gibt es für das Passwort des Guest-Administrators für "Wireless Guest Access Provisioning" eine Passwort Policy? ===

Wenn auf einer FortiGate ein "Wireless Guest Access Provisioning" konfiguriert wird ist die Basis ein Administrator der für Guest definiert wird (Restricted to Provision Guest Accounts). Wie ein "Wireless Guest Access Provisioning" konfiguriert wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]

Neu unter FortiOS 5.4.1 kann diesem Administrator der für Guest definiert wurde eine Passwort Policy aktiviert werden. Dies kann jedoch nur in der CLI konfiguriert werden und ist per Standard deaktiviert:

# config system password-policy-guest-admin
# status [enable | disable]
# apply-to [guest-admin-password]
# minimum-length [Minimum Länge des Passwortes]
# min-lower-case-letter [Minimum Anzahl Kleinbuchstaben im Passwort]
# min-upper-case-letter [Minimum Anzahl Grossbuchstaben im Passwort]
# min-non-alphanumeric [Minimum Anzahl Non-Alphanumerischen Zeichen im Passwort]
# min-number [Minimum Anzahl von Nummerischen Zeichen im Passwort]
# change-4-characters enable/disable Enable/disable changing at least 4 characters for new password.
# expire-status [enable | disable]
# reuse-password [enable | disable] # end

== Remote ==

=== Wie konfiguriere ich einen Forti Access Point zB. FAP-11C für einen Remote Zugriff? ===

Ein Forti Access Point FAP-11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point FAP-11C, FAP-14C sowie fAP-28C da diese Forti Access Point über einen Internal Switch/Hub verfügen der es dem User/Client erlaubt entweder über den Internen Switch/Hub zu arbeiten oder über Wireless resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:
_________
| | 193.193.135.70
| FAP-11C |--|
|_________| |
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP-11C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN

In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "dmz" durchgeführt! Dies bedeutet: dieses "dmz" ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen benützt dh. der FAP-11C wird mit der gesamten Konfiguration lokal eingebunden inkl Firewall Policy Rules usw. Diese Konfiguration kann nachträglich für einen Remote Konfiguration komplett übernommen werden. Alle Forti Access Point benützen für deren Komunikation zum FortiGate Wireless Controller CAPWAP (UDP-5246). Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_einen_FortiGate_Wireless_Controller_verwaltet.2Fkonfiguriert_.28CAPWAP.29.3F]]

Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt, jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden, sind per Standard "clear-text". Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel von und zu dem Forti Access Point zum FortiGate Wireless Controller zu verschlüsseln. Weitere Informationen zu DTLS Funktion siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Die Konfiguration eines Forti Access Point für Remote Zugriff unterscheidet sich Grundsätzlich nicht gegenüber einer lokalen Konfiguration von Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point unter FortiOS 5.0/5.2/5.4 in Betrieb genommen wird und was dabei zu beachten ist:

[[FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F]]

Wenn die Grundkonfiguration für den FAP-11C inkl. den Firewall Policy Rule's gemäss vorhergenden Link durchgeführt wurde sowie alle Tests erfolgreich waren, sollte der FAP-11C aus dem "dmz" Segment entfernt. Ist dies geschehen sollte der entsprechende Forti Access Point Eintrag unter "Managed FortiAP's" gelöscht werden:

WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]

Als Nächstes muss nun Lokal auf dem Forti Access Point FAP-11C mitgeteilt werden, mit welchen FortiGate Wireless Controller eine Remote Verbindung erstellt werden soll. Dies kann über das lokale Mgmt. Web Interface oder CLI des Forti Access Point FAP-11C durchgeführt werden. Die Informationen die lokal auf dem Forti Access Point konfiguriert werden müssen sind die Folgenden:

IPv4 Adresse
FQDN (Fully Qualified Domain Name]

Um auf einen Forti Access Point lokal zu verbinden kann die Default IPv4 Adresse des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Es können für Failover Zwecke bis zu 3 Wireless Controller konfiguriert werden:

[[Datei:Fortinet-700.jpg]]

Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Wenn in einem späteren Zeitpunkt der Forti Access Point in ein IPv4 Segment zB zu Hause verbunden wird, sucht sich dieses "wan" Interface einen DHCP Server. Werden die DHCP Anfragen des "wan" Interfaces beantwortet, wird auf dem "wan" Interface gemäss der DHCP Server Konfiguration eine IPv4 Adresse, Subnet sowie Default Gateway konfiguriert. Sobald dies der Fall ist, wird über das "wan" Interface versucht den konfigurierten FortiGate Wireless Controller anhand dessen IPv4 Adresse oder den FAQDN über CAPWAP (UDP-5246) zu erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf "Auto" konfiguriert was wiederum bedeutet:

Broadcast -> Multicast > Static > DNS > DHCP

In dieser Reihenfolge versucht der Forti Access Point über CAPWAP den konfigurierten FortiGate Wireless Controller zu erreichen. Damit kein "Auto" für die Suche des FortiGate Wireless Controller durchgeführt wird, sollte "Static" benutzt werden. Wenn ein FQDN benutzt wird, ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:

# cfg -a DNS_SERVER=[DNS Server IP Adresse]
# cfg -c
# cfg -s

Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:

# cfg -a WTP_NAME=FP11C3X12001413 [Hostname Forti Access Point]
# cfg -a ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -a STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
# cfg -a TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
# cfg -a HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
# cfg -a AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
# cfg -a AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_2= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_3= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_2= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_3= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_CTL_PORT=5246 [CAPWAP Comunication Port]
# cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
# cfg -a AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]

# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]

Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. Auf dem Forti Access Point ist "DTLS" bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate Wireless Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy [dtls-enabled | clear-text]
# end

Wenn ein Client/Host über den Remote Forti Access Point ein Packet versendet und da der Standard Wert für MTU Size auf den meisten Betriebsystemen auf 1500 konfiguriert ist kann es mit der zusätzlich aktivieren "DTLS" Funktion zu einer Fragmentierung kommen. Der Grund ist der Folgende: Wenn ein Packet über den CAPWAP Tunnel gesendet wird so kommt zum Packet ein kleiner "overhead" des CAPWAP dazu. Dies ist unter normalen Umständen und in den meisten Fällen kein Problem. Kommt jedoch nochmals der "overhead" des "DTLS" dazu, vergrössert sich das Packet dh. mehr als MTU 1500 und somit wird das Packet aufgeteilt dh. es wird eine Fragmentierung durchgeführt. Dies beeinträchtigt die Performance und sollte verhindert werden. Aus diesem Grund empfehlen wir gemäss nachfolgenden Link im WTP Profile dies zu berücksichtigen resp. eine Fragmentierung zu verhindern:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]

Grundsätzlich kann die "Network Configuration" eines Forti Access Point auch auf "Static" gesetzt werden dh. Ein Forti Access Point ist per Standard mit "DHCP" konfiguriert und sollte unter normalen Umständen so konfiguriert sein. Möchte man jedoch für das "wan" Interface des Forti Access Point eine statische IPv4 Adresse vergeben kann dies über Mgmt. Web Interface oder CLI durchgeführt werden. Für eine Konfiguration über CLI lokal auf dem Forti Access Point stehen folgende Konfigurationspunkte zur Verfügung:

# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]

# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]

'''DHCP Konfiguration (Default):'''

[[Datei:Fortinet-702.jpg]]

'''Static Konfiguration:'''

[[Datei:Fortinet-703.jpg]]

Damit die Anfragen des Forti Access Point auf den FortiGate Wireless Controller beantwortet wird, muss CAPWAP auf der FortiGate für das "wan" Interface aktiviert werden:

System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]

[[Datei:Fortinet-784.jpg]]

Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP-5246 auf dem "wan" Interface erlaubt. Die "Local-In" Policy erlaubt den UDP-5246 Traffic von jeder Source dh. soll diese eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F]]

Wenn nun der Forti Access Point in einer Remote Lokation zB zu Hause benutzt wird so wird folgendes durchgeführt:

1. Verbinde das "wan" Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.

2. Dem Forti Access Point wird über DHCP auf das "wan" Interface eine IPv4 Adresse zugewiesen oder das "wan" Interface wurde
mit einer LAN IPv4 Adresse aus dem Segment/Subnet statisch konfguriert.

3. Uber das "wan" Interface werden CAPWAP (UDP-5246) Anfragen an die definierte IPv4 Adresse und/oder FQDN an das "wan"
Interface des FortiGate Devices gesendet.

4. Da CAPWAP auf dem FortiGate "wan" Interface aktiviert wurde und somit die CAPWAP Anfragen vom FortiGate Wireless Controller
beantwortet werden, erscheint auf dem FortiGate Device unter "Managed Access Point" der entsprechende Forti Access Point:

WiFi Controller > Managed Access Points

5. Dem Forti Access Point kann nun das entsprechendes WTP Profile zugewiesen werden.

Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende WTP Profile sowie auf dem Forti Access Point selber durchgeführt werden:

'''FortiGate WTP Profile'''

[[Datei:Fortinet-705.jpg]]

'''Forti Access Point'''

[[Datei:Fortinet-706.jpg]]

Wenn man einer der Remote Forti Access Point's einsetzt dh. FAP-11C, FAP-14C sowie FAP-28C hat man nun die Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Bei der Konfiguration des internent Switches/Hubs ist jedoch folgendes zu berücksichtigen: Ein Port eines Switches kann mit "bridge to SSID" auf die SSID konfiguriert werden. Dies bedeutet: Wenn ein Client/Host sich per RJ-45 auf diesen Port verbindet, wird diesem über den konfigurierten DHCP Server der SSID eine IPv4 Adresse zugewiesen. Wenn dies geschieht, wird keine Authentifizierung für die SSID ausgeführt! Um zB eine Security auf diesen Switch Port für "bridge to SSID" zu konfigurieren, kann der DHCP Server auf "block" gesetzt werden und somit werden vom DHCP Server nur IPv4 Adressen den Clients/Host zugewiesen, wenn diese mit deren MAC Adressen im DHCP Server konfiguriert wurden. Dies wird folgendermassen für den DHCP Server der SSID konfiguriert:

# config system dhcp server
# edit [Wähle den entsprechenden Integer für den DHCP Server der SSID zB "1"]
# set mac-acl-default-action [assign | block]
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end

Eine andere Variante ist auf dem Interface der SSID (nicht für die SSID Konfiguration) ein "Captive Portal" zu aktivieren dh. wenn dies geschieht, muss sich der Client/Host in jedem Fall auf dem "Captive Portal" des Interface zuerst authentifizieren bevor er Zugriff erhält. Wie die einzelnen Switch/Hub Ports zu konfigurieren sind siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Remote_Forti_Access_Points_FAP-11C.2C_FAP-14C_und_FAP-28C_die_Switch_Ports_konfigurieren.3F]]

Desweiteren ist zu berücksichtigen, dass der Traffic des Client/Host der sich über einen Switch/Hub Port der anhand "bridge to SSID" konfiguriert wurde, unweigerlich über CAPWAP zum FortiGate Wireless Controller gesendet wird da die SSID anhand "Tunnel to Wireless Controller" konfiguriert wurde. Möchte der Client/Host jedoch lokale Resourcen ebenfalls erreichen kann ab FortiOS 5.2 ein "Splitt Tunneling" konfiguriert werden. Dies erlaubt einen bestimmten IPv4 Range/Subnet am CAPWAP Tunnel vorbei zu routen. Wie dies konfiguriet wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

Wenn die konfigurierte SSID auf einem Forti Access Point die ebenfalls für die Switch/Hub Ports benutzt wird um "bridge to SSID" zu konfigurieren nicht benötigt wird dh. Client/Hosts die SSID für einen Wireless Zugriff nicht benötigen, sollte diese deaktiviert werden. Dies kann nach Abschluss der Konfiguration im entsprechenden WTP Profile konfiguriert werden in dem der entsprechende "radio" komplett deaktiviert wird!

=== Wieviel Bandbreite benötigt ein Forti Access Point für CAPWAP in einer Remote Verbindung? ===

Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP (UDP-5246) für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:

• Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
• Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten

Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!

== LAN Port's / Switch ==

=== Wie kann ich für einen Remote Forti Access Points FAP-11C, FAP-14C und FAP-28C die Switch Ports konfigurieren? ===

Die Remote Forti Access Points wie FAP-11C, FAP-14C und FAP-28C werden mit einem kleinen Switch/Hub ausgeliefert! Bis FortiOS 5.0.4 sowie für Forti Access Points FortiOS 5.0.5 waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:

'''Fuer die LAN Port Konfiguration gelten folgende Restriktionen:'''

• Beim FortiAP-14C/25D können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration da es sich
bei den Ports um ein Hub handelt!

• Jeder Client/Host der sich über die LAN Ports verbindet gilt als Authentifiziert!

• Dynamische VLAN Konfiguration für Client/Host die über die LAN Ports verbunden sind wird nicht unterstützt. Weitere Informationen
zur Dynamischee VLAN Konfiguration siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_f.C3.BCr_Forti_Access_Point_SSID.27s_.22Dynamische_VLAN.27s.22_vergeben_und_wie_konfiguriere_ich_diese.3F]]

• RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!

• Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden. Dies gilt ab FortiOS 5.0.6
und Forti Access Point FortiOS 5.0.7!

Die LAN Ports können sofern gewünscht komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden WTP Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
# end

Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende Bedeutung:

• offline Der Port wird komplett deaktiviert!
• bridge-to-wan Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
• bridge-to-ssid Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
• nat-to-wan Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!

'''Bridge to SSID'''
Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
Client/Host über die LAN Ports, wird dem Client über den DHCP Server der für die SSID konfiguriert wurde, eine IPv4 Adresse zugewiesen.
Der Traffic des Clients/Hosts, der sich am LAN Port verbindet, wird zum FortiGate Wireless Controller gesendet. Ein "local bridging"
ist nicht möglich! Wireless Clients/Hosts die diese SSID benutzen sowie die Clients/Hosts die über den Switch Port verbunden sind,
können untereinander uneingeschränkt komunizieren. Es findet keine Authentifizierung auf den LAN Ports statt! Die Clients/Hosts, die
über die LAN Ports in diesem Modus verbinden, sind über den folgenden Menüpunkt ersichtlich:

WiFi Controller > Monitor > Client Monitor

Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen: Auf dem Forti Access
Point steht die DTLS Verschlüsselung per Standard auf "Clear Text oder "DTLS Enabled" dh. der Forti Access Point bietet beides an. Somit
steuert der FortiGate Wireless Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

'''Bridge to WAN'''
Es wird ein "bridge-to-wan" auf das "wan" Interface des Forti Access Point durchgeführt was folgendes bedeutet: Verbindet sich ein
Client/Host über die Switch Ports, wird dem Client/Host über den DHCP Server sofern dieser im "wan" Segment existiert, eine IPv4
Adresse zugewiesen. Wireless Clients/Hosts die über eine SSID auf dem Forti Access Point verbunden sind und Clients/Hosts die über
die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Firewall Policy Rule auf
der FortiGate konfiguriert wird die diesen Traffic erlaubt! Somit, wenn dies der Fall ist, wird der Traffic über die FortiGate
Device dh. über CAPWAP abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!

'''NAT to WAN'''
Es wird ein "nat-to-wan" auf dem "wan" Port des Forti Access Point durchgeführt dh. die Source des Traffic vom LAN Port wird
übersetzt (translated) anhand der IPv4 Adresse die auf dem "wan" Port existiert/konfiguriert wurde.

Die Konfiguration der Switch/Hub Ports kann ebenfalls über Mgmt. Web Interface durchgeführt werden und zwar unter folgender Position sofern es sich um ein WTP Profile eines Forti Access Points handelt der über einen Switch/Hub verfügt:

WiFi Controller > WiFi Network > Forti/Custom AP Profiles

[[Datei:Fortinet-964.jpg]]

Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port-ssid [Name der gewünschten SSID]
# set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# end
# set dtls-policy [ dtls-enabled | clear-text]
# end

Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

=== Kann ich für einen Forti Access Points für dessen LAN Interfaces eine "Link Aggregation" konfigurieren? ===

Bis anhin war das nicht möglich. Neu ab FortiOS 5.4.1 ist eine Link Aggregation ausschliesslich für folgende Modelle möglich:

• FAP-320B und 320C

'''NOTE''' Durch Fortinet Informationen wird ebenfalls explizit erwähnt, dass folgende Forti Access Points keine
Link Aggregation unterstützen:

• FAP-112B und FAP-112D

Diese Forti Access Point's verfügen über 2 Interfaces und diese können über die Shell des Forti Access Point als Link Aggregation konfiguriert werden. Wie man sich auf einen Forti Access Point über Telnet verbindet wenn dieser zB keine Mgmt. Console verfügt (RS-232) siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Danach muss ein Login durchgeführt werden auf dem Forti Access Point:

# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point]
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Für die Link Aggregation muss folgendes Kommando ausgeführt werden:

# cfg -a WANLAN_MODE=AGGREGATE

Danach muss die Konfiguration geschrieben werden:

# cfg -c

Um die geschriebenen Konfiguration auszulesen benutze:

# cfg -s

== Sniffer ==

=== Kann ich einen Forti Access Point als Sniffer benutzen um den Traffic aufzuzeichnen (capture)? ===

Ja diese Möglichkeit existiert jedoch mit folgenden Einschränkungen:

• Nur ein "radio" pro Aufzeichnung kann benutzt werden um den Sniffer auszuführen (capture)!
• Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden!
• Sniffer Mode wird für "radio" für 802.11ac nicht unterstützt (FortiOS 5.2.5 Bug ID 301726)!

Wenn ein "radio" für den Sniffer Mode konfiguriert wurde so wird lokal auf dem Forti Access Point ein File in folgendes Verzeichnis abgelegt:

/tmp/wl_sniff.pcap

Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des Forti Access Point wird durchgeführt, so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none" Persistent Verzeichnis handelt. Aus diesem Grund muss das File vor einem Neustart per TFTP auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren benutze folgende Kommandos:

# cd /tmp
# ls
wl_sniff.cap

# tftp

BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server

Options:

-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file

Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:

# tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IPv4 Adresse des TFTP Servers] 69

Um einen Forti Access Point in den Sniffer Mode zu versetzen, muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:

# config radio-1
# set mode disabled
# end
# config radio-2
# set mode sniffer
# set ap-sniffer-bufsize 32
# set ap-sniffer-chan 1
# set ap-sniffer-addr 00:00:00:00:00:00
# set ap-sniffer-mgmt-beacon enable
# set ap-sniffer-mgmt-probe enable
# set ap-sniffer-mgmt-other enable
# set ap-sniffer-ctl enable
# set ap-sniffer-data enable
# end
# end

Durch die nachfolgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:

ap-sniffer-add Definiert einen spezifischen Client/Host anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
ap-sniffer-chan Definiert einen spezifischen "channel"

Sobald die Konfiguration durchgeführt wurde, ist diese über Mgmt. Web Interface der FortiGate ersichtlich:

[[Datei:Fortinet-699.jpg]]

Wenn nun das entsprechende WTP Profile in dem der Sniffer Mode aktiviert wurde einem Forti Access Point zugewiesen wird, so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI lokal auf dem Forti Access Point verifiziert werden:

# iwconfig

Durch diesen Befehl werden die entsprechenden lokalen Interfaces des Forti Access Point aufgelistet und das entsprechende Interface ist im "monitor" Mode:

Mode: Monitor

== Authentication ==

=== Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine "WPA2-Enterprise" Authentifizierung? ===

Wenn man für Wireless Clients/Hosts eine Authentifizierung implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme! Speziell wenn die Authentifizierung über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Wireless Client/Host zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung der Passwörter vers. "password hashing schemas" die jedoch nicht kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muesste der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn kein OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte, so ist die bevorzugte Variante eine Radius Server zu implementieren. Diese "Radius Authentication" verifiziert die Credentials des Wireless Clients/Hosts über den Radius Server im Active Directory. Durch diese Art der Authentifizierung wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Wireless Client/Host aus eine Verifizierung des Radius Servers erfolgt, sollte/kann dieser Radious Server anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Trusted CA) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich für die Verifizierung des Radius Servers. Als Radius Server können vers. Produkte eingesetzt werden! Die bevorzugte Variante ist anstelle eines Windows 2008 Server den Fortinet Radius Server zu benutzen resp. den FortiAuthenticator. Weitere Informationen zum FortiAuthenticator findet man unter folgenden Link:

[[FortiAuthenticator:FAQ]]

Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers basierend auf Windows 2008 Server:

[[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf]]
[[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf]]

Um die Radius Server Verbindung auf einem FortiGate Device zu troubelshooten resp. einzusehen siehe nachfolgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]

=== Wie konfiguriere ich für Forti Access Points eine Authentifizierung für Public HotSpot der Swisscom ? ===

Nun ein Public HotSpot der Swisscom kennt grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:

'''Alte Variante SSID Hot Spot Swisscom'''

• SSID MOBILE (Authentication "Open")
• SSID MOBILE-EAPSIM (Authentication "WPA2-Enerprise" / Radius Port 1645)

'''Neue Variante SSID Hot Spot Swisscom'''

• Swisscom (Vorher MOBILE)
• Swisscom_Auto_Login (Vorher MOBILE-EAPSIM)

Die Schreibweise der alten/neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten Zeit lanciert werden benützen bereits die neuen SSID's und nicht mehr die alten!

'''SSID: MOBILE/Swisscom'''

Mit der SSID MOBILE oder Swisscom wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu
gelangen. Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese
SSID aufruft wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom
Login etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten
Arten wie zB Kreditkarte, Swisscom Login usw.

'''SSID: MOBILE-EAPSIM/Swisscom_Auto_Login'''

Die SSID MOBILE-EAPSIM oder Swisscom_Auto_Login steht ausschliesslich Swisscom Kunden zur Verfügung. Wenn der Kunde
diese SSID aufruft, wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius
Authentifizierung durchgeführt. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting
durchzuführen.

Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE oder Swisscom" sowie "MOBILE-EAPSIM oder Swisscom_Auto_Login" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. Im Beispiel werden nur die alten SSID aufgeführt jedoch sollten die neuen hinzugefügt werden. In unserem Beispiel existiert ein dedizierter Port (port2) der exklusiv für die Swisscom Verbindung benutzt wird und deren Segment darstellt. Nachfolgend einen Ueberblick über das Environment der Swisscom für unser Beispiel:

[[Datei:STUE_WSTA.pdf]]
[[Datei:STUE_WLS.pdf]]

Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM oder Swisscom_Auto_Login Authentifizierung einen Radius Server. Erstelle diesen unter:

User > Remote > RADIUS

[[Datei:Fortinet-315.jpg]]

Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server konfiguriert. Dies bedeutet: in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem Verantwortlichen der Swisscom mitgeteilt werden, in welcher Art und Weise die MAC Adresse übermittelt wird um die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen. Diese bdeutet wiederum:

• Standard Format Beispiel: 0000.4096.3e4a
• Unformatiert Beispiel: 000040963e4a

Der Swisscom Radius Server in unserem Beispiel arbeitet noch mit dem "old radius port" dh. nicht mit TCP Port 1812 sondern mit TCP Port 1645. Eine FortiGate benützt per Standard TCP Port 1812 und somit muss dieser umkonfiguriert werden auf TCP Port 1645:

# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end

Um die Radius Server Konfiguration/Anbindung zu überprüfen siehe nachfolgender Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]

Für die Konfiguration der SSID "MOBILE oder Swisscom" und "MOBILE-EAPSIM oder Swisscom_Auto_Login" gehe folgendermassen vor: Als Erstes erstelle die SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM / Swisscom_Auto_Login" unter folgendem Punkt:

WiFi Controller > WiFi Network > SSID

[[Datei:Fortinet-310.jpg]]

Die IPv4 Adresse plus Subnet 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IPv4 Adresse wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

System > Network > Interface

[[Datei:Fortinet-311.jpg]]

Die IPv4 Adresse plus Subnet 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

System > Network > Interface

Nun erstelle ein WTP Profile in dem die zwei/vier SSID's hinzugefügt werden:

WiFi Controller > Manage Access Points > Custom AP Profile

[[Datei:Fortinet-312.jpg]]

Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei/vier SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM und Swisscom_Auto_Login" unter SSID den entsprechenden "radio's" hinzu! Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein seperates Interface auf einer Fortigate sowie einen DHCP Server auf diesem Interface, dass den Forti Access Point für das Management über den DHCP Server die entsprechende IPv4 Adresse vergibt. In unserem Beispiel haben wir ein dezidiertes Forti Access Point Interface dh. "port1":

System > Network > Interface

[[Datei:Fortinet-313.jpg]]

Erstelle den dazugehörigen DHCP Server der entsprechenden IPv4 Adressen vergibt für das Management der Forti Access Points:

System > Network > [Interface] > DHCP Server

[[Datei:Fortinet-314.jpg]]

Nun kann der Forti Access Point an "port1" resp. in diesem IPv4 Segment angeschlossen werden! Damit ein Forti Access Point mit dem FortiGate Wireless Controller komunizieren kann muss CAPWAP (UDP-5246) anhand Broadcast, Multicast sowie Unicast auf diesem Segmment über die Switches erlaubt werden. Nun muss das vorhergehende WTP Profil "Swisscom-HotSpot" auf den entsprechenden Forti Access Points hinzugefügt werden:

WiFi Controller > Manage Access Points > Manage FortiAP

Sobald der Forti Access Point ersichtlich ist, Doppelklicke den Eintrag dieses Forti Access Point und wähle:

Authorize

Nun kann unten das entsprechende WTP Profile geladen werden dh. "Swisscom-HotSpot". Wenn das entsprechende WTP Profile dem Forti Access Point zugewiesen wird dauert es ca. 3 - 4 Minuten bis dieser Forti Access Point wiederum mit dem geladenen WTP Profile erscheint! Im Grundsatz sind die Forti Access Point nun konfiguriert und einsatzbereit. Jedoch die angemeldeteten Wireless Clients/Hosts müssen vom DHCP Server der Swisscom eine IPcv4 Adresse zugewiesen bekommen. Bei "MOBILE und Swisscom" geschieht dies "ohne" eine Authentifizierung (Open). Bei "MOBILE-EAPSIM und Swisscom_Auto_Login" wird erst eine IPv Adresse vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's einen DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und Swisscom sowie MOBILE-EAPSIM / Swisscom_Auto_Login. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:

• SSID MOBILE / Swisscom (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
• SSID MOBILE-EAPSIM / Swisscom_Auto_Login (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)

System > Network > [Interface] > DHCP Server

[[Datei:Fortinet-316.jpg]]

[[Datei:Fortinet-317.jpg]]

Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment/Subnet konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE / Swisscom und MOBILE-EAPSIM / Swisscom_Auto_Login Authentifizieren sich in diesem Segment, beziehen die IPv4 Adresse sowie browsen über dieses Segment. Dies bedeutet: sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir eine Policy Route im Layer 4 die vor dem normalen Routing Layer 3 greift:

Router > Static > Policy Route

[[Datei:Fortinet-318.jpg]]

[[Datei:Fortinet-319.jpg]]

Damit die IPv4 Adresse des Radius Server "129.132.254.70" ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:

Router > Static > Static Route

[[Datei:Fortinet-320.jpg]]

Nun fehlt nur noch die Firewall Policy Rule:

[[Datei:Fortinet-321.jpg]]

[[Datei:Fortinet-322.jpg]]

Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Interface (port2) einen Sniffer über die Console laufen zu lassen:

# diagnose sniffer packet port2

Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":

4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40

Für das bessere Verständnis Folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM / Swisscom_Auto_Login auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies: Auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):

[[Datei:Fortinet-323.jpg]]

=== Wie erstelle ich für einen Forti Access Point ein sicheres WLAN Passwort und was ist dabei zu beachten? ===

Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Forti Access Point mindestens WPA2 konfiguriert sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Ebenso Wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares Paswwort zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist, wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste Variante. Allerdings können dann in dieser Variante auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken abermals um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Forti Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.

=== Wie kann ich für eine Forti Access Point SSID ein lokales "Captive Portal" konfigurieren? ===

Ein "Captive Portal" kann dann konfiguriert/benutzt werden, wenn der Traffic der Wireless Clients/Hosts über CAPWAP (UDP-5246) zum FortiGate Wirless Controller übermittelt wird. Dies bedeutet: Ein "Captive Portal" kann nicht benutzt/konfiguriert werden, wenn für eine SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum FortiGate Wireless Controller übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement (Local Break-Out). Ein "Captive Portal" wird über folgende Position im Mgmt. Web Interface der FortiGate konfiguriert:

WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal

[[Datei:Fortinet-1294.jpg]]

Neu ab FortiOS 5.2 stehen im Zusamenhang mit dem "Captive Portal" neue Funktionen zur Verfügung! Speziell sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der Position "Authentication Portal" kann nun neu ab FortiOS 5.2 auch ein externes Portal dh. das sich nicht auf der FortiGate befindet, benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt List" von der "regulären Gruppe" (User Groups) Ausnahmen definiert werden! Diese "Exempt List" kann jedoch nur verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID benutzt wird. Weitere Informationen betreffend der Benutzung sowie Konfiguration eines externen "Captive Portals" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_externes_.22Captive_Portal.22_konfigurieren.3F]]

[[Datei:Fortinet-1295.jpg]]

Um ein "Captive Portal" innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security captive-portal
# set portal type [auth | auth+disclaimer | disclaimer | email-collect]
# set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
# end
# end

Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" definiert werden. Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich nicht anmelden müssen über das "Captive Portal" dh. diese können sich ohne Authentifizierung und ohne "Captive Portal" sowie "Disclaimer" verbinden! Die "Excempt List" wird folgendermassen konfiguriert:

# config user security-exempt-list
# edit [Name der Liste
# config rule
# edit [Vergebe einen entsprechenden Integer zB 1]
# set description [Bezeichnung der Liste Optional]
# set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
# set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
# end
# end
# end

=== Wie kann ich für eine Forti Access Point SSID ein externes "Captive Portal" konfigurieren? ===

Unter folgenden Artikel sind sind die Möglichkeiten eines "Captive Portals" beschrieben:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]

Wie in diesem Artikel beschrieben, ist es möglich ab FortiOS 5.2.3 ein externes "Captive Portal" zu benutzen anstelle des FortiGate "Captive Portals". Dies sollte dann benutzt werden, wenn das FortiGate "Captive Portal" nicht die HTML/Web Konfiguration zulässt die für das "Captvie Portal" notwendig ist wie zB Dynmaischer Inhalt der Seite usw. da solche Inhalte in den "Replacement Message" Page auf einer FortiGate nicht konfiguriert werden können. Nachfolgend wird gezeigt wie so ein Workflow eines externen "Captive Portal" aussieht:

'''L3 External Web Authentication Workflow'''

[[Datei:Fortinet-1365.jpg]]

In diesem "Workflow" wird ein Beispiel gezeigt im Zusammenhang mit Radius Server dh. zB einem FortiAuthenticator. Dies bedeutet: Ab dem Zeitpunkt "Submit login form (username, password) via a POST method to FGT" werden die entsprechenden Login Informationen zur FortiGate übermittelt und verarbeitet. Ob nun ein Active Directory auf der FortiGate konfiguriert wurde oder Lokale User ist irrelevant dh. Wichtig ist das die entsprechenden Informationen anhand "POST methode" der FortiGate übermittelt werden!

'''Konfiguration der SSID mit der Definition des external Captive Portal"'''

Als Erstes muss eine entsprechende SSID konfiguriert werden. Inerhalb dieser SSID wird das external Captive Portal
gewählt mit dessen IPv4 Adresse sowie URL Path. Ebenso muss eine entsprechende Gruppe definiert werden in der sich
die User befinden oder auf einen zB Radius Server (FortiAuthenticator) verwiesen wird:

[[Datei:Fortinet-1366.jpg]]

Für die definierte Gruppe kann ebenfalls eine "Exempt List" definiert werden. Weitere Informationen wie diese zu
konfigurieren ist siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]

Wenn die Konfiguration der SSID auf der Kommandozeile durchgeführt werden soll benutze folgende Befehle:

# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set ssid [Name der SSID]
# set security captive-portal
# set selected-usergroups [Name der Gruppe für die Authentifizierung]
# set security-exempt-list [Name der "Exempt List"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# set intra-vap-privacy enable
# set local-switching disable
# set external-web [IPv4 Adresse sowie URL Path zum external Captive Portal zB nach unserem Beispiel "192.168.234.51/portal.php"]
# next
# end

Wenn die Option "security-redirect-url" nicht gesetzt ist resp. keine entsprechende URL konfiguriert wurde, wird
die "Orginal Anfrage" des Users ausfgeführt anstelle des "redirect's". Die "Exempt List" Definition erlaubt "ohne
Authentifizerung" auf das externe "Captive Portal" zu zugreifen. Für die Option "security-exempt-list" ist folgendes
auszuführen:

# config user security-exempt-list
# edit [Name der "Exempt List"]
# config rule
# edit 1
# set devices [Name der Devices zB "ip-phone"]
# next
# edit 2
# set srcaddr [Name des Objektes der Source Adressen zB der SSID des "externen" Captive Portals]
# next
# end
# next
# end

Wenn die Option "external-web" nicht gesetzt wird so wird das "Captive Portal" der FortiGate aufgerufen. In der
Option "external-web" muss nicht explizit http oder https aufgeführt werden da http und/oder https über das
folgendende Kommando gesteuert wird:

# config user setting
# set auth-secure-http [disable | enable]
# end

Die Option "auth-secure-http" ist per Standard mit "disable" konfiguriert dh. der User wird der ein "http" Anfrage
ausführt für eine Authentifizierung wird "nicht" auf "https" weitergeleitet (redirect)!

'''Konfiguration der Firewall Policy Rule für den Zugriff auf das externe "Captive Portal"'''

Nun muss eine sogenannte "Walled Garden Policy" erstellt werden. Dies bedeutet folgendes: In der nachfolgend
Firewall Policy Rule wird erlaubt, dass User die verbunden sind mit der SSID des externen "Captive Portals"
sich ohne Authentifizierung zu diesem externen "Captive Portal" verbinden dürfen um eine Authentifizierung
durchzuführen. Die Option "captive-protal-exempt enable" ermöglicht dies obwohl eine SSID konfiguriert ist
mit einer Authentifizierung:

# config firewall address
# edit [Name des Objekts für die IPv4 Adresse des "external" Captive Portal zB "web-portal-192.168.234.51"]
# set subnet 192.168.234.51 255.255.255.255
# next
# end

# config firewall policy
# edit [Vergebe einen entsprechender Integer für die Policy]
# set srcintf [Name der SSID für das "externe" Captive Portal]
# set dstinf [Name des Interface hinter der sich der "externe" Captive Portal befindet]
# set srcaddr "all"
# set dstaddr [Name des Objektes für das "externe" Captive Portal zB "web-portal-192.168.234.51"]
# set action accept
# set schedule "always"
# set service "ALL"
# set caprive-portal-exempt enable
# next
# end

Die Grundkonfiguration für den Zugriff für das externe "Captive Portal" ist nun gegeben. In der SSID wurde das externe "Captive Portal" mit dessen IPv4 Adresse und URL konfiguriert. In unserem Beispiel ist das:

192.168.234.51/portal.php

Das File "portal.php das unser externes "Captive Portal" darstellt, muss nun die entsprechende HTML/PHP Konfiguration beinhalten um den "Method POST" durchzuführen. Nachfolgend ein Beispiel des Inhaltes ein entsprechendes "portal.php":

--------------- portal.php ---------------

<nowiki><?php

define('login', 'login');
define('success', 'auth=success');
define('fail', 'auth=failed');
define('logout', 'logout=ok');

function getLeft($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, 0, $key_pos);
}

function getRight($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, $key_pos);
}

$myqury = $_SERVER['QUERY_STRING'];
$auth_string = 'fgtauth';
$magic = 'magic=';
$needle = '&';
$fgt_post = "post=";

if (stristr($myqury, login)) {
$pos = strpos($myqury, $fgt_post);
if ( $pos > 0 ) {
$start = $pos + strlen($fgt_post);
$fgt_url = substr($myqury, $start);
$post_url = getLeft($fgt_url, $auth_string);
$other_var = getRight($fgt_url, $magic);
$magic_pair = getLeft($other_var, $needle);
$magic_id = substr($magic_pair, strlen($magic));

$pre_act ='<table width="300" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="form1" method="post" action=';
$post_act = '>
<td>
<table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td colspan="3">Test Login</td>
</tr>
<input type="hidden" name="magic" value=';
$post_magic = '>
<tr>
<td width="78">Username</td>
<td width="6">:</td>
<td width="294"><input name="username" type="text" id="username">
</td>
</tr>
<tr>
<td>Password</td>
<td>:</td>
<td><input name="password" type="text" id="password"></td>
</tr>
<tr>
<td> </td>
<td> </td>
<td><input type="submit" name="Submit" value="Login"></td>
</tr>
</table>
</td>
</form>
</tr>
</table>';
$login_form = $pre_act . $post_url . $post_act . $magic_id . $post_magic;
echo $login_form;
} else {
echo "login command without post url";
}
}

$mycmd = strtolower($myqury);

switch($mycmd) {
case success:
echo "here is success page";
break;
case fail:
echo "here is fail page";
break;
case logout:
echo "here is logout page";
break;
}

?></nowiki>

--------------- portal.php ---------------

Der letzte Schritt der Konfiguration der nun vollzogen werden muss, ist was durchgeführt werden soll wenn die Authentifizierung auf dem externen "Captive Portal" erfolgreich durchgeführt wurde. Dabei gibt es zwei Möglichkeiten:

1. In der SSID ist die folgende Option gesetzt:

# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# end

Wenn diese Option benutzt wird so wird der User automatisch nach einer erfolgreichen Authentifizierung zu dieser konfigurierten
"security-redirect-url" weitergeleitet und es benötigt keine zusätzliche Konfiguration!

2. In der SSID ist die Option "security-redirect-url" nicht gesetz:

In so einer Situation wird die Orginal URL benützt die der User zu Beginn benutzt hat. Damit der User nach einer erfolgreichen
Authentifizierung zu dieser orginal URL weitergeleitet wird, muss die entsprechende "Replacement Message" Group konfiguriert
werden. Diese "Replacment Message" Groups arbeiten mit "tags" die dies ermöglichen. Nachfolgend ein Beispiel das für unsere
Konfiguration benützt werden kann:

# config system replacemsg auth "auth-success-page"
set buffer "<html>
<head>
<title>
Firewall Authentication
</title>
</head>
<body>
If JavaScript is not enabled, please
<a href=\"%%AUTH_REDIR_URL%%\">
click here
</a>
to continue.
<script language=\\\"JavaScript\\\">
window.location=\\\"%%AUTH_REDIR_URL%%?usermac=%%USER_MAC%%&apmac=%%AP_MAC%%&apip=%%AP_IP%%&userip=%%USER_IP%%&device_type=%%DEVICE_TYPE%%&continueURL=%%PROTURI%%&portalAddr=%%PORTAL_ADDR%%&redirectURL=%%AUTH_REDIR_URL%%\\\";
</script>
</body>
</html>"
end

Weitere Informationen zu den "Replacement Message" Groups siehe auch nachfolgender Artikel:

[[FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F]]

=== Wie kann ich für einen Forti Access Point Traffic für ein "Captive Portal" ohne Authentifizierung erlauben? ===

Ein User der eine Anfrage für eine bestimmte Domaine/Zieladresse durchführt, wird automatisch beim ersten Aufruf dieser Domain/Zieladresse zum entsprechenden "Captive Portal" - das für die entsprechende SSID konfiguriert wurde - weitergeleitet. Nachdem der User sich korrekt auf dem "Captive Portal" authentifiziert hat, wird die Anfrage des Users für die Domaine ausgeführt. Wenn man nun für eine bestimmte Domaine/Zieladresse keine Authentifizierung über das "Captive Portal" benützen möchte dh. wenn der User diese Domaine/Zieladresse aufruft, wird dieser direkt "ohne Authentifizierung auf dem Captive Portal" direkt zur entsprechender Domaine/Zieladresse weitergeleitet. Um dies zu konfigurieren muss eine bestimmte Policy erstellt werden und in dieser die Option "captive-portal-exempt" aktiviert werden. Diese Option steht ab FortiOS 5.2 zur Verfügung. Um die Konfiguration durchzuführen führe folgendes aus:

'''Erstellen eines Objektes für Domaine die erlaubt werden soll'''

# config firewall address
# edit "also.com"
# set type fqdn
# set fqdn "also.com"
# next
# end

'''Erstellen der Firewall Policy und Aktivierung der Option'''

# config firewall policy
# edit
# set srcintf "[Name der SSID auf dem ein Captive Portal konfiguiert wurde]"
# set dstintf "wan1"
# set srcaddr "all"
# set dstaddr "[Name des Adresss Objektes das wir erstellt haben zB "also.com"]"
# set action accept
# set schedule "always"
# set service "[Gebe den entsprechenden Service an zB HTTP]"
# set captive-portal-exempt enable
# set nat enable
# next
# end

=== Wird für eine Forti Access Point SSID Radius Server Authentifizierung die Funktion "Accounting" unterstützt? ===

Wenn ein zB WPA2-Enterprise Authentifizierung über Radius Server für eine SSID konfiguriert wird so wir Radius "Accounting" ab FortiOS 5.2 unterstützt. Bei der Radius "Accounting" Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IPv4 Adresse sowie Usernamen zum Radius Server übermittelt. Wenn Radius "Accounting" auf dem Radius Server benutzt wird, beginnt nach einer erfolgreichen Authentifizierung eine interne "Zurechnung". Diese interne "Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server, sendet dieser dem zuständigen Device zB der FortiGate eine "Accounting" Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei Wireless HotSpot's wie Swiccom benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt keine Radius Server "Accounting" Funktion. Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:

http://de.wikipedia.org/wiki/RADIUS_(Protokoll)

Um eine Radius Server "Accounting" Funktion seitens FortiGate zu konfigurieren muss folgendes durchgeführt werden:

# config user radius
# edit [Gebe den entsprechenden Namen ein]
# config accounting-server
# edit 1
# set status enable
# set server [IPv4 Adresse des Radius Servers]
# set secret [Definition des Preshared Secrets]
# end
# set acct-interim-interval [Zeitintervall in Sekunden 600 - 86400 Sekunden]
# end

Durch diese Konfigurtion sendet die FortiGate dem Radius Server Update Benachrichtigungen betreffend dem "Accounting" durch die konfigurierte "acct-interim-interval" Funktion! Durch die Konfiguration "acct-interim-interval" wird im Hintergrund auf dem API des Radius Servers folgende Information dem Radius Server gesendet, der dieses API unterstüzen/verstehen muss:

Acct-Interim-Interval=600

=== Wie wird für eine Forti Access Point SSID Authentifizierung einen MAC Filter (802.11x) Konfiguriert? ===

Praktisch jeder Wireless Access Point bietet die Möglichkeit den Zugang zur SSID einzuschränken anhand einer vordefinierten und eingetragener MAC-Adresse (Filter). Eine MAC Adresse (Media Access Control) ist ein 48-Bit lange Adresse im Hexadezimalcode. Jeder Netzwerk basierende Device ist mit einer solchen MAC Adresse ausgestattet und diese wird, um den Datenaustausch zu gewährleisten, über "arp request" zwischen den Devices ausgetauscht. Somit wäre diese MAC Adresse eigentlich eine gute Möglichkeit einen Zugriff einzuschränken jedoch ist folgendes zu berücksichtigen:

Diese MAC Adresse wird nicht durch den Device selber einem Teilnehmer (Device) im Netzwerk weitergegeben sondern über das
Betriebssystem. Somit ist es möglich die Information auf dem Betriebssystem zu verändern dh. manuell die Mac Adresse des
Devices zu verändern. Dies ist auch bekannt als "MAC-Spoofing" (Vorgabe einer fingierten MAC Adresse). Um ein "MAC-Spoofing"
durchzuführen muss man nur den Wireless Traffic sniffen (abhören), denn die Informationen des MAC Adressen Austausch (arp
request) werden "clear-text" übertragen. Somit ist eine reine Authentifizierung basierend auf MAC Adressen absolut nicht zu
empfehlen kann jedoch als zusätzliche Security Implementation konfiguriert werden!

Nichts desto trotz stellt jedoch eine MAC Adressen basierende Authentifizierung eine gute Möglichkeit dar, den Zugriff zusätzlich einzuschränken. Dabei kann zB der DHCP Server der SSID von "assign" auf "block" gesetzt werden. Dadurch vergiebt der DHCP Server nur IPv4 Adressen an Devices die im DHCP Server mit deren MAC Adressen eingetragen sind (MAC Adress Filer + IP Reservation). Im Zusammenhang mit einer WPA/WPA2 Authentifizierung kann somit durch dies Konfiguration eine zusätzliche Sicherheit gewährleisten werden. Zusätzlich kann ebenfalls eine "Device Authentification" durchgeführt werden dh. es werden nur Devices zugelassen wie zB IPhone's. Nachfolgendes Beispiel zeigt eine solche Erweiterung basierend auf MAC Adressen und Device Authentication. Basis dafür ist eine SSID basierend auf einer "wpa-personal" Authentifizierung. Diese Konfiguration kann jedoch mit jeglicher Authentifizierung durchgeführt werden:

'''Erstelle eine neue SSID basierend auf "wpa2-only-personal":'''

# config wireless-controller vap
# edit [Name der entsprechenden SSID zB "only4intern"]
# set vdom "root"
# set ssid [Name der entsprechenden SSID zB "only4intern"]
# set intra-vap-privacy enable
# set security [Setze die entsprechende Security für die SSID zB "wpa2-only-personal"]
# set passphrase [Passwort für die "wpa-personal" Authentifizierung]
# end

'''Konfiguriere das Interface für die SSID:'''

# config system interface
# edit [Name der entsprechenden SSID zB "only4intern"]
# set ip [IPv4 Adresse für das Interface der SSID zB "192.168.3.1 255.255.255.0"]
# set allowaccess ping
# set device-identification enable
# end

'''Definiere für das Interface der SSID eine DHCP Server basierend auf "block":'''

# config system dhcp server
# edit [Definiere einen entsprechenden Integer zB "5"]
# set mac-acl-default-action [Setze den DHCP Server von "assign" auf "block"]
# set dns-service default
# set ntp-service default
# set default-gateway [IPv4 Adresse für Default Gateway zB "192.168.3.1"]
# set interface [Defniere das Interface für diesen DHCP Server zB "only4intern"]
# set timezone-option default
# set netmask [Konfiguriere die Subnet Mask für den IP Range des DHCP Servers zB "255.255.255.0"]
# config ip-range
# edit [Definiere einen entsprechenden Integer zB "0"]
# set start-ip [Definiere die Start IPv4 Adresse des DHCP Servers zB "192.168.3.2"]
# set end-ip [Definiere die End IPv4 Adresse des DHCP Servers zB "192.168.3.254"]
# end
# end

'''Trage eine entsprechende MAC Adresse eines Device für den DHCP Server der SSID ein:'''

# config system dhcp server
# edit [Gebe einen entsprechenden Integer an zB "5"]
# config reserved-address
# edit [Gebe einen entsprechenden Integer an zB "0"]
# set mac [Definiere die entspechende MAC Adresse zB "94:65:9c:74:47:c6"]
# set ip [Definiere die IPv4 Adresse die der MAC Adresse zugewiesen werden soll zB "192.168.3.2"]
# end
# end

Da der DHCP Server von "assign" auf "block" gesetzt wurde, werden keine IPv4 Adressen durch den DHCP Server vergeben mit Ausnahme für Devices die anhand des "MAC Reservation + Access Control" definiert wurden. Diese Konfiguration kann ebenfalls über Mgmt. Web Interface durchgeführt werden für das entsprechenden Interface des FortiGate Devices dh.:

System > Network > [Markiere den Eintrag des Interface der SSID] > Edit > DHCP Server > Advanced > MAC Reservation + Access Control > Create New

Unter dieser Positon existiert ein "Standard Eintrag" dh. "Unknown MAC Adresses Block" der zuständig ist das nur definierten MAC Adressen eine IP zugewiesen wird!

'''Konfiguriere für den DHCP Server der SSID eine Device Authentication:'''

# config user device-access-list
# edit [Gebe einen Namen ein für die "device-access-list" zB "whitelist"]
# set default-action deny
# config device-list
# edit [Gebe einen Integer ein zB "1"]
# set device [Definiere den entsprechenden Device zB "iphone" (Für mehr Infos benütze "?"]
# set action accept
# next
# end
# end

# config system interface
# edit only4intern
# set device-identification enable
# set device-access-list [Konfiguriere die entsprechende "device-access-list" zB "whitelist"]
# next
# end

Ein Device und/oder eine Gruppe von Devices kann ebenfalls manuell definiert werden. Dies ist über Mgmt. Web Interface über folgenden Menüpunkt verfügbar:

User & Device > Device > Device definition > Create New

Weitere Informationen beteffend "config user devcie-access-list" findet man auch unter folgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_die_Device_Identification_Funktion_anhand_einer_Mac_Adresse_einen_Device_blocken_.28802.11x.29.3F]]

Somit kann nur der Device mit der MAC "94:65:9c:74:47:c6" der über ein "IPhone" verfügt und vom DHCP Server die IP Adresse "192.168.3.2" zugewiesen wurde über "wpa2-personal" anhand des entsprechenden "Passwortes" auf die SSID "only4intern" zugreifen. Obwohl eine relativ einfache Security anhand "wpa2-personal" gewählt wurde konnte durch zusätzliche Filter die Security erhöht werden.

== Wireless Health ==

=== Gibt es eine Möglichkeit die Forti Access Points über den FortiGate Wireless Controller zu überwachen (Health Monitor)? ===

Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate anhand SNMP überwachen. Die Möglichkeiten über SNMP die Forti Access Points zu überwachen sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die über den FortiGate Wireless Controller angeschlossenen Forti Access Points über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende "Widgets" für die Uberwachung zur Verfügung:

WiFi Controller > Monitor

[[Datei:Fortinet-796.jpg]]
[[Datei:Fortinet-797.jpg]]

Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

== WIDS ==

=== Was bedeutet die Funktion "WIDS" (Wireless IDS) innerhalb eines WTP Profiles eines Forti Access Points? ===

"Wireless IDS" (WIDS) ist ein Intrusion Detection System und steht ab FortiOS 5.0 zur Verfügung sowie überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten (Log). Wenn ein Angriff stattfindet, wird dieser auf der FortiGate ins Wireless Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen:

• Unauthorized Device Detection
• Rogue/Interfering AP Detection
• Ad-hoc Network Detection and Containment
• Wireless Bridge Detection
• Misconfigured AP Detection
• Weak WEP Detection
• Multi Tenancy Protection
• MAC OUI Checking

Per Standard existiert ein Standard Profil "default". Dieses Profile wird innerhalb eine Access Point WTP Profiles als "default" automatisch unter FortiOS 5.0 ausgewählt! Dies ist jedoch ab FortiOS 5.2 nicht mehr der Fall dh. für die WIDS Funktion wird per Standard kein Profile automatisch ausgewählt. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS 5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet man im nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]

Das "default" Profile für WIDS enthält folgendes:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet1276.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
used-by :
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1

'''FortiOS 5.2'''

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet1277.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : Default WIDS profile.
used-by :
ap-scan : enable
ap-bgscan-period : 600
ap-bgscan-intv : 1
ap-bgscan-duration : 20
ap-bgscan-idle : 0
ap-bgscan-report-intv: 30
ap-bgscan-disable-day:
ap-fgscan-report-intv: 15
ap-scan-passive : disable
rogue-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1

'''FortiOS 5.4'''

WiFi Controller > WIDS Profiles

[[Datei:Fortinet-1696.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
ap-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
deauth-unknown-src-thresh: 10

Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Profile Positionen:

[[Datei:Fortinet-361.jpg]]
[[Datei:Fortinet-362.jpg]]

== Split Tunneling ==

=== Wie konfiguriere ich für eine Forti Access Point SSID die Funktion "Split Tunneling"? ===

Wenn ein Forti Access Point zB für Remote benutzt wird, sei es als Remote Zugang und/oder in der Remote Lokation, konnten bis anhin im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate Wireless Controller gesendet wird. Ab FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet: anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt über die SSID zu erlauben ohne die SSID als "Local bridge with FortiAP's Interface" zu konfigurieren. Diese neue Funktion wird ausdrücklich nur im "Tunnel to Wireless Controller" Mode empfohlen! VLAN's im Zusammenhang mit der "Split Tunneling" Funktion wird nicht unterstützt. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt resp. muss aktiviert werden. Danach muss im entsprechendne WTP Profile des Forti Access Point das "Split Tunneling" konfiguriert werden:

# config wireless-controller vap
# edit [Name des entsprechenden SSID Profiles]
# set split-tunneling enable
# end

# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set dest-ip [IPv4 Adresse plus Subnet Mask zB "192.168.10.0/24"]
# end
# end

Die Option "split-tunneling-acl-local-ap-subent" bezieht sich auf "ganze" Subnet des Forti Access Point und muss nur dann aktiviert werden, wenn das Subnet in dem sich der Forti Access Point befindet als "ganzes" Subnet freigegeben werden soll! Somit wenn nur eine bestimmte IPv4 Adresse freigegeben werden soll, muss diese Option nicht aktiviert werden und die einzelne IPv4 Adressen können unter "dest-ip" definiert werden. Wenn die Funktion des "split-tunneling" benutzt wird ist folgendes zu berücksichtigen: Im Fall eines aktivierten "split-tunnling" wird ein "NAT" (Network Address Translation) durchgeführt dh. der Client der über eine SSID verbunden ist und eine Anfrage an eine IPv4 Adresse die für ein "split-tunneling" konfiguriert ist, wird hinter der Management IPv4 Adresse des Forti Access Point ein Source NAT durchgeführt (Hide behind outgoing Interface). Somit komuniziert der Wireless Client/Host zur Destination IPv4 Adresse als Source IPv4 Adresse diese Management IPv4 Adresse des Forti Access Point und nicht die IPv4 Adresse die dem Wireless Client/Host über die SSID zugewiesen wurde. Die Management IPv4 Adresse des Forti Access Point, ist die IPv4 Adrresse die dem Forti Access Point zugewiesen wird, wenn sich der Forti Access Point zum Forti Wirless Controller verbindet (CAPWAP).

== CAPWAP / DTLS ==

=== Wieviel Bandbreite steht mir über CAPWAP auf einem FortiGate Wireless Controller für Forti Access Points zur Verfügung? ===

Wenn Forti Access Point über den FortiGate Wireless Controller verwaltet werden und dabei SSID benutzt werden im "Tunnel to Wireless Controller" Mode, stellt sich die Frage wieviel Bandbreite für diese Forti Access Point über CAPWAP zur Verfügung steht. Dies bedeutet: Die CAPWAP Bandbreite gibt die maximale Grösse an die eine FortiGate Wireless Controller verarbeiten kann betreffend Forti Access Points Traffic. Somit wird die CAPWAP Grösse nicht pro Forti Access Point berrechnet sondern als Totale Bandbreite die zur Verfügung steht. Neu wird diese CAPWAP Bandbreite in den FortiGate Datasheet's aufgeführt als HTTP was wiederum bedeutet: Um eine Referenz zu erhalten wird die Bandbreite anhand des HTTP Protokolls referenziert. Weitere Informationen siehe nachfolgendes Dokument:

[[Fortinet:ProduktInfo#FortiGate]]

Somit steht diese CAPWAP Bandbreite ebenfalls in Zusamenhang mit den maximal Anzahl Forti Access Points die über einen FortiGate Wireless Controller verwaltet werden können. Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]

Nachfolgend eine Kurzübersicht über diesen "CAPWAP HTTP Throughput" für die Fortinet Produktelinie:

[[Datei:Fortinet-1357.jpg]]

Wenn eine FortiGate Device über einen NP6 verfügt, kann dieser grundsätzlich den Traffic beschleunigen (Acceleration). Jedoch ist diese Funktion unter FortiOS 5.2 deaktiviert und nicht in Benutzung. Ab FortiOS 5.4 wird diese Funktion per Standard aktiviert um somit betreffend CAPWAP eine Beschleunigung zu ermöglichen.

=== Wird der CAPWAP Traffic zwischen einem FortiGate Wireless Controller und Forti Access Pointse verschlüsselt? ===

Der Traffic zwischen dem Ethernet "wan" Interface eines Forti Access Point und dem FortiGate Wireless Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei wird dieser Traffic "encapsulated" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen dem FortiGate Wireless Controller und den Forti Access Point kann die DTLS Verschlüsselung ab FortiOS 5.0 Optional aktiviert werden. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

=== Wie werden Forti Access Point über einen FortiGate Wireless Controller verwaltet/konfiguriert (CAPWAP)? ===

Der Standard der benutzt wird um die Forti Access Point über einen Fortigate Wireless Controller zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:

http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol

Die Ports die benutzt werden für CAPWAP sind per Standard:

UDP 5246 und 5247

Ab FortiOS 5.0.3 kann die CAPWAP Funktion auf den jeweiliegen FortiGate Interfaces über die "Administrative Access" Funktion aktiviert und deaktiviert werden.

System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP

Durch die Aktivierung von CAPWAP auf einem FortiGate Interface wird im Hintergrund eine automatische "Local-In" Policy konfiguriert, die den Traffic von CAPWAP vom Segment gemäss der Konfiguration des Interfaces und auf die IPv4 Adresse des FortiGate Interfaces zulässt. Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend dh. Anhand Zertifikate auf dem FortiGate Wireless Controller sowie auf dem Forti Access Point! Per Standard ist der "Data Channel" der durch die Wireless Clients/Hosts benutzen wird um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion auf dem FortiGate Wireless Controller aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Wenn es betreffend Wireless Clients/Hosts im Zusammenhang mit DTLS Verschlüsselung zu Performance Problemen kommt, die zurück zu führen sind auf Defragmentierung, gibt folgender Artikel Auskunft was getan werden kann:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]

Wenn DTLS Verschlüsselung aktiviert wird so wird empfohlen den oberen Artikel zu berücksichtigen und die Konfiguration zur Verhinderung einer Fragmentierung durchzuführen!

=== Wie konfiguriere ich für ein Forti Access Point WTP Profile eine "Data Channel Encryption" (DTLS)? ===

DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic der Wireless Clients/Hosts, der vom Forti Access Point "wan" Interface zum FortiGate Wireless Controller übermittelt wird, innerhalb CAPWAP als "Data Channel" zu verschlüsseln. Somti wird der "Data Channel" "encapsulated" im CAPWAP. Per Standard wird dieser Traffic nicht verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen, dasd beide Seiten dh. der FortiGate Wireless Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert. Ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate Wireless Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance, die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate Wireless Controller die Funktion gesteuert werden. Wenn auf dem FortiGate Wireless Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funktion "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn die "automatic" Funktion (kein WTP Profile) die ab FortiOS 5.0 zur Verfügung steht benutzt wird, kann nur "clear-text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren führe folgendes durch:

'''Auf dem FortiGate Wireless Controller:'''

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end

'''Auf dem FortiAP:'''

# cfg -a AC_DATA_CHAN_SEC=1
# cfg -c

Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:

• 0 is Clear Text
• 1 is DTLS Enabled
• 2 is Clear T ext or DTLS Enabled (default)

Unter FortiOS 5.4 gibt es für DTLS eine zusätzliche Option um DTLS direkt im Kernel zu aktivieren dh. da DTLS im Kernel direkt aktiviert ist, wird die Funktion Perfomanter resp. schneller da die Funktion für DTLS direkt im Memory über den Kernel durchgeführt wird. Um diese Funktion zu aktivieren benutze folgendes CLI Kommando:

'''Auf dem FortiGate Wireless Controller:'''

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-in-kernel [enable | disable]
# end

Die Konfiguration auf dem Forti Access Point solle untern normalen Umständen nicht verändert werden da die Standard Konfgiguration "AC_DATA_CHAN_SEC=2" ist was wiederum bedeutet: Der Forti Access Point akzeptiert "clear-text" und/oder "dtls". Dies bedeutet wiederum die Funktion der DTLS Verschlüsselung kann über den FortiGate Wireless Controller gesteuert werden und muss auf dem Forti Access Pont nicht konfiguriert werden da dieser beide Methoden anbietet. Ebenfalls ist es für ein Troubleshooting möglich die Funktion ohne die Konfiguration zu ändern vorübergehend zu deaktivieren. Weitere Informationen dazu siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_die_DTLS_Funktion_f.C3.BCr_ein_Troubleshooting_vor.C3.BCbergehend_deaktivieren.3F]]

=== Wie kann ich für einen Forti Access Point innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern? ===

Die MTU Size auf den meisten Betriebsystemen ist auf max MTU Size 1500 gesetzt. Dieser Wert stellt eher ein suboptimalen Wert dar dh. wenn ein Wireless Client/Host ein grosses Packet über ein Forti Access Point sendet verfügt dieses Packet über eine max. MTU Size von 1500. Da dieses Packet auf dem Forti Access Point verschlüsselt werden muss, um über den CAPWAP Tunnel versendet zu werden, muessen Informationen zum 1500 MTU Size grossen Packet hinzugefügt werden. Geschieht dies, kann dieses Packet nicht mehr in einem Packet versendet werden da die Grösse max MTU Size 1500 übersteigt. Somit müssen in dieser Situation zwei Packete versendet werden. Dies stellt eine Defragmentierung dar und beieinträchtigt die Performance da anstelle eines Packets zwei Packete versendet werden müssen. Unter normalen Umständen geschieht dies nicht auf den Forti Access Point zurück zuführen auf den "overhead" des CAPWAP Tunnels da diese Information sehr klein sind. Wird jedoch DTLS Verschlüsselung aktiviert, muss diese Information auf dem Forti Access Point ebenfalls zu den existierendnen Headers hinzugefügt werden und dabei kommt es mit ziemlich grosser Sicherheit zu einer Fragmentierung. Die DTLS Strucktur sieht folgendermassen aus:

'''DTLS Packet Structure and Fields'''

I’ve been digging into the DTLS packet structure, looking for free bytes for some security related ideas I have been playing with.
This following is the DTLS packet structure:
| Type | Version | Epoch | Sequence Number | Length | IV | Data | MAC | Padding |
Type = (1 byte), Version (2 byte)
Epoch is incremented each rekey (2 byte)
Seq Num incremented per packet (6 byte)
Epoch + sequence number = IV for MAC
Length (2 byte) = IV + MAC + Padding
IV = Initial Vector = randomizer / seed used by encryption
Encrypted section: Data, MAC, Padding
MAC uses epoch and seq number for its sequence number (similar to an IV)
Padding added to get block size for crypto (16 or AES, 8 for DES)

Aus diesem Grund wird empfohlen im Zusammehang mit DTLS Verschlüsselung die nachfolgend Konfiguration durchzuführen. Durch diese nachfolgende Konfiguration wird der Wireless Client/Host angewiesen kleinere Packete zu versenden (max. transmission unit) anstelle der max. MTU Size 1500 um einen Fragementierung durch zusätzlich hinzugefügte TCP Header Informationen zu verhindern. Dabei ist folgendes zu berücksichtigen: Die Grösse der MTU Size hängt von der Punkt zu Punkt Verbindung ab dh. eine MTU Size wird immer über Punkt zu Punkt Verbindung verifiziert dh. Wenn die MTU Size auf zB 1442 gesetzt ist und der CAPWAP Tunnel wird zu einem FortiGate wan1 Interface aufgebaut und dieses ist auf 1462 gesetzt kommt es unweigerlich zur Fragementierung. Dies bedeutet ebenfalls die MTU Size Grösse unterliegt in erster Linie dem kleinsten Wert in einer Punkt zu Punkt Verbindung. Auf dem Forti Access Point dürfen somit nicht grössere Packete als der kleinste Wert in der Punkt zu Punkt Verbindung übermittelt werden. Somit ergiebt sich für den MTU Wert für einen Forti Access Point:

[Kleinster Wert der Punkt zu Punkt Verbindung] Minus [DTLS Crypto Packet Size] = [Wert für "ip-fragment-preventing"]

Für die Option "ip-fragment-preventing" stehen zwei Optionen zur Verfügung dh. "tcp-mss-adjust" oder "icmp-unreachable". Dabei ist folgendes zur berücksichtigen. Die Option "tcp-mss-adjust" ist eine Funktion (1 bit) innerhalb eines TCP Headers. Somit wird durch "tcp-mss-adjust" ausschliesslich TCP unterstützt und nicht UDP. Aus diesem Grund empfehlen wir "icmp-unreachable" da diese Funktion TCP und UDP unterschtützt. Die Funktion "ip-fragment-preventing" kann folgendermassen konfiguriert werden:

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profile]
# set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
# set tun-mtu-uplink [0 | 576 | 1500]
# set tun-mtu-downlink [0 | 576 | 1500]
# end
# end

'''tcp-mss-adjust'''
Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS)
zu senden. Der Forti Access Point fügt dem "SYN" TCP Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
und somit kann der Forti Access Point den Overhead des CAPWAP/DTLS hinzufügen und eine Fragmentierung verhindern.

'''icmp-unreachable'''
Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der Forti
Access Point Packete verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
Wenn dies eintrifft, sendet der Forti Access Point ein Packet zum Wireless Controller:

Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"

Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.

'''tun-mtu-uplink'''
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

'''tun-mtu-downlink'''
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

=== Wie kann ich für einen Forti Access Point die DTLS Funktion für ein Troubleshooting vorübergehend deaktivieren? ===

Die DTLS Funktion dh. "Data Channel Encryption" wird im entsprechenden WTP Profile eines Forti Access Point aktiviert resp. deaktiviert. Da auf dem Forti Access Point die DTLS Funktion auf "clear-text und "DTLS" zur Verfügung steht, kann die Funktion über den FortiGate Wireless Controller gesteuert resp. konfiguriert werden dh. im entsprechenden WTP Profile aktiviert und/oder deaktiviert werden. Wenn aus irgendwelchen Gründen dies nicht möglich ist und die Funktion nur vorübergehend deaktiviert werden soll, kann dies über "diagnose wireless" Funktion für einen entsprechenden Forti Access Point durchgeführt werden. Dazu muss folgendes ausgeführt werden:

'''Liste alle Forti Access Points auf dem FortiGate Wirless Controller auf:'''

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

'''Aktiviere vorübergehend die "plain-ctl" Funktion (DTLS deaktiviert) auf einem entsprechenden Forti Access Point:'''

# diagnose wireless wlac plain-ctl FAP21D3U14000144 1

WTP 0-FAP21D3U14000144 Plain Control: '''enabled'''

Wenn die Option "1" benutzt wird so wird auf dem FortiGate Wireless Controller die Funktion "Plain Control" aktiviert. Wenn nachträglich die Option "0" benutzt wird so wird die "Plain Control" wiederum deaktiviert! Ebenso kann die Funktion "plain-ctl" Lokal auf dem Forti Access Point über "telnet" aktiviert resp. deaktiviert werden. Nachfolgender Artikel gibt Auskunft wie man Zugriff über "telnet" auf einen Forti Access Point erlangt:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

'''Aktiviere dei "plain-ctl" Funktion auf dem Forti Access Point:'''

Nachdem einloggen kann folgendes Kommando Lokal auf dem Forti Access Point eingegeben werden um die "plain-ctl" Funktion zu aktivieren:

# cw_diag plain-ctl 1

'''Nachdem Troubleshooting deaktiviere die "plain-ctl" Funktion (DTL aktiviert) auf einem entsprechenden Forti Access Point:'''

# diagnose wireless wlac plain-ctl FAP21D3U14000144 0

WTP 0-FAP21D3U14000144 Plain Control: '''disabled'''

Ebenfalls muss auf dem entsprechenden Forti Access Point die "plain-ctl" Funktion deaktiviert werden:

# cw_diag plain-ctl 0

Weitere Informationen zur Funktion DTLS siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

== Channel ==

=== Welche Radio "channel" muss ich auf dem Forti Access Point für verschiedenen Ländern benutzen? ===

Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:

[[Datei:Fortinet-304.jpg]]

Für den 5 GHz "channel" ist dabei der DFS (Dynamic Frequency Selection) Support der einzelnen Forti Access Points zur Verfügung steht zu berücksichtigen! Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

[[Datei:Fortinet-305.jpg]]

[[Datei:Fortinet-306.jpg]]

=== Was bedeutet es wenn ein Forti Access Point über den DFS (Dynamic Frequency Selection) Support verfügt? ===

Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden und zwar so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Dadurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar nur auf spezifischen Fortinet Modellen wie:

• FAP-221B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-222C Ab FortiOS 5.2.3 und nur für "European Union"
• FAP-320B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-321C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-323C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S422E Ab FortiOS 5.4.2 und nur für "European Union"

[[Datei:Fortinet-843.jpg]]

[[Datei:DFS_Europe.pdf]]

Grundsätzlich gilt folgendes:

'''Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:'''

UNI1 : 4 Kanäle
UNI2 : 4 Kanäle
UNI2e : 7 Kanäle
UNI3 : 4 Kanäle

'''Für die Schweiz gilt:'''

Indoor: Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
Channels: 36 40 44 48 52'''*''' 56'''*''' 60'''*''' 64'''*''' 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''

'''*''' Nur mit DFS Support!

Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
Channels: 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''

'''*''' Nur mit DFS Support!

Somit gilt als komplett Uebersicht im 2.4 GHz und 5 GHz Bereich Folgendes:

• WLAN 2.4 GHz nach dem Standart IEEE 802.11b/g darf auf den Kanälen '''1-13''' mit einer Leistung von
100 mW EIRP '''innerhalb und ausserhalb''' von Gebäuden betrieben werden.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''34-48''' mit einer Sendeleistung
von 200mW EIRP '''nur innerhalb''' von Gebäuden betrieben werden.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''52-64''' mit einer Sendeleistung
von 200mW EIRP (100mW ohne TPC) '''nur innerhalb''' von Gebäuden betrieben werden. DFS muss
aktiviert sein.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''100-140''' mit einer Sendeleistung
von 1W EIRP (500mW ohne TPC) '''innerhalb und ausserhalb''' von Gebäuden betrieben werden. DFS
muss aktiviert sein.

Weitere technische Informationen zum DFS findet man auch unter folgenden Link:

http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
http://en.wikipedia.org/wiki/List_of_WLAN_channels

http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de

=== Was bedeutet "overlapping wifi channels" für einen Radio eines Forti Access Point Konfiguration? ===

Wireless Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channel) genannt. Einer der Gründe, dass eine Verbindung Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird durch andere Forti Access Points oder fremde Access Poinst. Dadurch wird die Verbindung und schlussendlich die Performance beeinträchtigt. Aus diesem Grund sollte man dieses "overlapping" möglichst verhindern. Nachhfolgend eine Abbildung für den 2.4 GHz sowie 5 GHz Bereich der die verschiedenen Kanäle aufzeigt und dadurch entstehendes "overlapping":

[[Datei:Fortinet-330.jpg]]

Um herauszufinden welchen Kanal in der Umgebung verwendet wird durch eigenen Forti Access Point oder fremde Access Points, kann der Monitor auf dem FortiGate Wireless Controller benutzt werden. Siehe auch:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]
[[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]

Dies bedeutet: man setzt einen "radio" auf einem Forti Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Somit muss in erster Stelle die Umgebung kurz analysiert werden um festzustellen welche Kanäle bereits benutzt werden. Danach kann im entsprechednen WTP Profile die entsprechenden Kanäle speziell im 2.4 GHz Bereich ausgewählt werden. Alle Kanäle zB im 2.4 GHz Bereich zu aktivieren und "Radio Resource Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar das "Radio Resource Provisioning" (DARRP) in jedem Fall zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zum "Radio Resource Provisioning" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Desweiteren ist folgendes zu berücksichtigen: Wird eine Umgebung mit mehreren Forti Access Points aufgebaut ist es nicht zu empfehlen für alle Forti Access Points obwohl es sich um die gleichen Modelle handelt das gleiche WTP Profile zu benutzen. Wenn dies dennoch konfiguriert wird und der FortiGate Wireless Controller bemerkt ein "overlapping" wird da alle Forti Access Point das gleiche WTP Profile benutzen für alle den Kanal gewechselt. Damit sollten logisch gesehen für eine Umgebung mit mehreren Forti Access Point diese anhand mehrerer WTP Profiles betrieben werden. Konkret bedeutet dies folgendes: Muss eine Umgebung aufgebaut werden in einem Gebäude zB 3 Stockwerke sollten für jedes Stockwern mind ein WTP Profile konfiguriert werden mit unterschiedlichen Kanälen. Zustätzlich sollte analysiert werden ob die einzelnen Forti Access Points in den einzelnen Stockwerken oder über die einzelnen Stockwerke hinweg sich sehen. Ist dies der Fall sollte auch hier einzelne WTP Profiles konfiguriert werden. Dies kann mit einem einfachen Trick bewerkstelligt werden. Ueber Mgmt. Web Interface oder über CLI konfiguriere ein entsprechendes WTP Profile. Nach der Konfiguration führe auf der CLI folgendes aus:

# show wirless-controller wtp-profile [Name des konfigurierten WTP Profiles]

Danach wird als Beispiel folgendes ausgegeben auf der CLI:

config wireless-controller wtp-profile
edit "FAP-1-Stock-Rechts"
set comment "FortiAccess Point FAP221C Stock 1 Rechts"
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "3" "8" "13"
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end

Nun kopiere den "output" in ein Text File und ändere folgende Position ab:

config wireless-controller wtp-profile
edit '''"FAP-1-Stock-Links"'''
set comment '''"FortiAccess Point FAP221C Stock 1 Links"'''
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel '''"1" "6" "11"'''
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end

Führe dies durch führ jedes WTP Profile resp. Forti Access Point. Danach kann der "output" wiederum 1:1 per copy/paste in die CLI des FortiGate Devices reinkopiert werden. Nun als letzten Schritt muss nur noch das entsprechende WTP Profile dem entsprechenden Forti Access Point zugewiesen werden. Somit verfügt jeder Forti Access Point über sein eigenes kontrollierbares und konfigurierbares WTP Profile und kann bei Problemen angepasst werden. Diese granulare Konfiguratin gewährleistet eine optimale Konfiguration und dauert einige Minuten die zu vernachlässigen sind.

=== Wie kann ich auf einem Forti Access Point herausfinden welche "channel" ich benutzen soll um "overlapping" zu verhindern? ===

Wenn ein Forti Access Point eigerichtet wird, müssen die "channel" (Kanäle) speziell im 2.4 GHz Bereich definiert/konfiguriert werden. Dazu stehen in der Schweiz 13 Kanäle für den 2.4 GHz Bereich zur Verfügung. Alle Kanäle zu selektieren sowie "Radio Resource Provisioning" (DARRP) wäre die falsche Vorgehensweise da es so gezwungenermassen zu Problemen kommt sowie zu einem "ovelapping wifi channels"t. Weitere Informationen zu den Länderspezifischen Channels sowie "Radio Resource Provisioning" siehe folgende Artikel:

[[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
[[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Daher benötigt es speziell im 2.4 GHz Bereich eine Analyse der bereits benutzten "channel" in der Umgebung. Dies kann über die "dedicated monitoring" Analysiert werden. Eine weitere Variante wäre auf einem Client/Host die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:

[[FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F]]

Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhelfen dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" aufgelistet. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese "channel" aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden die im WTP Profile konfiguriert werden:

# get wireless-controller rf-analysis
WTP: FAP14C3X13000543 0-193.193.135.70:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 90 7 6 11
2 45 10 0 11
3 127 4 2 11
4 33 10 0 11
5 38 10 3 16
6 19 10 0 10
7 23 10 0 10
8 45 10 0 8
9 192 1 5 16
10 57 9 0 13
11 46 10 0 13
12 63 9 0 13
13 231 1 8 13
14 53 10 0 8

WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2

Controller: FGT60D4613048017-0
channel rssi_total
1 243
2 136
3 397
4 109
5 114
6 52
7 56
8 95
9 406
10 125
11 108
12 152
13 560
14 132
40 216
44 30
48 70

Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen "channel" mindestens 4 freizulassen. Dies wäre Optimal kann jedoch nicht immer speziell im 2.4 GHz Bereich konfiguriert werden. Es kann auch anhand der "wtp-id" (Serien Nummer) nur ein spezifischer Forti Access Point aufgelistet werden:

# get wireless-controller rf-analysis FAP22B3U11011877

WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2

Desweiteren kann mit folgenden Befehl alle Fortti Access Point's augelistet werden, die durch den Scan erkannt werden:

# get wireless-controller scan
CMWF VF SSID BSSID CHAN RATE SIGNAL NOISE INT CAPS ACT LIVE AGE WIRED
(dBm) (dBm)
UNNN 0 00:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336613 52253 ? WME VEN VEN ATH
UNNN 0 12:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 22:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 32:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336763 52252 ? WME VEN VEN ATH
UNNN 0 42:09:0f:95:30:f0 8 11M -90 -95 100 ESs N 336618 52253 ? WME VEN VEN ATH
UNNN 0 4ourguests 58:97:1e:b3:4c:70 9 216M -45 -95 102 ESs Y 343847 203 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:71 9 216M -57 -95 102 ESs N 343847 1146 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:72 9 54M -57 -95 102 EPSs N 343847 1144 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:74 9 54M -42 -95 102 EPSs Y 343847 548 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:75 9 54M -59 -95 102 EPSs Y 343847 544 ? RSN VEN VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:76 9 216M -44 -95 102 EPSs Y 343847 203 ? RSN WPA WME VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:79 48 450M -60 -95 102 EP Y 343830 811 ? RSN WPA WME VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7a 48 54M -60 -95 102 EP N 342030 9211 ? RSN VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7b 48 54M -60 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7d 48 54M -59 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7e 48 450M -59 -95 102 E Y 340230 811 ? WME VEN VEN VEN VEN

=== Gibt es eine Möglichkeit alle Access Points aufzulisten für die ein "overlapping channel" stattfindet (Interfering AP's)? ===

Wenn Forti Access Points speziell im 2.4 GHz Bereich installiert werden, muss darauf geachtet werden, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfinden. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:

[[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]

Um die Konfiguration der Forti Access Points nachträglich zu kontrollieren, gibt es über folgende Position die Möglichkeit event. "overlapping channel" resp. Interferenzen zu kontrollieren:

WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)

Diese Widget zeigt auf ob durch den FortiGate Wireless Controller event. "overlapping channel" (Interferenze) bestehen. Siehe auch:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Dies wird in den "Widget" unter der folgender Position aufgeführt:

[[Datei:Fortinet-1090.jpg]]

[[Datei:Fortinet-1091.jpg]]

Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:

[[Datei:Fortinet-1092.jpg]]

Wird ein entsprechende Position unter "Interfering AP's" angewählt, sieht man die Details wie "MAC Adresse des AP's, SSID, benutzter Channel und Signalstärke". Dabei ist die Signalstärke korrekt einzuschätzen dh. Auch wenn ein "overlapping channel" stattfindet jedoch die Signalstärke des Access Points schlecht ist, sind die Interferenzen zu vernachlässigen:

[[Datei:Fortinet-1093.jpg]]

Es ist je nach Anzahl der Access Points nicht immer möglich "overlapping channel" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Wireless Clients/Host den 5 GHz Bereich unterstützen, sollte der 2.4 GHz Bereich gemieden werden! Dies wird auf modernen Devices automatisch vollzogen dh. zB ein IPhone unterstützt 2.4 GHz sowie 5 GHz jedoch benützt sofern irgendwie möglich nur 5 GHz!

== Site Survey ==

=== Gibt es eine Möglichkeit anhand eines Forti Access Point ohne FortiGate Wireless Controller die Wireless Abdeckung zu testen? ===

Diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort für einen "Site Survey" einzusetzen und dies ohne FortiGate Wireless Controller. Wenn eine grössere Umgebung mit Forti Access Point ausgerüstet werden soll, muss festgestellt werden wieviele Forti Access Points benötigt werden sowie wo diese installiert werden sollen um eine möglichst gute Abedeckung zu erzielen. Die "Site Survey" Funktion eines Forti Access Point ermöglicht eine definierte SSID auf einem Forti Access Point lokal zu diesem Zweck zu konfigurieren und zu betreiben. Anhand eines Tools auf einem Client/Host zB SSIDer kann nachträglich Vorort die Abedeckung anhand dieser SSID kontrolliert und somit den idealen Standort für den Forti Access Point herausgefunden werden. Diese Funktion des "Site Survey" kann mit jedem Forti Access Point durchgeführt werden, jedoch ist der FAP-221B/FAP-223B sowie FAP-221C/FAP-223C zu empfehlen. Wenn ein Forti Access Point benützt wird für ein "Site Survey" muss berücksichtigt werden, das zB ein FAP-221B/C sowie FAP-223B/C über keinen mitgelieferten Power Adapter verfügt sondern über PoE betrieben werden. Die Power Adapter für diese Modelle können jedoch seperat bestellt werden. Weitere Informationen dazu siehe nachfolgeden Artikel:

[[FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_Forti_Access_Point_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]

Um auf einem Forti Access Point lokal über CLI eine SSID für "Site Survey" zu konfigurieren führe folgendes aus:

1. Verbinde den Forti Access Point mit einem Client/Host über die Ethernet Interface's; Konfiguriere auf der Ethernet
Schnittstelle des Client/Host folgende IPv4 Adresse:

192.168.1.1/24 (Kein Gateway, Kein DNS)

2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface
folgende IPv4 Adresse konfiguriert:

192.168.1.2/24

Weitere Informationen zu "default" IPv4 Adresse eines Forti Access Point siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

3. Verbinde dich per "telnet" auf die IPv4 Adresse des Forti Access Point:

> telnet 192.168.1.2

4. Aktiviere den entsprechenden "Site Survey" Mode auf dem Forti Access Point anhand folgenden Befehls:

# cfg –a AP_MODE=2
# cfg -c

AP_MODE=2 bedeutet "Site Survey". Per Standard ist konfiguriert 0"Thin AP"! Weitere Informationen findet
man ebenfalls unter folgenden Artikel:

[[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]

5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!

6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann
nun die Abedeckung Vorort mit einem Tool wie zB SSIDer überprüft werden!

7. Soll die SSID oder andere Werte für die SSID im "Survey Mode" angepasst werden stehen folgende Einstellungen
zur Verfügung:

• SURVEY_SSID='FAP_SURVEY' --> Diese Option vergibt den Namen für die SSID im "Site Survey" Mode.
• SURVEY_TX_POWER=30 --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige Forti Access Points gilt ein Maximum von 17dBm.
• SURVEY_CH_24=6 --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
• SURVEY_CH_50=36 --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
• SURVEY_BEACON_INTV --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.

Wenn die Werte für "Site Survey" konfiguriert werden müssen diese folgendermassen konfiguriert werden:

# cfg -a [Entsprechende Option mit deren Wert]
# cfg -c

8. Nach einem "Site Survey" ist es empfohlen den Forti Access Point wieder auf Factory Default zu setzen. Dies
wird folgendermassen durchgeführt:

# cfg -x

oder

# factoryreset
# reboot

== Konfiguration ==

=== Was bedeutet der Konfigurationspunkt "security" (Security Mode) innerhalb einer SSID Konfiguration? ===

Für einen SSID auf einem Forti Access Point können verschiedenen Security Mode benutzt werden dh. zB WPA2 Enterprise. Die üblichen Security Mode's können über das Mgmt. Web Interface konfiguriert werden:

• Open
• Captive Portal
• WPA2 Personal
• WPA2 Personal with Captive Portal
• WPA2 Enterprise

Ueber CLI stehen jedoch weitere Security Mode zur Verfügung:

'''FortiOS 5.0'''
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
# end

'''FortiOS 5.2/5.4'''
# config wireless-controller vap
# edit [Name des SSID Profile]
# set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
# end

Zusätzlich kann über CLI die Encryption für den Security Mode gesetzt werden sofern WPA benutzt wird. Per Standard wird für WPA die AES Encryption benutzt. Ebenso kann der Key Interface anhand "gtk-rekey-intv" gesetzt werden. Dieser ist per Standard auf 3600 gesetzt:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set encrypt [AES | TKIP | TKIP-AES]
# set gtk-rekey-intv [Intervall in Sekunden von 60 bis 864000; Standard 3600]
# end

Wenn zB für WEP ein Key definiert werden muss dh. das Passwort ist in den meisten Fällen 1 Passwort zu setzen. Einige Wireless Clients/Hosts dh. Treiber und Software unterstützen die Defintion von mehreren Key's. Wenn dies der Fall ist können mehrer Passwörter definiert werden und somit muss der "keyindex" erweitert werden mit der Anzahl zu definierenden Passwörter:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# keyindex [1 | 2 | 3 | 4]
# end

=== Was bedeutet der Konfigurationspunkt "schedule" innerhalb einer SSID Konfiguration? ===

Bis anhin unter FortiOS 5.0 sowie 5.2 war es nicht möglich eine SSID Zeitgesteuert zu aktivieren/deaktivieren. Neu unter FortiOS 5.4 ist dies nun möglich. Per Standard stehen alle konfigurierten SSID auf dem "schedule" Objekt "always". Möchte man Zeitgesteuert eine SSID aktivieren/deaktivieren, muss vorgängig ein "Schedule" Objekt erstellt werden, dass nachträglich unter der SSID konfiguriert werden kann. Ein "Schedule" Objekt wird unter folgender Position konfiguriert:

Policy & Objects > Schedules > Create New > Schedule

Danach kann anhand "Recurring" (Wiederholend), "Days" (Tagen) sowie einer "Start Time" und "Stop Time" ein "Schedule" Objekt erstellt werden. Ein zeitgesteuertes Objekt basierend auf "Schedule Group" kann nicht innerhalb einer SSID konfiguriert werden. Nachträglich kann das "Schedule" Objekt innerhalb der SSID konfiguriert werden. Dazu wähle im Mgmt. Web Interface folgendes:

WiFi Controller > SSID > Schedule > [Wähle das entsprechende "Schedule" Objekt]

Wenn ein "Schedule" Objekt auf CLI konfiguriert werden soll und dieses nachträglich ebenfalls auf CLI für die entsprechende SSID konfiguriert werden soll führe folgendes aus:

# config firewall schedule [recurring | onetime]
# edit [Name des entsprechenden "Schedule" Objekt zB "daily-0800-1700-business-hour"]
# set start [Gebe die Start Zeit ein zB "08:00"]
# set end [Gebe die End Zeit ein zB "17:30"]
# set day [Gebe die entsprechenden Tage ein für den "Schedule"; monday | tuesday | wednesday | thursday | friday | saturday | sunday]
# end

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set schedule [Wähle das entsprechende "schedule" Objekt; Standard "always"]
# end

=== Was bedeutet der Konfigurationspunkt "Override Settings/Automatic" innerhalb einer Forti Acces Point Konfiguration? ===

Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes WTP Profile zu zuweisen. Dies bedeutet: In diesem WTP Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses WTP Profile, das auf den entsprechenden Forti Access Point abgestimmt is, wird nach dessen Erstellung dem Forti Access Point über "Managed FortiAPs" zugewiesen. Ab FortiOS 5.0 ist es möglich anstelle dieses WTP Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende WTP Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:

[[Datei:Fortinet-333.jpg]]

Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt:

# config wireless-controller wtp
# edit [Name/Serien Nr. des entsprechenden Profiles]
# set override-profile enable
# end
# end

Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:

[[Datei:Fortinet-1291.jpg]]

=== Was bedeutet der Konfigurationspunkt "Scan Outgoing Connections to Botnet Sites" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt unter FortiOS 5.4 ist nicht Wireless Spezifisch sondern steht jedem FortiGate Interface zur Verfügung. Weitere Informationen zu dieser Funktion siehe nachfolgender Artikel:

[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_Verbindungen_zu_.22botnet.22_Servern_blocken_oder_.C3.BCberwachen.3F]]

=== Was bedeutet der Konfigurationspunkt "Active Scanning" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt steht im Zusammenhang mit "Network Devices" resp. "Device Detection" und steht nur unter FortiOS 5.4 zur verfügung. Wenn "Device Detection" aktiviert wird und diese Funktion der "Device Detection" kann einen entsprechenden Device nicht identifizieren, wird dieser anhand "Active Scanning" Passive gescannt. Dabei wird die gleiche Technik angewandt wie in einem "vulnaribility scan". Diese Funktion wird auf allen Devices die "vulnerability scan" unterstützen per Standard aktiviert. Wir empfehlen im Wireless Bereich zwar die "Device Detection" zu aktivieren jedoch das "Active Scanning" per Standard zu deaktvieren sowie diese Funktion nur punktuell zu benutzen. Um die Funktion "Active Scanning" zu benutze muss "Device Detection" zuerst aktiviert werden. Dies kann im Mgmt. Web Interface durchgeführt werden für die entsprechende SSID oder über CLI:

WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Active Scanning

# config system interface
# edit [Gebe das entsprechende Interface an zB "dmz"]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end

=== Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind, können die User sofern "Block Intra-SSID Traffic" deaktiviert ist, nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke, von einem Device im selben Segment/IP Range (SSID). Dies gilt bis 5.4.0 ausschliesslich für "Tunnel To Wireless Controller" basierende SSID und nicht für "Local bridge with FortiAP's Interface". Ab FortiGate/FortiAP FortiOS 5.4.1 gilt dies für beide Modes dh. auch für "Local bridge with FortiAP's Interface". Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Forti Access Point resp. SSID komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:

'''Block Intra-SSID Traffic Aktiviert'''

# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy enable
# set local-switching disable
# end

'''Block Intra-SSID Traffic Deaktiviert'''

# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy disable
# set local-switching enable
# end

=== Was bedeutet der Konfigurationspunkt "Broadcast SSID" innerhalb einer SSID Konfiguration? ===

Wenn auf einem Forti Access Point eine SSID konfiguriert wird so wird diese per Standard über Broadcast mitgeteilt. Dies erlaubt dem Wireless Host/Client diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn der Broadcast der SSID unterbunden werden soll, kann dies für FortiOS 5.4 über Mgmt. Web Interface konfiguriert werden oder für FortiOS 5.0 sowie 5.2 in der CLI:

WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Broadcast SSID

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set broadcast-ssid [enable | disable]
# end

Die ebenfalls existierende Option "broadcast-suppress" unter der SSID resp. "wireless-controller vap" steht nicht im Zusammenhang mit der Option "broadcast-ssid". Die Option "broadcast-suppress" verhindert das ARP und/oder DHCP Broadcassts nicht zu den Forti Access Point's versendet werden die über die gleiche SSID verfügen resp. konfiguriert haben! Weitere Informationen zu "broadcast-suppress" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]

=== Was bedeutet der Konfigurationspunkt "fast-roaming" innerhalb einer SSID Konfiguration? ===

Wenn Wireless Clients/Hosts sich in einem Wireless Netzwerk befinden/verbunden sind speziell zB mit Mobile Devices, kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen sich in Reichweite befindenden Forti Access Point wieder verbunden. Dadurch wird eine erneute Authentifizierung ausgelöst. Möchte man diese erneute Authentifikation verhindern so muss "fast-roaming" aktiviert werden was auf jeder SSID eines Forti Access Point der Fall ist. "fast-roaming" benützt 2 Unterschiedliche Techniken:

'''• Pairwise Master Key (PMK) Caching'''
Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im Cache abgelegt wird der mit dem ersten Access Point mit dem sich der
User zu Beginn verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch bekannt als "fast roam back"!

'''• Pre-authentication oder "fast-associate in advance"'''
Aktiviert einen 802.11 Access Point der mit einem Client/Host verbunden ist um den verbundenen Client/Host auf eventuell weiteren Access Points
zu authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen weiteren Access Points auf dem sich der Client/Host verbinden könnte
dh. es veranlasst den Access Point auf dem der Client verbunden ist, diesen PMK abzulegen um zukünftige Authentifizierung für den Client/Host
durchzuführen ohne das dieser eine Authentifizierung selber/manuell erneut durchführen muss.

# config wireless-controller vap
# edit [Name der SSID]
# set fast-roaming enable
# end

=== Was bedeutet der Konfigurationspunkt "multicast-enhance" (Frame Acknoledgement) innerhalb einer SSID Konfiguration? ===

Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" durchgeführt. Dieser Umstand kann Multicast" Uebermittlungen über die Forti Access Point's verlangsamen und somit die Performance im Multicast Bereich beeinträchtigen. Um diesen Umstand entgegenzutreten, kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine optimale Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:

# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set multicast-enhance [enable | disable]
# end

Dieses Kommando "multicast-enhance" aktiviert die Konvertierung von Multicast zu Unicast jedoch muss ein "threshold" konfiguriert werden dh. der Zeitpunkt ab dem Multicats zu Unicast umkonvertiert wird. Dies wird anhand "me-disable-thresh" konfiguriert. Dieser "thresold" konfiguriert eine obere Grenze für die Multicast Erweiterung dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (Anzahl Forti Access Point's).

# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
# end

=== Was bedeutet der Konfigurationspunkt "probe-resp-suppression" (Probe Respond Suppression) innerhalb einer SSID Konfiguration? ===

Um dem Wireless Client/Host eine Verbindung auf einen Forti Access Point zu ermöglichen, sendet der Forti Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22beacon-interval.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Auf der Wireless Client/Host Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln den "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel: Werden diese "probe request" Frame vom Wireless Client/Host an den Forti Access Point gesendet um über den "probe response" Informationen über einen Wireless Client/Host im gleichen Wireless Netzwerk zu erhalten. Ebenfalls wird zB diese Funktion von Sniffer Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Forti Access Point über die folgende Option gesteuert:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set probe-resp-suppression [enable | disable]
# set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
# next
# end

Per Standard ist "probe-resp-suppression" deaktiviert dh. Die Funktion selber kann nicht komplett deaktiviert werden durch "enable". Jedoch kann durch den Werte "dBm" der Wert gesetzt werden in welchem Range ein "prope response" gesendet werden soll. "probe request" ausserhalb des Ranges werden nicht mehr beantwortet mit einem "probe response". Ebenfalls ist zu berücksichtigen, dass viele Mobile Wireless Clients/Hosts diese Funktion sobald eine Verbindung zu einem Forti Access Point etabliert wurde deaktivieren um deren Akkus zu schonen!

=== Was bedeutet der Konfigurationspunkt "broadcastsuppression" (Broadcast Suppression) innerhalb einer SSID Konfiguration? ===

Innerhalb einer SSID kann die Option "broadcastsuppression" mit verschiedenen Werten gesetzt werden. Dabei können verschiedenen Werte gleichzeitig gesetzt werden und der Fokus der Option liegt darin Broadcast Informationen im Zusammenhang mit ARP zu unterdrücken. Weitere detaillierte Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]

=== Was bedeutet der Konfigurationspunkt "pmf" (Protected Management Frames) innerhalb einer SSID Konfiguration? ===

Protected Management Frames schützen einige Management Frames wie zB "deauthorization", "disassociation" sowie "action" Frames for Angriffen. Dieses Feature wurde zwingend Notwendig für den Standard 802.11ac um zu verhindern, dass Angreifer "deauthorization/disassociation" Frames sendet um Verbindungen zu unterbrechen oder gänzlich zu verhindern. Diese Funktion PMF wurde spezifiziert in IEE 802.11w. Per Standard ist jedoch diese Funktion nicht aktiviert sollte jedoch aktiviert werden für Fortinet Access Points die über den 802.11ac Standard verfügung wie zB FAP-221C. Die Funktion wird folgendermasse aktiviert:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set pmf [disable | enable | optional]
# set pmf-assoc-comeback-timeout [1 - 20 Sekunden; Standard 1]
# set pmf-sa-query-retry-timeout [1 - 5 = 100ms - 500ms]
# next
# end

Die Option "pmf optional" Bedeutet folgendes: Optional wird PMF aktiviert und Clients/Workstations ohne PMF werden erlaubt.

=== Was bedeutet der Konfigurationspunkt "okc" (Opportunistic Key Caching) innerhalb einer SSID Konfiguration? ===

Die Option "okc" innerhalb einer SSID bedeutet: Opportunistic Key Caching und hat folgende Funktion: Wenn ein Client im Zusammenhang mit WPA/WPA2-Enterprise Authentifizierung eine Authentifizerung durchführt und diese Erfolgreich abgeschlossen wird so wird der PMK Identifier auf diesem Fortinet Access Point gespeichert und zu allen anderen Fortinet Access Point Distribuiert resp. in den Cache aller Fortinet Access Points geschrieben. Wenn ein Authentifizierter Client somit den Fortinet Access Point im Fast-Roaming/Roaming Verfahren wechselt, muss kein vollständiger EAP Exchange Voragang mehr ausgeführt werden da die Information für den Client bereits auf den Fortinet Access Points im Cache zur Verfügung steht. Diese Funktion kann innerhalb eine SSID folgendermassen aktiviert werden:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set okc [disable | enable]
# next
# end

=== Was bedeutet der Konfigurationspunkt "Rogue AP’s" innerhalb einer WIDS Konfiguration? ===

"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: Illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der FortiGate Wireless Controller in dem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken, werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Ab FortiOS 5.2 ist diese Funktion WTP Profile basierend und wird über ein WIDS Profile konfiguriert und dem entsprechenden WTP Profile zugewiesen! Desweiteren muss berücksichtigt werden, dass auf einem "radio" für 802.11ac kein "Roque AP" Scan benützt werden kann (Stand FortiOS 5.2.5 Bug ID 225550). Um den FortiGate Wireless Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Rogue AP Settings

[[Datei:Fortinet-1268.jpg]]

# config wireless-controller setting
# set ap-scan enable
# set on-wire-scan enable
# end

'''FortiOS 5.2/5.4'''

[[Datei:Fortinet-1269.jpg]]

# config wireless-controller wids-profile
# set ap-scan enable
# set rogue-scan enable
# end

Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden WTP Profile's folgendes konfiguriert werden:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Custom AP Profiles

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-1
# set ap-bgscan enable
# set rogue-scan enable
# set ap-bgscan-period 300
# set ap-bgscan-intv 1
# set ap-bgscan-duration 20
# set ap-bgscan-idle 100
# end
# end

'''FortiOS 5.2/5.4'''

WiFi Controller > WiFi Network > WIDS Profiles

# config wireless-controller wids-profile
# edit [Name des entsprechenden WIDS Profil]
# set ap-scan [enable | disable]
# set ap-scan-passive [enable | disable]
# set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
# set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
# set ap-bgscan-period [Interval in Sekunden; Standard 600]
# set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
# set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
# set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
# end

Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration ab FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet-1270.jpg]]

Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:Wenn ein Forti Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Forti Access Points im gleichen IPv4 Adress Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und Wireless Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung" muss mindestens ein Wireless Client/Host vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die Wireless MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:

# config wireless-controller global
# set rogue-scan-mac-adjacency [0 - 7; Standard 7]
# end

=== Was bedeutet der Konfigurationspunkt "Band" (IEEE_802.11 Standard) innerhalb einer WTP Profile Konfiguration? ===

Wenn ein WTP Profile innerhalb des Mgmt. Web Interface einer FortiGate konfiguriert wird, stehen unter der Position "Band" folgende Möglichkeiten zur Verfügung:

'''2.4 GHz Band'''

[[Datei:Fortinet-1740.jpg]]

'''5 GHz Band'''

[[Datei:Fortinet-1741.jpg]]

In der CLI sieht diese mögliche Konfiguration folgendermassen aus:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set band [802.11a | 802.11b | 802.11g | 802.11n | 802.11n-5G | 802.11ac | 802.11n,g-only | 802.11g-only | 802.11n-only | 802.11n-5G-only | 802.11ac,n-only | 802.11ac-only]
# end
# end

Weitere Informationen zu den einzelnen IEEE_802.11 Möglichkeiten siehe nachfolgender Link:

https://en.wikipedia.org/wiki/IEEE_802.11

=== Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP) innerhalb einer WTP Profile Konfiguration? ===

ARRP "Automatic Radio Resource Provisioning" oder DARRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "channels" (Kanäle) für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung (overlapping) der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet: Wenn diese Position aktiviert ist, sucht sich der FortiGate Wireless Controller den oder die besten "channels" raus, die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 1800 Sekunden (Standard) evaluiert und falls notwendig dem FortiGate Wireless Client/Host mitgeteilt damit dieser auf den neuen "channel" wechseln kann. Dieser Standard Wert 1800 Sekunden kann unter folgendem Kommando Konfiguriert werden:

# config wireless-controller timers
# set darrp-optimize [0 - 86400 Sekunden; Standard 1800 Sekunden]
# end

Ab FortiOS 5.4 kann die DARRP resp. Radiu Resource Provisioning ebenfalls Zeitbasierend aktiviert werden dh. Wenn die Option "darrp-optimize auf "0" gesetzt wird so wird die Zeitgesteuerte DARRP Funktion aktiviert und es kann folgendes Konfiguriert werden:

# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set darrp-time [Zeitangabe im Format hour:minute]
# end

Für die Optionen "darrp-day" sowie "darrp-time" können mehrer Angeben Konfiguriert werden dh. zB :

# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day monday | tuesday | wednesday | thursday | friday
# set darrp-time 06:00 12:00 18:00
# end

Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung zu wissen welche "channels" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]

Wenn nun feststeht welche "channels" in der Umgebung bereits benutzt werden, kann ein entsprechendes Forti Access Point WTP Profil erstellt werden unter berücksichtigung der zu wählenden "channels" speziell für den 2.4 GHz Bereich. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
[[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrere Access Points in Reichweite sind um diese Kollisionen unter den "channels" zu verhindern. DARRP wird in den entsprechenden WTP Profil "radios" des Forti Access Point für 2.4 GHz sowie 5 GHz konfiguriert. Im Mgmt. Web Interface findet man diese Position im WTP Profile unter:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Radio Resource Provision"]

Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set darrp enable
# end
# end

Um nach der Konfiguration festzustellen ob eine Kollidierung (overlapping) unter den "channels" exisitiert, kann über "Wireless Health Monitor" die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]

aB FortiOS 5.2 wurde innerhalb des Forti Access Point wtp Profile's unter Radio-1 und/oder 2 die Position "Background Scan" (ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse" innerhalb einer WTP Profile Konfiguration? ===

Unter FortiOS 5.0 existiert in den Forti Access Point WTP Profile unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health Monitor" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health Monitor" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]

Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's" (overlapping channel). "Background Scan" sowie "Spectrum Analyse" sollte unter normalen Umständen deaktiviert werden da diese Funktion enorm Performance Intensiv sind. Diese Funktion sollte nur vorübergehend aktiviert werden um "troubleshooting" oder "Analysen" durchzuführen! Desweiteren ist zu beachten, dass für die Forti Access Point FAP-221B, FAP-223B und FAP-221C im Zusammenhang mit FortiOS 5.2.4/5 diese Funktion nicht benutzt werden sollte (Bug 245323) da durch die Funktion "Spectrum Analyse" auf den Forti Access Point ein "high cpu" produziert wird! Ueber Mgmt. Web Interface findet man diesen Konfigurationspunkt unter:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Background Scan/Spectrum Analyse"]

[[Datei:Fortinet-1271.jpg]]

Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:

# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set ap-bgscan eanble
# end
# end

[[Datei:Fortinet-1272.jpg]]

# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set spectrum-analysis eanble
# end
# end

Wenn die Funktion "Background Scan/Spectrum Analyse" aktiviert wird, können die entsprechenden Informationen auch über Kommandozeile abgeruft werden anhand folgenden Befehls:

# diagnose wireless wlac -c rf-sa [Name des FAP zB "FP221B3X13843475"] 1

Weitere Informationen betreffend dem Troubleshooting Kommando "diagnose wireless" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Welche_Troubleshooting_Kommandos_.28diagnose.29_stehen_auf_dem_Wireless_Controller_einer_FortiGate_zur_Verf.C3.BCgung.3F]]

=== Was bedeutet der Konfigurationspunkt "short guard intervall" innerhalb einer WTP Profile Konfiguration? ===

"Guard Intervalle" auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen gegen die digitale Daten die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei wie störanfällig eine Übertragung ist. Je länger ein solcher Intervall ist, desto besser schützt es gegen Störungen sowie geringer wird allerdings auch die Kanaleffektivität (Performance).

'''802.11 Guard Interval'''

Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
"short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
könnte entwickelt werden, um herauszufinden ob ein "short guard intervall" von Vorteil wäre. Um die Komplexität
zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
zu erhöhen.

Wie beschrieben dient diese Konfiguration der Performance resp. um diese zu erhöhen. Jedoch kann die Aktivierung des "short guard intervall" auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser diese Funktion "short guard intervall" in der ersten Phase nicht zu benutzen resp. zu deaktivieren! "short guard intervall" kann für den 5 GHz Bereich für 40/80 MHz aktiviert/deaktiviert werden:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]

[[Datei:Fortinet-1273.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set short-guard-interval enable
# end
# end

=== Was bedeutet der Konfigurationspunkt "channel-bonding" (Channel Width) innerhalb einer WTP Profile Konfiguration? ===

Die Funktion "channel-bonding" (40/20 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat, ist der Einsatz dieser Funktion kontraproduktiv sowie störanfällig und sollte deshalb nicht benutzt werden. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" für 2.4 GHz nicht im 40 MHz Bereich zu empfehlen! Da die einzelnen Kanäle breiter werden aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr das sich WLANs gegenseitig stören wenn sie auf angrenzenden Kanälen (channel) funken. Die Standard Werte für das "channel-bonding" im 2.4 GHz und 5 GHz Bereich ist 20 MHz. Das "channel-bonding" im 5 GHz Bereich kann unter FortiOS 5.0/5.2 innerhalb der Forti Access Point WTP Profile konfiguriert werden. Unter FortiOS 5.4 steht diese Funktion nur über CLI zur Verfügung.:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]

[[Datei:Fortinet-1274.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [enable | disable]
# end

'''FortiOS 5.2'''

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]

[[Datei:Fortinet-1275.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [20MHz | 40MHz]
# end

Damit "channel-bonding" aktiviert werden kann für 40 MHz im 2.4 GHz Bereich obwohl dies nicht zu empfehlen ist, müssen zuerst im entsprechende WTP Profile für die "channel" ein "unset" durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-1
# unset channel
# set channel-bonding 40MHz
# end

Diese Funktion steht ebenfalls im Zusammenhang mit der Funktion "coexistence". Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22coexistence.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Access Point Hand-off" innerhalb einer WTP Profile Konfiguration? ===

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende: Ein "Hand-off" wird durch den Forti Access Point ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem Forti Access Point den gesetzten "threshold" übersteigt, wird der Wireless Client/Host angewiesen auf den nächsten Forti Access Point und/oder "radio" zu wechseln. Für diesen Wechsel des "Hand-off" ist die Signalstärke des Client/Host entscheidend (RSSI threshold). Dieser Wert erhält der Client/Host vom zuständigen Forti Access Point. Um zu verhindern das der Zugriff auf den Client/Host durch einen Forit Access Point verhindert wird, werden wiederholende Anfragen zum Forti Access Point durch den Wirless Client/Host der auf dem Forti Access Point verbunden ist akzeptiert. Dieser Vorgang nennt man "soft-limit":

[[Datei:Fortinet-340.jpg]]

Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden WTP Profil ein- oder auszuschalten sowie den "threshold" zu setzen:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
# config [radio-1 oder 2]
# set ap-handoff {disable | enable}
# end
# end

"handoff-sta-thresh" bedeutet: Der Durchschnitt verbundener Wireless Clients/Host der erreicht werden soll auf einem Forti Access Point, bevor diese Wireless Clients/Hosts durch den Forti Access Point angewiesen werden sich auf dem nächsten Forti Access Point zu verbinden! Die Funktion des "ap-handhoff" kann wie hier gezeigt über Mgmt. Web Interface durchgeführt werden. Jedoch ist die Konfiguration "handoff-sta-thresh" nur über CLI möglich! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "AP Handoff"]

=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Hand-off" innerhalb einer WTP Profile Konfiguration? ===

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Access Point Frequenzy Hand-off" ist die folgende: Der FortiGate Wireless Controller überprüft in gewissen Abständen die Wireless Clients/Hosts betreffend Ihrer Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den FortiGate Wireless Controller betreffend dem Wireless Client/Host die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer Wireless Client/Host sich verbinden will, überprüft der FortiGate Wireless Controller die MAC Adresse des Wireless Client/Host und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen abgelegt sind, wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiGate Wireless Controller entscheiden ob der Device über "dual band" (2.4 GHz / 5 GHz verfügt oder nicht:

[[Datei:Fortinet-341.jpg]]

• Wenn der Wireless Client/Host über "kein" Dual-Band verfügt: Wird dem Wireless Client/Host erlaubt sich mit dem Access Point
(2.4 GHz) zu verbinden!

• Wenn der Wireless Client/Host über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiGate Wireless Controller
nicht auf die Anfrage betreffend 2.4 GHz sondern der Wireless Client/Host wird angewiesen sich mit 5 GHz auf den Forti Access
Point zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Forti
Access Point durch den Wireless Client/Host auf dem Forti Access Point auf dem sich der Wireless Client/Host verbinden will
akzeptiert (soft-limit).

Einige Wireless Clients/Hosts unterstützen diesen Vorgang dh. diese Wireless Client/Host unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 5 GHz benutzt. Auf den Wireless Clients/Hosts wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices. Das "frequency-off" respektive der "threshold" wird unter der CLI folgendermassen konfiguriert:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-rssi [Grenzwert des handoff; Standard 25]
# config [radio-1 oder 2]
# set frequenciy-handoff {disable | enable}
# end
# end

"handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Wireless Client/Host bevor der Wireless Client/Host auf den 5 GHz Bereich verschoben wird! Die Konfiguration des "frequenciy-handoff kann ebenfalls im Mgmt. Web Interface durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Frequency Handoff"]

=== Was bedeutet der Konfigurationspunkt "Auto TX Power Control" innerhalb einer WTP Profile Konfiguration? ===

Bei "Auto TX Power Control" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Auto TX Power Control" aktiviert und somit herabgesetzt werden. AB FortiOS 5.0 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:

• Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!

• Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!

Die Informationen über die Signalstärke wird durch den FortiGate Wireless Controller im Hintergrund gesammelt und ausgewertet. Aus diesem Grund erkennt der FortiGate Wireless Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der über dessen FortiGate Wireless Controller verwaltet wird. Desweiteren ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das wenn 50% TX Power benützt wird folgendes gilt:

50% of 100mW = 50mW was wiederum 17dBm entspricht

0 dBm = 1 mW
3 dBm = 2 mW
6 dBm = 4 mW
9 dBm = 7.9 mW
12 dBm = 15.8 mW
15 dBm = 31.6 mW
18 dBm = 61.1 mW
21 dBm = 125.9 mW
24 dBm = 251.2 mW

Dieser Konfigurationspunkt kann im entsprechenden Forti Access Point WTP Profil konfiguriert werden:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control"]

[[Datei:Fortinet-1278.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set auto-power-level [enable | disable]
# set power-level [Setze den entsprechenden Wert in % dh. 1 - 100; Standard 100]
# end

=== Was bedeutet der Konfigurationspunkt "protection-mode" (802.11g Protection Mode) innerhalb einer WTP Profile Konfiguration? ===

Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:

http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination

Ab FortiGate 5.06 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert für "protection-mode" auf "disable":

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio für 5 GHz]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end

Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder 802.11b Wireless Clients/Hosts verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt. Aus diesen Informtionen stellt sich die Frage wann dieser Protection Mode aktiviert werden soll und wenn nicht. Die Antwort ist nicht Generell zu beantworten! Jedoch kann man Grundsätzlich von Folgendem ausgehen:

• Wenn der Forti Access Point sowie die Wireles Clients/Hosts ausschliesslich 802.11g und/oder 802.11n benutzen, kann der
Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:

protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt

• Wenn der Forti Access Point sowie die Wireless Clients/Hosts zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten und diese
"vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:

protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b

=== Was bedeutet der Konfigurationspunkt "beacon-interval" innerhalb einer WTP Profile Konfiguration? ===

Ein Forti Access Point sendet in einstellbaren Intervallen (beacon-intervall) kleine Datenpakete, sogenannte "beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die "beacons" enthalten unter anderem folgende Informationen:

• Netzwerkname ("Service Set Identifier", SSID)
• Liste unterstützter Übertragungsraten
• Art der Verschlüsselung

Dieses "Leuchtfeuer" (beacons) erleichtert den Verbindungsaufbau ganz erheblich, da die Wireless Clients/Hosts lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität und zwar auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. "beacons" werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet um somit ein erfolgreiche Empfang des "Leuchtfeuers" garantiert wird. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate im WTP Profile steht dieser Wet auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch, bedeutet dies eine hohe Kapazität auf dem Forti Access Point sprich viele Wireless Clients/Hosts können sich auf dem Forti Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Wireless Clients/Hosts benötigen eine sehr lange Zeit bis die Verbindung zustande kommt, da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert, werden die passiven Scan's der Wireless Clients/Hosts schneller beantwortet. Also ist die Verbindung schneller jedoch sinkt die Kapazität des Forti Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen (overlapping channel) sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Wireless Clients/Hosts sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:

# config system wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-[1 | 2]
# set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
# end

Der Standard Wert 100 für "beacon's" sollte unter normalen Umständen nicht manipuliert werden! Kommt es zu Problemen, sollte bevor der Interval der "beacon's" manipuliert wird eventuell die Option "probe-resp-suppresion" konsultiert werden, Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22probe-resp-suppression.22_.28Probe_Respond_Suppression.29_innerhalb_einer_SSID_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "ekahau-blink-mode" innerhalb einer WTP Profile Konfiguration? ===

Die Option "ekahau-blink-mode" stellt einen Service dar für das "Real-Time Location System" von Ekahau Vision. Diese Funktion erlaubt es Informationen basierend auf dem Ekahau Vision zum diesem Dienst von Ekahau Vision zu senden um das "Real-Time Location System" zu benützen. Dies bedeutet: Diese Option steht nur im Zusammenhang mit diesem Dienst und muss auch nur dann aktiviert werden wenn dieser Dienst genutzt wird:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config lbs
# set ekahau-blink-mode [enalbe | disable]
# set ekahau-tag [ Mac Adresse xx:xx:xx:xx:xx:xx]
# set erc-server-ip [IPv4 Adresse]
# set erc-server-port [Port Nummer]
# end
# end

=== Was bedeutet der Konfigurationspunkt "coexistence" innerhalb einer WTP Profile Konfiguration? ===

Wenn man ein WTP Profile konfiguriert existiert in den "radio-1 oder 2" settings eine Option mit dem Namen "coexistence". Diese Option steht im Zusammenhang mit den Modi "802.11n und 802.11ac" und somit für 2.4GHz und 5GHz. Die Konfiguration für "coexistence" kann nur über CLI durchgeführt werden und zwar folgendermassen:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 | 2]
# set channel-bonding [20MHz | 40MHz | 80MHz]
# set coexistence [enable | disable]
# end
# end

Die Option steht im direkten Zusammenhang mit dem "channel-bonding". Dies bedeutet: ist das "channel-bonding" auf 20MHz gesetzt steht die Option "coexistence" nicht zur Verfügung da der 40MHz Bereich nicht aktiviert ist. Wenn das "channel-bounding" auf 40MHz gesetzt ist kann die "coexsistence" aktiviert werden was wiederum bedeutet: 20MHz und 40MHz koesistierten resp. beide sind erlaubt. Die Option "coexistence" definiert den HT20 resp. HT40 Mode was wiederum bedeutet:

HT20 = Einzelner 20MHz Channel
HT40 = 2 X 20Mhz Channels und Autoselektierung des Sekundären höherer und tieferen Channels

Wenn somit ein "channel-bounding" aktiviert wird auf 40MHz jedoch die "coexistence" deaktiviert ist so wird 20MHz als Sekundärer Channel ausgeschlossen. Aus kompatibilitäts Gründen sollte dies nicht konfiguriert werden, kann jedoch in Ausnahmen Sinn machen wenn die Performance ausschlaggeben ist jedoch klar damit gerechnet wird das Geräte im 20MHz Bereich damit ausgeschlossen werden.

=== Was bedeutet der Konfigurationspunkt "max-distance" (ACK timeout) innerhalb einer WTP Profile Konfiguration? ===

Das "ACK timeout" auf einem Forti Access Point wird über die Option "max-distance" innerhalb eines WTP Profiles gesteuert. Dies wird in der CLI wie folgt beschrieben:

Setzt das erwartete Maximum in Meter zwischen dem Forti Access Point und den Wireless Clients. Dieser Wert verändert
"ACK timeout" auf dem Forti Access Point um einen maximalen throughput für die maximale definierte Distanz zwischen
Forti Access Point und Wireless Client zu erreichen. Mögliche Werte sind zwischen 0 und 20'000 Meter (Standard 0).

Unter normalen Umständen sollte dieser Wert dh. "0" belassen werden. Wird jedoch eine Punkt zu Punkt Verbindung konfiguriert/etabliert über lange Distanzen zB eine Bridge, kann dieser Wert angepasst werden um ein grosszügiges "ACK timeout" zu erlauben. Für ein Troubleshooting kann dieses Timeout auf dem Forti Access Point angepasst werden. Folgender Befehl Lokal auf dem Forti Access Point gibt den momentanen Wert aus für "ACK timeout" aus:

# iwpriv wifi0 get_acktimeout
wifi0 get_acktimout:64 (0x40)

Um den das "ACK timeout" auf dem FortiAP anzupassen führe folgendes durch:

# Iwpriv wifi-acktimeout [ Wert zB "120"]

Wie Lokaler Zugriff erlangt wird auf einen Forti Access Point beschreibt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Was bedeutet der Konfigurationspunkt "transmit-optimize / powersave-optimize" (PowerSave) innerhalb einer WTP Profile Konfiguration? ===

Die Optionen "transmit-optimize / powersave-optimize" die in einem WTP Profile innerhalb von "radio-1" gesetzt werden können stehen im Zusammenhang mit der "Strom-Spar / Power-Saving" Funktion und 2.4 GHz. Diese Funktion kommt vor allem in mobilen und damit Akku-betriebenen Geräten zu Zuge. Zum Beispiel: Smartphones, Tablets und Notebooks. Um die Akku-Laufzeit dieser Geräte zu verlängern gibt es spezielle Strom-Spar- und Power-Management-Funktionen. Die Traffic-Indicator-MAP (TIM) ist eine Liste, die der Access Point erstellt, um dort alle Wireless-Stationen zu speichern. Um diese Liste aktuell zu halten, schickt der Access Point regelmäßig TIM-Signale (Beacons), die die Wireless-Stationen aufwecken. Die Delivery-Traffic-Indicator-MAP (DTIM) ist auch eine Liste, die vom Access Point gepflegt wird. Der DTIM-Beacon ist ein Broadcast-Signal, das mit einem größeren zeitlichen Abstand gesendet wird, als der TIM-Beacon. Im Regelfall werden WLAN-Netzwerkkarten nur mit dem DTIM-Beacon aufgeweckt um die Laufzeit mobiler Geräte noch weiter zu erhöhen. Unter normalen Umständen sollte die standard Konfiguration nicht verändert werden. Ist dies denoch nötig stehen unter den Optionen folgende Möglichkeiten zur Verfügung:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set transmit-optimize [disable | power-save | aggr-limit | retry-limit | sendbar]
# end
# end

Die möglichen Optionen haben folgende Bedeutung:

• disable: Disable transmit optimization.
• power-save: Mark a client as power save mode if excessive transmit retries happen.
• aggr-limit: Set aggregation limit to a lower value when data rate is low.
• retry-limit: Set software retry limit to a lower value when data rate is low.
• send-bar: Do not send BAR frame too often.

Per Standard steht die Option "transmit-optimize" auf folgende Werte:

# set transmit-optimize power-save aggr-limit retry-limit sendbar

Zusätzlich gibt es die Möglichkeit im 2.4 GHz Bereich den nicht mehr unterstützten 802.11b Bereich komplett zu deaktivieren. Dies wird erreicht in dem die Sendetzeit heruntergesetzt wird für die "beacons" der Management Frames. Damit wird das Signal mit Minimum 6Mbps gesendet anstellt 1Mbps und somit wird 802.11b ausgeschlossen:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set powersave-optimize no-11b-rate
# end
# end

Unter "powersave-optimize" stehen weitere Optionen zur Verfügung die jedoch nur in speziellen Situationen benutzt werden sollten:

• tim TIM bit for client in power save mode.
• ac-vo Use AC VO priority to send out packets in the power save queue.
• no-obss-scan Do not put OBSS scan IE into beacon and probe response frame.
• no-11b-rate Do not send frame using 11b data rate.
• client-rate-follow Adapt transmitting PHY rate with receiving PHY rate from a client.

== CLI ==

=== Welche Kommandos können Lokal auf einem Forti Access Point über die CLI eingegeben werden? ===

Grundsätzlich wird eine Konfiguration eine Forti Access Points über den FortiGate Wireless Controller durchgeführt. Nichts desto trotz verfügt ein Forti Access Point Lokal über Befehlsatz der es erlaubt zB eine statische IPv4 Konfiguration durchzuführen oder ein Troubleshooting. Um Lokal auf einem Forti Access Point per "telnet" zu verbinden muss dieser Zugriff aktiviert werden. Danach kann über den FortiGate Wireless Controller per "telnet" eine Verbindung zu einem entsprechenden Forti Access Point erstellt werden um Lokal auf dem Forti Access Point die Kommandos einzugeben. Weitere Informationen wie dieser Zugriff aktiviert wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Unter FortiOS 5.0/5.2/5.4 stehen folgende Kommandos zur Verfügung:

<big>'''FortiOS 5.0'''</big>

'''# fap-get-status'''
Version: FortiAP-220B v5.0,build064,140117 (GA)
Serial-Number: FAP22B3U11011877
BIOS version: 04000010
Regcode: E
Hostname: FAP22B3U11011877
Branch point: 064
Release Version Information:GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool

'''# brctl -h'''
brctl: invalid argument '-h' to 'brctl'

BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary

Usage: brctl COMMAND [BRIDGE [INTERFACE]]

Manage ethernet bridges.

Commands:
show Show a list of bridges
showmacs BRIDGE Show a list of mac addrs
addbr BRIDGE Create BRIDGE
delbr BRIDGE Delete BRIDGE
addif BRIDGE IFACE Add IFACE to BRIDGE
delif BRIDGE IFACE Delete IFACE from BRIDGE
setageing BRIDGE TIME Set ageing time
setfd BRIDGE TIME Set bridge forward delay
sethello BRIDGE TIME Set hello time
setmaxage BRIDGE TIME Set max message age
setpathcost BRIDGE COST Set path cost
setportprio BRIDGE PRIO Set port priority
setbridgeprio BRIDGE PRIO Set bridge priority
stp BRIDGE [1|0] STP on/off

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOG IN_PASSWD
ADM IN_TIMEOUT
Telnet and GUI session admin timeout in minutes
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV

'''# cw_diag help'''
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

<big>'''FortiOS 5.2'''</big>

'''# get system status'''
Version: FortiAP-221C v5.2,build490,140616 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 212
Release Version Information: GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV

'''# cw_diag help'''
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

<big>'''FortiOS 5.4'''</big>

'''# get system status'''
Version: FortiAP-221C v5.4,build0327,160107 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
System Part-Number: P15285-01
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 327
Release Version Information: GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, diag_sniffer
dmesg, factoryreset, fap-get-status, fap-set-hostname
ft_rate_config, restore, radartool, reboot

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cw_test_led'''
/sbin/cw_test_led <all|power|status|wifi1|wifi2> <all|0|1|2|3|4> [interval]
lan is controlled by hardware, we don't test it here
0: Off
1: On-Amber
2: On-Green
3: On-Flashing Amber
4: On-Flashing Green
interval: Period in each state when all is selected for state

'''# dmesg'''

'''# ft_rate_config'''
ft_rate_config usage:
command and options:
-n <dev_name> -p
-n <dev_name> -m [11bg|11a|11n|11ac] -s <string_256>
-n <dev_name> -a
-n <dev_name> -r
-p print out current rate configuration
-m radio mode
-s configure rate set
11a string format is (6|6-basic,9|9-basic,12|12-basic,18|18-basic,24|24-basic,36|36-basic,48|48-basic,54|54-basic)
11bg string format includes 11a string format and also (1|1-basic,2|2-basic,5.5|5.5-basic)
11n string format is (mcs0/1,mcs1/1,...,mcs6/1,mcs7/1,mcs8/2,mcs9/2,...,mcs15/2,mcs16/3,mcs17/3,...,mcs31/4)
11ac string format is (mcs0/1,mcs1/1,mcs2/1,...,mcs8/1,mcs9/1,mcs0/2,mcs1/2,...,mcs9/4)
-a apply the current configuration to radio
-r reset the user configuration from the ssid

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
AP_MGMT_VLAN_ID
ALLOW_TELNET
0(Telnet disable), 1(Telnet enable), 2(controlled by AC)
ALLOW_HTTP
0(Http disable), 1(Http enable), 2(controlled by AC)
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_DISCOVERY_FCLD_APCTRL
AC_DISCOVERY_FCLD_ID
AC_DISCOVERY_FCLD_PASSWD
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
LED_STATE
0(LED on), 1(LED off), 2(controlled by AC)

'''# cw_diag help'''
cw_diag usage:
cw_diag help [module [mod name]] --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag --flog <size in MB> --turn on/off log message to /tmp/var_log_wtpd.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta [HHHH] --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c fcld-cfg --show current forticloud client config
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c wev --show queued wireless events to report
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:

[[FortiAP:FAQ#Welche_Linux_Befehle_k.C3.B6nnen_auf_einem_FortiOS_f.C3.BCr_einen_Forti_Access_Point_ben.C3.BCtzt_werden.3F]]

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Uptime eines Forti Access Point herauszufinden? ===

Wenn vermutet wird, dass ein Forti Access Point selbständig einen Neustart ausführt, kann folgender Befehl Lokal auf der CLI des Forti Access Point ausgeführt werden um die Uptime des entsprechenden Forti Access Point zu eruieren:

# cw_diag uptime
Current uptime : 574652
WTP daemon start uptime : 18
WTP daemon RUN uptime : 74
Time since WTP daemon started : 574634
Time since WTP daemon connected : 574578

Watchdog timer triggered : 0
Watchdog timer action : 1
Watchdog timer time : 22

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um über die CLI die Netzwerk Konfiguration auszulesen? ===

Die Netzwerk Konfiguration eines Forti Access Point kann über das Forti Access Point Mgmt. Web Interface ausgelesen werden. Wenn dies jedoch nicht möglich ist, kann die momentane Netzwerk Konfiguration über CLi Lokal auf dem Forti Access Point ausgelesen werden. Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Nachdem der Zugriff gewährleistet ist, kann folgendes Kommando ausgeführt werden um die Netzwerk Konfiguration Lokal auf dem Forti Access Point auszulsen:

# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Firmware Version eines Forti Access Points herauszufinden? ===

Die Firmware eines Forti Access Points ist über das Mgmt. Web Interface der Fortigate unter "Managed FortiAPs" ersichtlich. Zusätzlich kann Lokal auf dem Forti Access Point nachfolgender Befehl durchgeführt werden um die Firmware Version resp. FortiOS zu verifizieren:

# fap-get-status
Version: FortiAP-220B v4.0,build222,120109 (MR3)
Serial-Number: FAP22B1234567890
BIOS version: 04000010
Regcode: N
Hostname: FAP22B1234567890
Branch point: 222
Release Version Information:MR3

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

== Troubleshooting ==

=== Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten? ===

Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Wireless Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:

• Als Erstes führe Tests durch mit den Wireless Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher
nicht besetzt oder beeinträchtigt durch "fremde" andere Wireless Infrastrukturen). Nach Möglichkeit ist der 5 Ghz
zu bevorzugen vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch
Interferenzen das Resultat negativ beeinflusst. In diesen Test's sollten vers. Wireless Client's/Workstation benutzt
werden um festzustellen ob das Problem basierend auf einer spezifischen Gruppe von Wireless Client's/Workstation ist.
Ebenfalls sollte für die Wireless Client's/Workstations nur die neusten Wireless Treiber verwendet werden. Ziel ist
es zu versuchen das Problem einzugrenzen auf spezifische Wireless Client's/Workstation oder Bereich wie 5 GHz und
oder 2.4 GHz usw.

• Stelle fest/sicher das der Wireless Client/Workstation mit der max. Rate verbunden ist:

130Mbps für 2Ghz 2x2
300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)

• Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:

http://www.metageek.net/support/downloads (inSSIDer für Windows / Mac / Android)
http://www.nirsoft.net/network_tools.html (WifiInfoView für Windows)
http://www.ekahau.com/products/heatmapper/overview.html (HeatMapper für Windows XP / Windows Vista / Windows 7)

• Vergewissere dich, dass zwischen den Forti Access Point, FortiGate Wireless Controller und Server 1000Mbit benutzt wird. Sofern
nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.

• Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen
auf den CPU und/oder Memory herauszufinden/zu Monitoren:

# get sys perf status
# diagnose sys top

• Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete
"aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete
verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr
aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).

• Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)

[[Datei:Jperf-how-to.pdf]]

• Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol
ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:

http://en.wikipedia.org/wiki/CCMP

CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.

• Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):

[[Datei:Fortinet-332.jpg]]

• Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.

• Ueberprüfe ob zuviele Broadcast sowie Multicast über das Wireless Netz gelangen/transportiert werden.

• Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. deaktivieren)

• Ueberprüfe ob auf den End Devices der User die neusten Treiber sowie Wireless Software installiert ist und überprüfe deren Datenrate.

=== Wie kann vorgegangen werden wenn auf einem Forti Access Point für Performance Probleme Messungen durchgeführt werden sollen? ===

Um in einem Netzwerk sei es Wireless oder Ethernet Messungen durchzuführen, ist es ratsam eine kleine Client to Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:

http://www.ars.de/ars/ars.nsf/docs/netio

Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab, die danach ausgewertet werden. Ein Scenario wäre zB:

'''Windows Client --> Windows Server'''

Windows Server:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):

C:\netio131>win32-i386.exe -s

Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein
anderer Port definiert werden.

Windows Client:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):

C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]

Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls
angegeben werden mit -b. Weitere Optionen sind:

Usage: netio [options] [<server>]

-s run server side of benchmark (o
-b <size>[k] use this block size (otherwise
-B -K -M -G force number formatting to Byte

-t use TCP protocol for benchmark
-u use UDP protocol for benchmark
-h <addr> bind TCP and UDP servers to thi
(default is to bind to all loca
-p <port> bind TCP and UDP servers to thi

<server> If the client side of the bench
a server name or address is req

The server side can run either TCP (-t) or UDP
(default, if neither -t or -u is specified). Th
these protocols only (must specify -t or -u).

'''Windows Client --> Linux Server'''

Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:

#./linux-i386 -s

NETIO - Network Throughput Benchmark, Version 1.30
(C) 1997-2008 Kai Uwe Rommel

UDP server listening.
TCP server listening.
TCP connection established ...
Receiving from client, packet size 1k ... 1364.51 KByte/s
Sending to client, packet size 1k ... 803.63 KByte/s
Receiving from client, packet size 2k ... 1473.31 KByte/s
Sending to client, packet size 2k ... 645.55 KByte/s
Receiving from client, packet size 4k ... 1452.13 KByte/s
Sending to client, packet size 4k ... 640.69 KByte/s
Receiving from client, packet size 8k ... 1120.63 KByte/s
Sending to client, packet size 8k ... 716.57 KByte/s
Receiving from client, packet size 16k ... 1506.04 KByte/s
Sending to client, packet size 16k ... 658.24 KByte/s
Receiving from client, packet size 32k ... 1433.88 KByte/s
Sending to client, packet size 32k ... 855.72 KByte/s
Done.
TCP server listening.

C:\netio131>win32-i386.exe -t [Linux Server / IP]

NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel

TCP connection established.
Packet size 1k bytes: 1381.22 KByte/s Tx, 780.68 KByte/s Rx.
Packet size 2k bytes: 1486.13 KByte/s Tx, 567.92 KByte/s Rx.
Packet size 4k bytes: 1466.74 KByte/s Tx, 612.15 KByte/s Rx.
Packet size 8k bytes: 1129.70 KByte/s Tx, 702.39 KByte/s Rx.
Packet size 16k bytes: 1541.18 KByte/s Tx, 617.14 KByte/s Rx.
Packet size 32k bytes: 1472.19 KByte/s Tx, 796.44 KByte/s Rx.
Done.
=== Was muss ich in Zusammenhang mit meinem WLAN beachten, wenn ich die FortiGate auf 6.4.2 uprade? ===
[[File:FortiOS64.png|50px|link=]] 
Wir haben von Partnern Rückmeldungen erhalten, dass nach dem updaten der FortiGate, welche als WLAN-Kontroller funktionieren, die CPU-Auslastung auf der FortiGate immens hoch wird ( <90% )
Wenn der CLI-Befehl ''diagnose sys top'' ausgeführt wird um die CPU Auslastung auf der FortiGate anzuzeigen, kann man erkennen dass der Prozess '''cwWtpd''' über 90% der Ressourcen nutzt.

[[File:Fortinet-2821.jpg|800px|link=]]

'''Workaround:''' 
Man kann auf der FortiGate für die AP den Spectrum-SCAN bis zum nächsten Reboot oder die nächste Rekonfiguration mit folgendem Befehl deaktivieren:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
diagnose wireless-controller wlac spectral-scan [SERIENUMMER_FAP] [RADIO] disable
</pre>
----
'''Beispiel:'''
<pre>
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 0 disable
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 1 disable
</pre>
|}

[[File:Fortinet-2822.jpg|750px|link=]]

----
''Vielen Dank an Stefan von UCC Pro''

FortiAP:FAQ

2020-10-22T06:02:10Z

Michelle Crapella-Papet: /* Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet? */

FortiAP:FAQ

[[Category:Fortinet]]

__TOC__

== Vorwort ==

Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x. Die hier zur Verfügung gestellten Informationen und Konfiguratinen betreffen nicht die FortiAP-S mit UTM Features. Wenn FortiAP-S ohne UTM Features betrieben werden können diese über einen FortGate Wireless Controller verwaltet werden!
 

== Datenschutz ==

<pre>
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"

</pre>

== FAQ ==

== Documentation ==

=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:

[[Fortinet:ProduktInfo]]

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:

http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)

'''Cookbook Supplementary Recipes FortiOS:'''
[[Datei:extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf]] (Extending the range of a wireless network by using mesh topology)
[[Datei:Configuration_of_meshed_WiFi_network.pdf]] (Configuration of meshed WiFi network)
[[Datei:using-a-fortiap-in-bridge-mode-to-add-wireless-access.pdf]] (Using a FortAP in Bridge mode to add wireless access)
[[Datei:using-a-fortiap-in-tunnel-mode-to-add-wireless-access.pdf]] (Using a FortAP in Tunnel mode to add wireless access)
[[Datei:using-MAC-access-control-to-allow-access-to-the-wireless-network.pdf]] (Using MAC access control to allow access to the wireless network)

[[Datei:Secure WLAN Sales Presentation_R1.pptx]] (The Fortinet Secure WLAN Presentation)
[[Datei:Secure WLAN Sales Presentation_R2.pptx]] (The Fortinet Secure WLAN Presentation)
[[Datei:Secure WLAN Sales Presentation_R3.pptx]] (The Fortinet Secure WLAN Presentation)

[[Datei:FortiAP_Quick_Sales_Guide_2014.pdf]] (The Fortinet FortiAP Quick Sales Guide)
[[Datei:Fortinet-Secure-Wireless-LAN-Solutions-Guide.pdf]] (The Fortinet Secure Wireless LAN Solutions Guide 2015)

[[Datei:FortiAP_Technical_FAQ_-_January_2014.pdf]] (Fortinet FortiAP Technical FAQ)
[[Datei:Fortinet Secure WLAN FAQ.pdf]] (Fortniet Secure Wireless LAN (WLAN) Solution)
[[Datei:Securing Wireless Networks for PCI.pdf]] (Fortinet Securing Wireless Networks for PCI Compliance)
[[Datei:FortiAP_5-2-Update-Q1-2015.pptx]] (Fortinet FortiAP 5.2 WLAN Update Q1 2015)
[[Datei:wlc-ivo.pptx]] (Fortinet Secure Access Solution)

==== FortiOS 4 MR3 ====
[[Datei:fortigate-wireless-40-mr3.pdf]] (FortiOS 4.0 MR3 Handbook - Deploying Wireless Networks

[[Datei:FortiOS_4MR3_Wireless_Controller_Overview_v4.pdf]] (FortiOS 4.0 MR3 Wireless Controller Overview)

==== FortiOS 5.0 ====
[[Datei:fortigate-wireless-50.pdf]] (FortiOS 5.0 Handbook - Deploying Wireless Networks)
[[Datei:FortiAP_CLI_50.pdf]] (FortiOS 5.0 FortiAP Command Line Interface)

[[Datei:wirless-technical-training-FOS-5.0-update-v2.pptx]] (FortiOS 5.0 "Wireless Technical Training")

==== FortiOS 5.2 ====

[[Datei:fortigate-wireless-52.pdf]] (FortiOS 5.2 Handbook - Deploying Wireless Networks)
[[Datei:FortiAP_CLI_52.pdf]] (FortiOS 5.2 FortiAP Command Line Interface)

==== FortiOS 5.4 ====

[[Datei:Fortigate-Wireless-54.pdf]] (FortiOS 5.4 Handbook - Deploying Wireless Networks)
[http://cookbook.fortinet.com/supported-upgrade-paths-fortiap FortiAP-Upgradepath auf 5.4.x] (FortiAP 5.4 Supported Upgrade Path)

==== FortiOS 5.6 ====

* [[Datei:FortiAP-ReleaseNote-5.6.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.3.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.4.pdf]]
* [[Datei:FortiAP-ReleaseNote-5.6.5.pdf]]

* [http://cookbook.fortinet.com/supported-upgrade-paths-fortiap FortiAP-Upgradepath auf 5.6.x]
* [[Datei:Fortigate-Wireless-56.pdf]]

* [[Datei:AV-Engine-ReleaseNotes-56.pdf]]

==== FortiOS 6.0 ====

* [http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ FortiAP-Upgradepath auf 6.0.x]
* [[Datei:FortiGate-Wireless-60.pdf]]
----
''FortiAP Release Notes''
* [[Datei:FortiAP-ReleaseNote-6.0.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-6.0.3.pdf]]
----
''FortiAP-S und FortiAP-W Release Notes''
* [[Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.2.pdf]]
* [[Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.3.pdf]]
----
==== FortiOS 6.2 ====
* [https://docs.fortinet.com/document/fortiap/6.2.0/fortiwifi-and-fortiap-configuration-guide/692236/troubleshooting|Link Troubleshooting FortiAP]

=== Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind? ===

http://pub.kb.fortinet.com/index/

== Hardware ==

=== Welche Forti Access Point Produkte Linien existieren und was sind die Unterschiede? ===

Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:

• Light Forti Access Point

Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.
Diese Access Points müssen zwingen mit einem FortiGate Wireless Controller oder FortiCloud
Wireless Controller betrieben werden. Diese Forti Access Points verfügen über keine UTM
Features lokal auf den Forti Access Points sondern die UTM Features werden über die FortiGate
betrieben resp. bereitgestellt und verwaltet.

• Thick Forti Access Point

Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Dies bedeutet:
FortiGate Devices mit integriertem Radio (2.4 GHz / 5 GHz). Zusätzlich können diese Devices
(Thick Forti Access Points) mit Light Forti Access Points erweitert werden. Die UTM Features
werden wie bei den Light Forti Access Points über die FortiGate (FWF) zur Verfügung gestellt
sowie verwaltet.

• Smart Forti Access Point

Smart Forti Access Point verfügen über lokale UTM Features auf den Smart Forti Access Point
(FortiAP-S) und können nur über FortiCloud Wirless Controller verwaltet werden sofern diese
mit UTM Features eingesetzt werden. Werden Smart Forti Access Point resp. FortiAP-S ohne UTM
Features eingesetzt, können diese auch über einen FortiGate Wireless Controller verwaltet
werden! Weiter Infos siehe nachfolgender Artikel:

[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Forti_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

Nachfolgende Kurzübersicht zeigt ebenfalls welcher Forti Access Point über welche Platform eingesetzt werden kann:

[[Datei:Fortinet-2147.jpg]]

Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:

[[Datei:Fortinet-2133.jpg]]

=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP Hardware und Produkte? ===

Die beste Uerbsicht für FortiAP Produkte bieten die folgenden Dokumente sowie Links:

[[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]]
[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]]

Desweiteren hat Fortinet eine Wireless Brochure Released, die eine generelle Uebersicht bietet:

[[Datei:Wireless_Brochure.pdf]] (Unified Access LayerArchitecture)
[[Datei:FortiOS_Wireless.pdf]] (FortiOS 5 Wireless LAN Controller)

Weitere Informationen betreffend technischem Aufbau eines FortiAP Produktes siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_Forti_Access_Point_Produkts_aus.3F]]

Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt:

'''Hardware Overview – FortiAP (Indoor)'''

[[Datei:Fortinet-1362.jpg]]

'''Hardware Overview – FortiAP (Outdoor)'''

[[Datei:Fortinet-1363.jpg]]

'''Hardware Overview – FortiAP (Remote)'''

[[Datei:Fortinet-1364.jpg]]

=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP-S Hardware und Produkte? ===

Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über einen FortiGate Wireless Controller verwaltet werden können wenn UTM Features auf den "Smart Forti Access Point" resp. "FortiAP-S" eingesetzt werden, sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" (FortiAP-S) nur dann anwendbar wenn diese "ohne" UTM Features betrieben werden. Nur ohne UTM Features können "Smart Forti Access Point" über einen FortiGate Wireless Controller verwaltet und betrieben werden. In so einer Situation sind diese hier gezeigten Konfigurationen anwendbar. Siehe auch folgender Artikel:

[[FortiAP:FAQ#Welche_Forti_Access_Point_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F]]

Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" (FortiAP-S) siehe nachfolgender Artikel:

[[FortiAP-S:FAQ]]

=== Verfügen alle FortiGate Devices über einen Wireless Controller für Forti Access Points? ===

Grundsätzlich verfügen alle FortiGate Devices über einen Wireless Controller mit Aussnahme von:

FortiGate 20C
FortiGate 30D

Ab FortiOS 5.0.6 / 5.2 wurde der FG-30D die Möglichkeit gegeben den FortiGate Wirless Controller zu verwenden. Ebenfalls kann die 30D ab dieser Version 2 FortiAPs managen! Somit ist jeder FortiGate Device limitiert in der Anzahl der FortiAPs die verwaltet resp. konfiguriert werden können. Folgender Artikel gibt Auskunft über die Anzahl FortiAPs die mit einem entsprechenden FortiGate Devices verwaltet/konfiguriert werden können sowie was dabei zu berücksichtigen ist:

[[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]

=== Wieviele Forti Access Points können über eine FortiGate Wireless Controller konfiguriert werden? ===

Ab FortiOS 5.0 gibt nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAPs die über eine FortiGate konfiguriert werden können:

[[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix |Produkte Matrix]]

Ab FortiOS 5.0.3 wurde die Anzahl der FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden könnnen erweitert. Dies bedeutet: es wird unterschieden zwischen folgenden Mode:

• SSID im "tunneling" Mode
• SSID im "local bridging" Mode

Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID konfiguriert auf "local bridging", zählt dieser FortiAP als "remote" (wtp-mode). Dies gilt jedoch nur wenn ausschliesslich nur diese Art einer SSID auf dem entsprechenden FortiAP benützt wird. Werden auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als "normal" (wtp-mode). Somit, wenn man einen FortiAP konfiguriert mit SSID im "local bridging" Mode kann dieser FortiAP explizit als "wtp-mode remote" gesetzt werden. Dies kann auf der CLI durchgeführt werden:

# config wireless-controller wtp
# edit [Gebe die entsprechende Serial Nummer des FAP an]
# set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
# end

Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging" gesetzt, erscheint folgende Meldung:

Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'

Die Produkt Matrix gibt somit Auskunft über die möglichen "normal" Mode sowie "remote" Mode. Die Anzahl der möglichen FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden können wird folgendermassen angegeben in der Produkt Matrix:

FG-60D 10/5 (Total/Tunnel)

Somit stehet zB für eine FG-60D folgendes zur Verfügung:

• 5 FortiAPs mit SSID im "tunneling" und/oder "local bridging" gemischt! (wtp-mode normal)
• 5 FortiAPs mit SSID im "local bridging" Mode (wtp-mode remote)

= 10 Total möglich wobei 5 im "local bridging" only! (10/5)

Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FortiAPs sowie "local bridging":

[[Datei:Fortinet-844.jpg]]

Die offizielle Information betreffend "tunneling" und/oder local bridging" möglichen FortiAPs auf einem FortiGate Device findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

Fortinet hat ein Dokument herausgegeben, in dem der Umstand dieser Aenderung erklärt wird und wieso dem so ist:

[[Datei:Maximum_Number_of_Managed_FortiAPs_in_FortiOS_5_0_3_FAQ_-_August_2013_v1_r5.pdf]]

=== Kann ich einen Forti Access Point Device ohne FortiGate Wireless Controller konfigurieren und betreiben? ===

Ein Forti Access Point hat zwar ein Mgmt. Web Interface über dieses bestimmte einfache Konfigurationen durchgeführt werden können wie zB die Vergabe einer fixen IPv4 Adresse jedoch benötigt ein Forti Access Point für den Betrieb und dessen Grundkonfiguration einen FortiGate Wireless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem Forti Acces Point vom FortiGate Wireless Controller übermittelt/zugewiesen und somit kann ein Forti Access Point nicht ohne FortiGate Wirless Controller betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein Forti Access Point auch ohne FortiGate Wireless Controller betrieben werden da Fortinet neu einen entsprechenden Wireless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:

[[FortiCloud:FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F]]

=== Was ist die max. Anzahl User die auf einem Forti Access Point verbunden werden können? ===

Nun die FortiAPs unterliegen keinem Hardlimit! Wenn eine Limitierung konfiguriert werden möchte, kann dies über die jeweilige SSID im Mgmt. Web Interface über folgende Position konfiguriert werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients

Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen:

3-7 - For a direct wire replacement.
8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
>50 - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.

Diese Angaben stammen aus folgendem Dokument:

[[Datei:FortiAP Technical FAQ - January 2014.pdf]])

=== Was ist die max. Anzahl SSID's die ich auf einem Forti Access Point konfigurieren und betreiben kann? ===

Grundsätzlich gelten die "maximum values" für das entsprechende FortiOS. Weitere Informationen betreffend "maximum values" siehe nachfolgenden Link:

[[Datei:Fortigate-max-values-50.pdf]]
[[Datei:Fortigate-max-values-52.pdf]]
[http://help.fortinet.com/fgt/54/max-values/5-4-0/max-values.html Datei:Fortigate-Max-Values-54.pdf]

In diesen "maximum values" sind zwei Werte gelistet:

• SSIDs Dieser Wert stellt das Maximum dar der SSID's die konfiguriert werden können!
• SSID lists per FortiAP Dieser Wert stellt das Maximum dar der SSID's die für einen Forti Access Point konfiguriert werden können!

Dabei ist folgendes zu beachten: Wenn auf einem Forti Access Point die volle Anzahl der SSID's konfiguriert wird so entsteht durch den Traffic der SSID's selber eine hohe Belastung (zusätzliche Broadcast Frames). Aus diesem Grund ist es nicht empfehlenswert mehr als 7 SSID's auf einem Forti Access Point zu konfigurieren da durch mehr SSID's die Performance durch die zusätzlichen Broadcast Frames beeinträchtigt wird. Die empfohlen Anzahl seitens Fortinet ist 4 SSID's!

=== Wie sieht der Hardware-Technische Aufbau (block diagram) eines Forti Access Point Produkts aus? ===

In der nachfolgenden Abbildung resp. "block diagram" wird anhand eines FortiAP-28C gezeigt, wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:

[[Datei:Fortinet-1347.jpg]]

Wie aus dem "block diagram" ersichtlich ist, wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:

http://en.wikipedia.org/wiki/Qualcomm_Atheros

Desweiteren eine "Schematische" Uebersicht betreffend FAP-221C, FAP-320C sowie FAP-321C:

'''FAP-221C'''

[[Datei:Fortinet-1359.jpg]]

'''FAP-320C'''

[[Datei:Fortinet-1360.jpg]]

'''FAP-321C'''

[[Datei:Fortinet-1361.jpg]]

Weitere Modelle betreffend Forti Access Point Hardware Schematics findet man unter folgenden Link:

[[Fortinet:ProduktInfo#Fortinet_Hardware_Schematics]]

=== Wieso kann die Hardware eines Forti Access Point FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten? ===

Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:

[[FortiAP:FAQ#Wo_finde_ich_detailliert_Informationen_.C3.BCber_Wireless_.22802.11AC_MU-MiMo.22_Funktion.3F]]

In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:

# cw_diag -c radio-cfg

Radio 0: AP
country : cfg=CH oper=CH
radio type : 11N_2.4G
beacon intv : 100
tx power : 15
HT param : '''mcs=23 gi=disabled bw=20MHz'''
ack timeout : 64
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=6 age=25011
channel : num=6
oper_chan : 6
r_ac md_cap : 2, 6, 10,
r_ac chan list : 2, 6, 10,
chan list : 2, 6, 10,
hw_chan list : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
nol list :
ap scan : background regular scan,
ap scan period : 600s
ap scan intv : 1s
ap scan dur : 20ms
ap scan idle : 0ms
ap scan rpt tmr: 30s
sta scan : enabled
arrp : enabled --info only
spect analysis : disabled
wids : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
long-dur-thresh: 8200
auth-flood: time=10, thresh=30
assoc-flood: time=10, thresh=30
Radio 1: AP
country : cfg=CH oper=CH
radio type : 11AC
beacon intv : 100
tx power : 31
VHT param : '''mcs=9 gi=disabled bw=80MHz'''
ack timeout : 25
r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
r_ac chan : num=0 age=68299
channel : num=0
oper_chan : 36
r_ac md_cap : 36, 40, 44, 48,
r_ac chan list : 36, 40, 44, 48,
chan list : 36, 40, 44, 48,
hw_chan list : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
128, 132, 136, 140,
nol list :
ap scan : disabled,
sta scan : disabled
arrp : disabled --info only
spect analysis : disabled
wids : disabled

Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche Umgebungsvariablen 100% stimmen was wiederum bedeutet: Der Host/Client muss für die Verbindung zB ebenfalls den entsprechenden "MCS Index" unterstützen! Somit wenn die Umgebungs Variablen 100% stimmen bestimmt der MCS Index den max. Durchsatz gemäss unteren Tabelle:

[[Datei:Fortinet-718.jpg]]

=== Welches FortiOS soll im Zusammenhang mit FortiGate Devices und/oder Forti Access Points eingesetzt werden? ===

Grundsätzlich ist es empfohlen die jeweiligen Release Notes für das entsprechenden FortiOS für einen Forti Access Point zu konsultieren um zu verifizieren welche Version für welchen FortiGate Patch Level unterstützt wird. In einem Upgrade Scenario muss ebenfalls verifiziert werden, wie ein Upgrade zu erfolgen hat dh. von welcher FortiOS Version für die Forti Access Points. Teilweise ist es möglich für Forti Access Points höhere Versionen einzusetzen dh. Zb FortiGate Device 5.0 und auf den Forti Access Point 5.2. Dabei ist jedoch zu berücksichtigen: Features die für FortiOS 5.2 grundsätzlich zur Verfügung stehen, können obwohl der Forti Access Points basierend auf FortiOS 5.2 betrieben wird, nicht zugewiesen werden da der FortiGate Wireless Controller FortiOS 5.0 basierend ist. Da die Konfiguration eines Forti Access Point über den FortiGate Wireless Controller einem Forti Access Point zugewiesen wird kann in so einer Konstellation der FortiGate Wireless Controller einem Forti Access Point nicht 5.2 basierend Features zuweisen da der FortiGate Wireless Controller diese nicht kennt da dieser auf FortiOS 5.0 basiert. Je nach FortiOS Version ist es nicht möglich ein durchgeführtes Upgrade durch ein Downgrade zu ersetzen. Auch hier gibt die Release Notes des entsprechenden FortiOS für die Forti Access Points Auskunft ob ein nachträgliches Downgrade durchführbar ist. Weitere Auskunft über diese Problematik betreffend Downgrade von 5.2 auf 5.0 gibt nachfolgender Artikel:

[[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_einer_Firmware_5.0_ein_.22Downgrade.22_durchf.C3.BChren.3F]]
[[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.4_anhand_einer_Firmware_5.2_ein_.22Downgrade.22_durchf.C3.BChren.3F]]

Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet: ein Upgrade für den FAP-320C ist folgendermassen durchzuführen:

Schritt 1: FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out
Schritt 2: Danach Upgrade mit regulärem Image auf 5.2.2

Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Patch Level sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss, die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:

https://support.fortinet.com/Download/FirmwareImages.aspx

/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Nachträglich eine kurze Uebersicht über die möglichen Konstellation:

FortiGate 5.2.x --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)
FortiGate 5.0.x --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)
FortiGate 5.0.x (Special Support Build) --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (Zwingend für Modelle FAP-221C/222C/223C/321C damit diese erkannt werden)

Bei dieser Aufstellung der Möglichkeiten ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D sind in der Version Forti Access Point 5.0.x nicht erhältlich. Somit müssen die Forti Access Point basierend auf Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu achten immmer den neusten Patch Level für Forti Access Points einzusetzen unter berücksichtigung der Release Notes.

=== Wie kann ich das lokale Passwort auf einem Forti Access Point zurücksetzen? ===

Wenn ein Forti Access Point in Betrieb genommen wird so ist das Standard Password wie bei allen Fortinet Geräten für den User "admin" nicht gesetzt dh. kein Passwort. Wenn nun dennoch in einer weiteren Konfiguration auf einem Forti Access Point ein Passwort gesetzt wird und später für ein Login dieses nicht mehr zur Verfügung steht kann Grundsätzlich folgendes durchgeführt werden:

"Forti Access Point ist nicht mit einem FortiGate Wireless Controller verbunden"

Wenn ein Forti Access Point nicht mit einem FortiGate Wireless Controller verbunden ist dh. das entsprechende
Passwort benötigt wird um Lokal auf den Forti Access Point zu verbinden bleibt einem nichts anderes übrig als
einen "Factory Reset" auszuführen auf dem Forti Access Point. Zu diesem Zweck verfügen alle Forti Access Points
über einen "Hardware Reset" Button anhand diesem ein Factory Reset ausgeführt werden kann. Weitere Informationen
dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

"Forti Access Point ist mit einer FortiGate Wireless Controller verbunden"

Wenn der Forti Access Point über eine FortiGate Wireless Controller verbunden ist kann das Passwort auf einem
Forti Access Point über den "FortiGate Wireless Controller" der FortiGate zurück gesetzt werden. Dies wird
folgendermassen ausgeführt:

'''FortiOS 5.0/5.2'''

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set login-passwd-change default
# end
# end

'''FortiOS 5.4'''

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
# set override-login-passwd-change enable
# set login-passwd-change default
# end
# end

Sofern der Forti Access Point ein WTP Profile benutzt kann das Passwort ebenfalls über dieses WTP Profile
zurück gesetzt werden:

# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile des Forti Access Point an]
# set login-passwd-change default
# end
# end

Durch dieses Kommando wird das Passwort eines Forti Access Point auf "default" zurück gesetzt dh. es gilt User
"admin" und kein Passwort.

=== Wie kann ich für eine Forti Access Point Hardware einen Factory Reset durchführen? ===

Wenn für eine Forti Access Point Hardware ein Factory Reset durchgeführt werden soll so kann das Lokal über die CLI auf einem Forti Access Point durchgeführt werden. Einerseits wenn dies durchgeführt werden möchte, ist es möglich per "telnet" über den Forti Gate Wireless Controller Zugriff auf die CLI eines Forti Access Point zu erhalten. Ebenso kann der Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden werden um danach ebenso über "telnet" Zugriff auf die CLI des Forti Access Point zu erhalten.

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Wenn ein Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden ist muss "telnet" Zugriff über das Mgmt. Web Interface des Forti Access Point aktiviert werden. Um auf der CLI danach ein Factory Reset auszuführen gebe folgendes ein:

# cfg -x
# reboot

oder auch

# factoryreset

Durch den Befehl "cfg -x" wird der Forti Access Point zurückgesetzt und zware ohne Neustart des Forti Access Point im Gegensatz zu "factoryreset"! Aus diesem Grund muss nach "cfg -x" ein manueller Neustart durchgeführt werden. Die Forti Access Points können ebenfalls auch manuell anhand eines "Hardware Reset" Buttons auf Factory Reset zurückgestellt werden. Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:

'''FAP-210B and FAP-220B'''
Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.

'''FAP-221B, FAP 221C and FAP-223B'''
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Es wird automatisch ein Neustart ausgeführt.

'''FAP-320B and FAP320C'''
Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
ein Neustart ausgeführt.

'''FAP-222B'''
Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.

'''FAP-11C'''
Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.

Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:

[[Fortinet:ProduktInfo#FortiAP]]

=== Was bedeuten die verschiedenen Regionen Codes im Zusammenhang mit der Forti Access Point Hardware resp. SKU? ===

Wenn man einen Forti Access Point beim Distributor bestellt, wird die korrekte Fortinet Hardware mit der SKU indiziert dh. eine Fortinet SKU zB für einen FortiAccess Point FAP-221C hat folgende SKU:

FAP-221C-E

Der Zusatz "-E" indiziert den "Regionen Code". Dies bedeutet: Durch den entsprechenden Regionen Code werden Regulatorien resp. Richtlinien der einzelnen Ländern bestätigt. Dies bedeutet wiederum: Muss für ein Projekt zB ein Forti Access Point nach Japan gesendet werden ist es nicht korrket ein "-E" Modell nach Japan zu senden da sich dieser Forti Access Point dh. "-E" unterscheidet von "-J" und somit die Richtlinien für das entsprechende Land nicht eingehalten werden. Somit muss bei einer Bestellung dies mitgeteilt werden zB:

FAP-221C-J

Um den richtigen Forti Access Point mit dem korrekten "Region Code" bestellt werden kann muss das Installations Land bekannt sein damit der korrekte "Region Code" verifiziert werden kann. Nachfolgend einen Ueberblick ober die verschiedenen "Region Code":

'''-A''' CANADA
GUAM
PUERTO RICO
ARGENTINA
UNITED STATES

'''-E''' ARUBA
AUSTRIA
BELGIUM
BOSNIA AND HERZEGOVINA
BULGARIA
CAMBODIA
CROATIA
CYPRUS
CZECH REPUBLIC
DENMARK
ESTONIA
FINLAND
FRANCE
GERMANY
GREECE
GREENLAND
HAITI
HUNGARY
ICELAND
IRAQ
IRELAND
ITALY
LATVIA
LEBANON
LIECHTENSTEIN
LITHUANIA
LUXEMBOURG
MACEDONIA
MALTA
NETHERLANDS
NETHERLANDS ANTILLES
NORWAY
POLAND
PORTUGAL
ROMANIA
SAUDIA ARABIA
SERBIA & MONTENEGRO
SLOVAK REPUBLIC
SLOVENIA
SOUTH AFRICA
SPAIN
SWEDEN
SWITZERLAND
TURKEY
UNITED ARAB EMIRATES
UNITED KINGDOM
BELARUS
KENYA
MOZAMBIQUE
ANGOLA
SUDAN
MAURITANIA

'''-I''' ARMENIA
AZERBAIJAN
GEORGIA
ISRAEL
KUWAIT
Morocco
TUNISIA
UZBEKISTAN
MONACO

'''-J''' JAPAN

'''-K''' KOREA REPUBLIC

'''-N''' AUSTRALIA
BARBADOS
BOLIVIA
BRAZIL
CHILE
COLOMBIA
COSTA RICA
DOMINICAN REPUBLIC
GUATEMALA
ECUADOR
EL SALVADOR
FIJI
HONG KONG
JAMAICA
MACAU
MEXICO
NEW ZEALAND
OMAN
PANAMA
PAPUA NEW GUINEA
PARAGUAY
PERU
PHILIPPINES
QATAR
TRINIDAD & TOBAGO
VENEZUELA

'''-V''' VIETNAM
BAHRAIN
SRI LANKA

'''-S''' BRUNEI DARUSSALAM
INDIA
SINGAPORE
THAILAND
GRENADA
HONDURAS
BELIZE
CHINA
IRAN
NEPAL
MALAYSIA
PAKISTAN
URUGUAY
EGYPT

'''-T''' TAIWAN

'''-U''' UKRAINE

'''-P''' RUSSIA

'''-W''' ALBANIA
TANZANIA
YEMEN
ZIMBABWE
ALGERIA
BANGLADESH
INDONESIA
KAZAKHSTAN
SYRIA

== Power Adapter ==

=== Wo finde ich eine Uebersicht ob ein Forti Access Point mit PowerAdapter geliefert wird oder PoE unterstützt? ===

FortiAPs werden teilweise mit jedoch teilweise auch ohne PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAPs mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter die für fast alle FortiAPs erhältlich sind aufgeführt: 
'''FortiAP Netzteile:'''
[[Datei:Fortinet-2814.jpg|750px|link=]]
[[Datei:Fortinet-2815.jpg|750px|link=]]
[[Datei:Fortinet-2816.jpg|750px|link=]]
----
'''FortiAP S-Serie Netzteile:'''
[[Datei:Fortinet-2817.jpg|750px|link=]]
----
'''FortiAP U-Serie Netzteile:'''
[[Datei:Fortinet-2818.jpg|750px|link=]]
----
'''FortiAP C-Serie Netzteile:'''
[[Datei:Fortinet-2819.jpg|750px|link=]]
----

Betreffend dieser Informationen im Zusammenhang mit FortiAP-S siehe nachfolgender Artikel:

[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

----
2692514 GPI-115 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
2700323 GPI-130 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W

== FortiCare ==

=== Muss ich für die "Lifetime Warranty" eines Forti Access Point ein FortiCare (Maitenance) beziehen? ===

"Lifetime Waranty" muss für einen Forti Access Point nicht in jedem Fall bezogen werden! Die Fortinet hat im März 2014 folgendes Dokument released:

[[Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf]]
[[Datei:Fortinet_Limited_Lifetime_Warranty_FAQ_-_January_2015.pdf]]

Dieses Dokument besagt folgendes:

Jeder FortiAP der nach 1. November 2013 gekauft/registriert wurde (purchased after November 1st 2013) benötigt kein FortiCare mehr und hat
"LifeTime Waranty" betreffend RMA. "LifeTime Waranty" bedeutet: 5 Jahre nach EOL (End Of Life Announcement).

Alle Geräte vor dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden! Alle FortiAP die über kein FortiCare verfügen und nach dem 1. November 2013 gekauft wurden, werden über Fortinet EMEA (Sophia Antipolis) bei Defekt ausgetauscht. Was jedoch zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich nicht auf:

• Firmware Upgrade
• Technischer Support (Ticketing)

Somit muss für die Aussage im Zusammenhang mit "Lieftime Warranty" folgendes berücksichtigt werden: Um ein Firmware Upgrade auf einem Forti Access Point durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt man weiterhin FortiCare dh. ohne FortiCare können keine regulären Firmware Upgrades für Forti Access Point durchgeführt werden und können keine technischen Support Tickets eröffnet werden! Somit muss für einen Forti Access Point Maintenance resp. mit FortiCare bezogen werden!

== Antenna ==

=== Kann man Forti Access Points mit externen Antennen Nach-/Ausrüsten? ===

Grunsätzlich ist es möglich Forti Access Points mit externen Antenen Nach-/Auszurüsten dh. das eingesetzte Forti Access Point Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Dies bedeutet: ob der vorhanden Anschluss für eine externe Antenne zur Verfügung steht oder nicht. Ob dies der Fall ist, kann über das jeweiligen Quickstart und/oder Datasheet verifiziert werden:

[[Fortinet:ProduktInfo#FortiWiFi]]
[[Fortinet:ProduktInfo#FortiAP]]

Fortinet bietet eigene externe Antennen an in der Forti Access Point Produktlinie. Der Wirkungsgrad dieser Antennen etc. kann im jeweiligen Datasheet nachgelesen werden:

[[Fortinet:ProduktInfo#FortiAntenna]]

=== Was ist zu beachten wenn Forti Access Points mit einer externen Antenne ausgerüstet wird? ===

Eine externe Antenne verteilt das Signal nur dh. es verstärkt dieses nicht! Die Antennen verteilen das Signal in Ihrer speziellen Art und Weise (Wirkungsgrad). Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

=== Welchen Anschluss benützt eine Forti Access Point für den externen Antenna Anschluss? ===

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

[[Fortinet:ProduktInfo#FortiWiFi]]
[[Fortinet:ProduktInfo#FortiAP]]

Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:

https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder

=== Gibt es von Fortinet für Forti Access Point eine externe "omnidirect" Antenne? ===

Omnidirect bedeutet: 360° was wiederum bedeutet, dass Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet externen Antennen gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung (Wirkungsgrad):

[[Fortinet:ProduktInfo#FortiAntenna]]

== FortiAP-OS ==

=== Wo finde ich den Upgrade Pfad für das FortiAP OS? ===
Den Upgrade Pfad um einen FortiAccespoint upzugraden ist in den Docs und in den Release Notes ersichtlich:
https://docs.fortinet.com/document/fortiap/6.4.2/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-s-and-fortiap-w2-version-6-4-2
Aktuelle Liste (FortiOS 6.4.2): 
[[File:Fortinet-2823.jpg|750px|link=]]

=== Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet? ===

Beim FortiOS eines Forti Access Point handelt es sich um ein "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0). Dies bedeutet: Prozesse und / oder Deamons werden über die zuständigen RC-Level (Start Scripts) abgewickelt. Diese RC-Level welche wiederum einfach Scripts darstellen, lesen Konfigurations-Dateien aus um die notwendige Konfiguration durchzuführen. Die RC-Levels befinden sich im folgenden Verzeichnis:

/etc/rc.d/

Die Konfigurations-Dateien befinden sich im folgenden Verzeichnis:

/etc/ath

In diesem Verzeichnis existieren folgende Files welche für folgende Konfiguration zuständig sind:

'''<big>dflt.cfg (Standard Konfiguration)</big>'''

# more /etc/ath/dflt.cfg

--------------- output dflt.cfg ---------------

## Default values of FAP cfg variables
## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
## Add an entry like: CFG_VAR_NAME_DFLT=DFLT_VALUE
## Don't include "" in DFLT_VALUE

BAUD_RATE_DFLT=9600
FIRMWARE_UPGRADE_DFLT=0
ADMIN_TIMEOUT_DFLT=5

ADDR_MODE_DFLT=DHCP
STP_MODE_DFLT=0
AP_IPADDR_DFLT=192.168.1.2
AP_NETMASK_DFLT=255.255.255.0
IPGW_DFLT=192.168.1.1
DNS_SERVER_DFLT=208.91.112.53
AP_MGMT_VLAN_ID_DFLT=0
WAN_MODE_DFLT=bridged
WAN_IPADDR_DFLT=192.168.2.1
WAN_NETMASK_DFLT=255.255.255.0
TELNET_ALLOW_DFLT=0
HTTP_ALLOW_DFLT=1

AC_DISCOVERY_TYPE_DFLT=0
AC_IPADDR_1_DFLT=192.168.1.1
AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
AC_CTL_PORT_DFLT=5246
AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
AC_PLAIN_CTL_DFLT=0
AC_DATA_CHAN_SEC_DFLT=2

MESH_AP_TYPE_DFLT=0
MESH_AP_MODE_DFLT=0
MESH_AP_SSID_DFLT=fortinet.mesh.root
MESH_AP_BSSID_DFLT=
MESH_AP_PASSWD_DFLT=fortinet.mesh.root
MESH_ETH_BRIDGE_DFLT=0
MESH_MAX_HOPS_DFLT=4
MESH_SCORE_HOP_WEIGHT_DFLT=50
MESH_SCORE_CHAN_WEIGHT_DFLT=1
MESH_SCORE_RATE_WEIGHT_DFLT=1
MESH_SCORE_BAND_WEIGHT_DFLT=100
MESH_SCORE_RSSI_WEIGHT_DFLT=100

--------------- output dflt.cfg ---------------

'''<big>apcfg (Benutzerspezifische Konfiguration)</big>'''

# more /etc/ath/apcfg

--------------- output dflt.cfg ---------------

###################################################################################
## apcfg
##
## Configuration file for Atheros AP.
## This file will "predefine" default configuration data for the AP. This
## will first read all configuration data from flash (cfg -E), then fill in any
## defaults that are missing. Thus the defaults will appear on the web pages
## even if the configuration store has been cleared.
##
###################################################################################
##
## Get the current settings from flash/cache area
##

cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$

source /etc/ath/dflt.cfg

##
## Set Network configuration
##
## AP_IPADDR = IP address of the bridge

## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
## WAN_MODE = bridged for attached to bridged, Get address if dhcp, fixed address
## if static
##
###################################################################################

if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
cfg -a FIRMWARE_UPGRADE=0
cfg -c
if [ ${LOGIN_PASSWD_ENC} ]; then
cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
fi
fi

cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}

cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}

cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}

##
## Set WTP configuration
##
cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}

##
## Set MESH configuration
##
cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
if test ${MESH_AP_PASSWD+defined}
then
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
else
cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
fi
cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}

cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
_DFLT}} T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
#
# Account for S26 peculiarity
#
export WAN_IF=eth1
export LAN_IF=eth0

#
# Indicate if you want the WLAN to be activated on boot up.
#

cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}

#
# AP Start Mode
# This can be overridded by environmental variables
# Modes can be
# standard := standard single AP start mode
# rootap := WDS root AP for WDS modes
#reptater-ind := WDS repeater station independent mode
# client := WDS "virtual wire" client
# multi := Multiple BSSID with all encryption types
# dual := Dual concurrent, automatically configure interface
# stafwd := Station mode with address forwarding enabled
#
#

cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}

#################################################################################
## Default Parameters
## If these are not set explictly by exporting environmental variables, the following
## Defaults will be applied
#################################################################################
#
# AP_PRIMARY_CH could be
# 11na (which means auto-scan in 11na mode) or
# 11ng (which means auto-scan in 11ng mode)

cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}

##
## Set up the channel for dual mode
##

cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}

##
## This is for pure G or pure N operations. Hmmmm...
##

cfg -a PUREG=${PUREG:=0}
cfg -a PUREN=${PUREN:=0}

##
## Channel Configuration Section
##

cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
cfg -a SHORTGI=${SHORTGI:=1}
cfg -a SHORTGI_2=${SHORTGI_2:=1}

#
# Aggregation. First parameter enables/disables,
# second parameter sets the size limit
#

cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
cfg -a AMPDUMIN=${AMPDUMIN:=32768}
cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
cfg -a CWMMODE=${CWMMODE:=1}
cfg -a CWMMODE_2=${CWMMODE_2:=1}
cfg -a RATECTL=${RATECTL:="auto"}
cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}

##
## AP Identification Section
##

cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"

if [ "${AP_STARTMODE}" = "dual" ]; then
cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
fi

##
## Set the default modes for multi configuration
## Set default security modes
## Set default secfile to PSK, only valid in WPA mode
## Default keys are Decimal (NOT hex)
##
export MAX_VAPS_PER_RADIO=4

_1
## trailer - it's not a VAP number, it's the number of the key. This is done for-More-- (73% of 8884 bytes)
## both radios.
##

my_wep_keys="_1 _2 _3 _4"
for i in $my_wep_keys;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
done

##
## Now, for each radio, set the primary key and the mode value
##
cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"

my_vaps="'' _2 _3 _4 _5 _6 _7 _8"
for i in $my_vaps;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_AP_MODE="AP_MODE$i"
ITER_AP_SECMODE="AP_SECMODE$i"
ITER_AP_SECFILE="AP_SECFILE$i"
ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
eval ITER_MODE=\$$ITER_AP_MODE
eval ITER_SECMODE=\$$ITER_AP_SECMODE
eval ITER_SECFILE=\$$ITER_AP_SECFILE
eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
done LE=${ITER_WPS_ENABLE:="0"}

##
## Export the variables again to catch the defaults
##

cfg -E > /tmp/vars.$$
. /tmp/vars.$$
rm /tmp/vars.$$

##
## Set the proper radio parameter values depending on the
## interface selected. These are exported vice included
## in cache. These should really be in apup vice here,
## but this works OK.
##

for i in $my_vaps;
do
if [ "${i}" = "''" ]; then
i=""
fi
ITER_RADIO_ID="AP_RADIO_ID$i"
eval ITER_RADIO_ID=\$$ITER_RADIO_ID
if [ "${ITER_RADIO_ID}" = "1" ]; then
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
else
export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
fi
done

#####################################################################################
## The following parameters are board specific, and should not be modified
#####################################################################################

export ATH_use_eeprom=0

--------------- output dflt.cfg ---------------

=== Wo befindet sich auf dem FortiOS für einen Forti Access Point das Standard Certificate? ===

Das Standard Zertifikate für ein Forti Access Point ist Wichtig und sollten nie manipuliert werden! Dies bedeutet: anhand dieser Zertifikate wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS Verschlüsselung etabliert. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Die Zertifikate befinden sich im folgenden Verzeichnis:

/etc/cert

/etc/fgt.crt
/etc/fgt.key

=== Wo befindet sich auf dem FortiOS für einen Forti Access Point das "root" des WebServers? ===

Ueber das FortiOS eines Forti Access Point wird ein Mgmt. Web Interface zur Verfügung gestellt für die minimale lokale Konfiguration. Das "root" des WebServers dieses Mgmt. Web Interface befindet sich auf dem FortiOS eines Forti Access Point im folgenden Verzeichnis:

/usr/www

=== Welche Linux Befehle können auf einem FortiOS für einen Forti Access Point benützt werden? ===

Ein Forti Access Point basiert auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Linux Kommandos abgesetzt werden wie zB:

ifconfig
more
cd

Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:

/bin
/sbin

# ls -la /bin

--------------- output /bin ---------------

drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ash -> busybox
-rwxr-xr-x 1 admin root 1143436 Dec 11 00:54 busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cat -> busybox
lrwxrwxrwx 1 admin root 24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 chmod -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 cp -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 date -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 df -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 dmesg -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 echo -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 egrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 factoryreset -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 fgrep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 grep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ip -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 iproute -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 kill -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ln -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 login -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ls -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mkdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 more -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 mv -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ping -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 ps -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 pwd -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rm -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 rmdir -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sh -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sleep -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 sync -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 touch -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 umount -> busybox
lrwxrwxrwx 1 admin root 7 Dec 11 00:54 uname -> busybox

--------------- output /bin ---------------

# ls -al /sbin

--------------- output /sbin ---------------

drwxr-xr-x 2 admin root 0 Dec 11 00:54 .
drwxr-xr-x 15 admin root 0 Jan 1 1970 ..
-rw-r--r-- 1 admin root 0 Dec 11 00:35 .dummy
-rwxr-xr-x 1 admin root 12128 Dec 11 00:54 apstart
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 arp -> ../bin/busybox
-rwxr-xr-x 1 admin root 1348400 Dec 11 00:54 cwWtpd
-rwxr-xr-x 1 admin root 6096 Dec 11 00:54 cw_debug
lrwxrwxrwx 1 admin root 6 Dec 11 00:54 cw_diag -> cwWtpd
-rwxr-xr-x 1 admin root 2534 Dec 11 00:46 cw_test_led
-rwxr-xr-x 1 admin root 3727 Dec 11 00:46 cw_test_radio
-rwxr-xr-x 1 admin root 4652 Dec 11 00:54 diag_console_debug
-rwxr-xr-x 1 admin root 5084 Dec 11 00:54 diag_debug_crashlog
-rwxr-xr-x 1 admin root 3932 Dec 11 00:54 ebtables
-rwxr-xr-x 1 admin root 9508 Dec 11 00:54 fap-factory-license
-rwxr-xr-x 1 admin root 4892 Dec 11 00:54 fap-get-status
-rwxr-xr-x 1 admin root 4484 Dec 11 00:54 fap-mount-udisk
-rwxr-xr-x 1 admin root 5956 Dec 11 00:54 fap-set-hostname
-rwxr-xr-x 1 admin root 4148 Dec 11 00:54 fap-umount-udisk
-rwxr-xr-x 1 admin root 74220 Dec 11 00:54 fsd
-rwxr-xr-x 1 admin root 11012 Dec 11 00:54 get
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 getty -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 halt -> ../bin/busybox
-rwxr-xr-x 1 admin root 4408 Dec 11 00:54 help
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 ifconfig -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 init -> ../bin/busybox
-rwxr-xr-x 1 admin root 3724 Dec 11 00:54 init_sys_shm
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 insmod -> ../bin/busybox
-rwxr-xr-x 1 admin root 21584 Dec 11 00:54 iwconfig
-rwxr-xr-x 1 admin root 25304 Dec 11 00:54 iwlist
-rwxr-xr-x 1 admin root 11352 Dec 11 00:54 iwpriv
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 lsmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 modprobe -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 poweroff -> ../bin/busybox
-rwxr-xr-x 1 admin root 12548 Dec 11 00:54 radartool
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 reboot -> ../bin/busybox
-rwxr-xr-x 1 admin root 61 Dec 11 00:49 repeater_pass_configuration
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 restore
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 rmmod -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 route -> ../bin/busybox
-rwxr-xr-x 1 admin root 5884 Dec 11 00:54 setcfg
-rwxr-xr-x 1 admin root 9268 Dec 11 00:54 startup_fw
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 udhcpc -> ../bin/busybox
lrwxrwxrwx 1 admin root 14 Dec 11 00:54 upgrade -> ../bin/busybox
-rwxr-xr-x 1 admin root 105972 Dec 11 00:54 usbmuxd
-rwxr-xr-x 1 admin root 19848 Dec 11 00:54 wlanconfig
-rwxr-xr-x 1 admin root 244180 Dec 11 00:54 wpa_supplicant

--------------- output /sbin ---------------

== FortiPlanner ==

=== Was ist ein FortiPlanner und wo finde ich weitere Informationen zum FortiPlanner? ===

Beim FortiPlanner handelt es sich um ein Tool das Fortinet zur Verfügung stellt um eine Wireless Plannung durchzuführen. Weitere Informationen zum FortiPlanner siehe nachfolgenden Artikel:

[[FortiPlanner:FAQ]]

== 802.11 ==

=== Wo finde ich detailliert Informationen über den Wireless "IEEE 802.11" Standard? ===

Folgender Link gibt Auskunft über den "IEEE 802.11" Standard und enthält weitere nützliche Links:

http://en.wikipedia.org/wiki/802.11

=== Wo finde ich detailliert Informationen über den Wireless "802.11ac" Standard? ===

Fortinet hat ein Dokument veröffentlich in dem der neue "802.11ac" ([[http://en.wikipedia.org/wiki/IEEE_802.11ac |IEEE 802.11ac]] Standard beschrieben wird:

[[Datei:802.11ac_Wireless_LAN_FAQ_-_July_2013.pdf]]
[[Datei:802.11ac_Wireless_LAN_FAQ_-_Januar_2014.pdf]]
[[Datei:802.11ac_Wireless_LAN_FAQ_-_Februar_2014.pdf]]

Dabei ist eine Position in den Dokument zu berücksichtigen:

'''Do I need to buy new APs to support 802.11ac?'''
Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.

Somit können bestehende Modelle wie zB FAP-221B nicht auf den neuen Standard 802.11ac anhand eines Software Updates gebracht werden da es für den 802.11ac Standard neue Hardware benötigt die diesen Standard 802.11ac unterstützt wie zB FAP-221C. Desweiteren ist zu berücksichtigen, dass für diesen Standard resp. neue Hardware und für FortiOS 5.0 ein spezielles FortiOS installiert werden muss, damit die neuen FAP-221C die auf diesen neuen Standard 802.11ac basieren erkannt werden. Dieser neue "Special Support Build" wird basierend auf FortiOS 5.0 unter folgenden Link zur Verfügung gestellt:

https://support.fortinet.com/Download/FirmwareImages.aspx

/ FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Dieser Link kann nur dann aufgerufen werden, wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Mit diesem "Special Support Build" wird ausschliesslich die neuen Forti Access Point (zB FAP-320C und FAP-221C) basierend auf 802.11ac unter FortiOS 5.0 unterstützt. Die Forti Access Points müssen mit FortiOS 5.2 betrieben werden. Um den "Special Support Build" zu installieren muss folgendermassen vorgegangen werden:

1. Installierte Basis offizielles FortiOS 5.0.x

2. Upgrade auf die letzte zur Verfügung stehende offizielle Version zB FortiOS 5.0.12 gemäss Upgrade Path:

[[Datei:FortiOS-Upgradepath.pdf]]

3. Einspielen des "Feature Support Build" basierend auf FortiOS 5.0.12

Für FortiOS 5.2 und höher muss zur Unterstützung der neuen 802.11ac Standard kein "Feature Support Build" installiert werden!

=== Wo finde ich detailliert Informationen über Wireless "802.11AC MU-MiMo" Funktion? ===

Unter "802.11AC MU-MiMo" versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". MiMo bedeutet somit konkret:

MI steht für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen

Dahinter verbirgt sich im Prinzip ein cleveres Radio/Antennen Management! Wenn ein Access Point über mehrer "radios" mit Antennen vefügt, kann der Access Point seine "radio" Antennen gezielt aufteilen wenn er mehrere Gegenstellen zu bedienen hat um damit jeder Gegenstelle eine besonders stabile und starke Verbindung zu garantieren:

[[Datei:Fortinet-326.jpg]] oder [[Datei:Fortinet-331.jpg]]

Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:

[[Datei:Fortinet-718.jpg]]

Wenn diese Technology für "802.11AC MU-MiMo", die auch für den Forti Access Point FAP-320B/C benutzt wird eingesetzt werden soll, so muss ebenfalls die Client/Host Seite über diese Technolgie verfügen. Dies bedeutet: der Client/Host selber müssen diese Technologie durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client/Host zB IPad "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte um die entsprechende Performance zu erlangen!

== Wireless Controller ==

=== Wie kann ich für einen FortiGate Wireless Controller den "Country Code" Konfigurieren? ===

Ein Forti Access Point wird über die Fortigate Wireless Controller konfiguriert. Es ist zwingend Notwendig die korrekte "location" (Country Code) zu setzen bevor ein Forti Access Point konfiguriert wird. UM den entsprechenden Country Code auf dem FortiGate Wireless Controller zu konfigurieren führe folgendes durch:

# config wireless-controller setting
# set country CH
# end

Wenn man die Konfiguration abschliesst, kann es zu einer Fehlermeldung führen. Der Grund dafür sind existierende WTP Profiles die auf den alten Country Code basierend. Der Konfigurationspunkt in den WTP Profiles die auf dem Country Code basieren, sind die zur Verfügung gestellten "channels" und diese können von Land zu Land unterschiedlich sein. Aus diesem Grund unter FortiOS 5.0 dürfen kein WTP Profiles existieren wenn der Country Code neu gesetzt wird. Aus diesem Grund müssen die bestehenden WTP Profiles unter FortiOS 5.0 gelöscht werden. Dies wird folgendermassen durchgeführt:

# config wireless-controller wtp-profile
# purge
This operation will clear all table!
Do you want to continue (y/n)'''y'''

Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert werden jedoch wird sämtliche "channel" Konfiguration zurückgesetzt und muss bei einer bestehenden Konfiguration nachträglich kontrolliert werden. Wird der Country Code unter FortiOS 5.2 auf der CLI geändert erscheint folgende Meldung:

This operation will also clear channel settings of all the existing wtp profiles
Do you want to continue (y/n)'''y'''

=== Kann ich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos absetzen? ===

Ab FortiGate/FortiAccessPoint FortiOS 5.4.1 ist es möglich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos abzusetzen. Welche Kommandos dabei auf dem Forti Access Point abgesetzt werden können siehe nachfolgender Artikel:

[[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_Lokal_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]

Wenn Kommandos die für eine Forti Access Point zur Verfügung stehen über den FortiGate Wireless Controller abgesetzt werden, spielt es keine Rolle ob der Administrative Access eines Forti Access Points dh. telnet, ssh, http oder https aktiviert ist oder nicht denn die Kommandos werden über CAPWAP UDP-5246 durchgeführt. Um ein Kommando abzusetzen steht folgende Syntax mit deren Optionen zur Verfügung:

# diagnose wireless-controller wlac wtpcmd [Forti Access Point IPv4] [CAPWAP Port] cmd [cmd-to-ap | run | show | showhex | clr | r&s | r&sh]

Die verschiedenen Optionen für "cmd" haben folgende Bedeutung:

• cmd-to-ap: any shell commands, but AP will not report results until the command is finished on the AP
• run: controller sends the ap-cmd to the FAP to run
• show: show current results reported by the AP in text
• showhex: show current results reported by the AP in hex
• clr: clear reported results
• r&s: run/show
• r&sh: run/showhex

Das Kommando das sich am Besten eignet um Kommandos abzusetzen ist "r&s" dh. "run and show". Nachfolgend ein Beispiel anhand "cfg -s" das die momentane Konfiguration eines Forti Access Points zeigt:

# diagnose wireless-controller wlac wtpcmd [Forti Access Point IP] 5246 cmd r&s "cfg -s"

Um die IPv4 Adresse eines Forti Access Points über CLI zu verifizieren siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

=== Wie kann ich auf einem FortiGate Wireless Controller ein Troubleshooting durchführen (diagnose)? ===

Auf einem FortiGate Wireless Controller stehen folgende troubleshooting Kommandos zur Verfügung um verschiedenen Informationen zu verifizieren:

# diagnose wireless wlac -h
wlac usage:
wlac help --show this usage
wlac ping [-c cnt] [-s len] <ip> --send cnt len-bytes ping request
wlac tpt --show non-wireless terminaton point info
wlac tablesize --print tablesize for wireless-controller part only
wlac kickmac mac --disassociate a sta
wlac kickwtp ip cport --tear down a wtp session
wlac plain-ctl [[wtp-id] [0|1] | clear] --show, set or clear current plain control setting
wlac sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
wlac sniff [intf [wtp-id] [0|1|2] | clear] --show, set or clear sniff setting on intf for wtp-id
wlac list-vap --show configured VAPs and VAP groups.
wlac scanclr --clear the scanned rogue ap list
wlac scanstaclr --clear the scanned rogue sta list
wlac sta_filter [sta-mac level | clear] --show, set or clear sta filter
wlac wtp_filter [id vfid-ip:port level | clear] --show, set or clear wtp filter
wlac clear debug --clear all debug settings
wlac show debug --show all debug settings
wlac show kernel --show all -k command settings
wlac show data --show all -d settings
wlac show control --show all -c settings
wlac show all --show all -k,-c,-d and debug settings
wlac -k cws [wlan] --list cws info(kern)
wlac -k wtp [vfid-ip:port lip:port] --list wtp info(kern)
wlac -k vap [wlan | bssid] --list vap info(kern)
wlac -k sta [wlan | bssid mac] --list sta info(kern)
wlac -k wlan-sta wlan sta-ip --list wlan's sta info(kern)
wlac -d usage --list objects usage(data)
wlac wpad_vap [ip|bssid] --list vap info in wpad_ac
wlac wpad_sta [mac] --list sta info in wpad_ac
wlac sta-idle-auth [time] --get/set non-auth sta idle time
wlac -d all --list wlan/wtp/vap/sta info(data)
wlac -d wlan --list wlan info(data)
wlac -d wtp --list wtp info(data)
wlac -d vap --list vap info(data)
wlac -d sta --list sta info(data)
wlac -d sta-idx [wlan mac next] --list indexed sta info(data)
wlac -d wlsta wlan --list wlan's sta info(data)
wlac -d wtpsta wtp-index --list wtp's sta info(data)
wlac -d radiosta wtp-id rId --list radio's sta info(data)
wlac -c status --display ac status summary
wlac -c sta [mac] --list sta(ctl)
wlac -c wtpprof [wtpprof] --list configured wtp profiles(ctl)
wlac -c wtp [wtp] --list configured wtps(ctl)
wlac -c wtp-idx [wtp next] --list indexed wtp (ctl)
wlac -c radio-idx [wtp rId next] --list indexed radio (ctl)
wlac -c vap-idx [wtp rId wlan next] --list indexed vap (ctl)
wlac -c wlan [wlan|ssid] --list configured wlans(ctl)
wlac -c swintf --list configured switch interface(ctl)
wlac -c apsintf --list configured aps interface(ctl)
wlac -c ap-status --list configured ap status(ctl)
wlac -c widsprof --list configured wids profiles(ctl)
wlac -c byod_dev [dev | mac] --list configured devices(ctl)
wlac -c byod_devgrp [devgrp --list configured device groups(ctl)
wlac -c byod_devacl [devacl] --list configured device access lists(ctl)
wlac -c byod_devtype [devtype] --list configured device types(ctl)
wlac -c byod [wlan] --show device access in control plane
wlac -c byod_detected [wlan] --list detected devices(ctl)
wlac -c ws [ip] --list current wtp sessions(ctl)
wlac -c ws-fail --show current wtp sessions with SSID config failures
wlac -c ws-mesh vfid-ip:port --list this wtp session's mesh parent and child info(ctl)
wlac -c vap --list vap info(ctl)
wlac -c ap-rogue --list rogue ap info(ctl)
wlac -c sta-rogue --list rogue sta info(ctl)
wlac -c rap-hostlist bssid --list hosts related to the ap(ctl)
wlac -c arp-req --list arp info on the controller(ctl)
wlac -c mac-table --list mac table(ctl)
wlac -c br-table --list bridge table(ctl)
wlac -c nol --list the AP's non occupancy channel list for radar
wlac -c scan-clr-all --clear the scanned rogue ap and sta data(ctl)
wlac -c ap-onwire-clr bssid --clear the rogue ap's on wire flag(ctl)
wlac -c darrp --list darrp radio table(ctl)
wlac -c darrp-schedule --list darrp schedule table
wlac -c sta-cap [mac] --list sta capability(ctl)
wlac -c sta-locate --list located wireless stations(ctl)
wlac -c sta-locate-reset [1|2] --reset sta-locate data(ctl); 1: reset stats, 2 (default): flush entries
wlac -c rf-analysis [wtp-id|ac] --list rf analysis results(ctl)
wlac -c rf-sa wtp-id rId [chan] --list rf spectrum info
wlac -c radio-ifr wtp-id rId --list radio's interfering APs
wlac -c wids --show detected sta threat in control plane

=== Was kann getan werden, wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate Wireless Controller? ===

Wenn ein Forti Access Point in einem bestimmten IPv4 Adress Subnet/Segment in dem der Forti Access Point über den FortiGate Wireless Controller verwaltet wird (CAPWAP) nicht ersichtlich ist, muss folgendes berücksichtigt werden:

• Der Switch und/oder ein Router darf folgende Protokolle und Port nicht verwerfen/blocken:

Broadcast, Multicast sowie Unicast
CAPWAP Port UDP-5246

Auf einigen Switch Modellen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste das diese Protokolle nicht über den Switch verworfen/geblockt wird. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:

http://www.ietf.org/rfc/rfc5415.txt

Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP) kann folgendes durchgeführt werden:

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

'''Setze einen neuen Debug Filter:'''

# diagnose debug application cw_acd 5

'''Aktiviere Debug:'''

# diagnose debug enable

"5" stellt die "verbosity" dar. Diese "verbosity" zeigt alle Fehler an sowie den gesamten CAPWAP Prozess (Discovery, Keep Uplive etc.). Sobald das "debug" nicht mehr benötigt deaktiviere den "debug" Mode sowie setze den Filter zurück!

'''Deaktiviere den Debug Modus:'''

# diagnose debug disable

'''Setze den Debug Filter zurück:'''

# diagnose debug reset

Um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate für das Interface auf dem der Forti Access Points verbunden ist ausgeführt werden:

# diagnose sniffer packet [Definiere das entsprechende Interface zB "dmz" oder alle Interfaces "any"] "port 5246" 6 0 a

Im Sniffer Output muss die Antwort des Forti Access Point über Unicast (Discovery Request) zum FortiGate Wireless Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Wireless Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf de FortiGate Wireless Controller nicht ersichtlich ist. Ein anderer Ansatz ist Broadcast, Multicast und Unicast zu verhindert. Der Grund, dass ein Forti Access Point diesen Vorgang/Protokolle benutzt um den FortiGate Wireless Controller zu finden, ist das der Forti Access Point nicht die nötige Information resp. IPv4 Adresse des FortiGate Wireless Controller besitzt um diese IPv4 Adresse Anzufragen. Die einfachste Art dies zu erreichen, ist dem Forti Access Point über den DHCP Server die nötige Information der IPv4 Adresse des FortiGate Wireless Controller zu zuweisen. Wenn für die Forti Access Point ein DHCP Server der FortiGate benutzt wird kann dies über Kommandozeile folgendermassen konfiguriert werden:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

Wenn ein seperater DHCP Server benutzt wird, kann anhand der Option 138 der seperate DHCP Server so konfiguriert werden, dass dieser über diese Option dem Forti Access Point die IPv4 Adresse des FortiGate Wireless Controller zuweist. Diese Option 138 die für die IPv4 Adresse des FortiGate Wireless Controllers steht, ist auf dem Forti Access Point per Standard anhand der Konfiguration "AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138" gesetzt und kann bei Bedarf verändert werden:

# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE:=138
# cfg -c

=== Wie kann ich für eine FortiGate den FortiGate Wireless Controller komplett deaktivieren? ===

Wenn man zB. aus Security Gründen den FortiGate Wireless Controller der auf einer FortiGate per Standard aktiviert ist komplett deaktivieren möchte, kann dies über CLI durchgeführt werden:

# config system global
# set wireless-controller [enable | disable]
# end

Dieses Kommando deaktiviert den FortiGate Controller komplett und somit können keine Forti Access Point mehr angebunden, verwaltet oder konfiguriert werden. Möchte man den "wireless-controller" nicht deaktivieren aber verhindern, dass sich Forti Access Points auf dem lokalen FortiGate Wireless Controller registrieren kann dies mit verschiedenen Konfigurationen erreicht werden. Weitere Auskunft über diese verschiedenen Konfigurationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_die_automatische_Registration_eines_Forti_Access_Point_auf_einem_FortiGate_Wireless_Controller_verhindern.3F]]

=== Wie kann ich auf einer FortiGate den FortiGate Wireless Controller/Service neu starten? ===

Wenn man den FortiGate Wireless Controller aus irgendwelchen Gründen neu starten möchte, kann dies mit verschiedenen Kommandos durchgeführt werden. Dabei ist jedoch zu beachten das ein komplett Unterbrucht für das Forti Access Point Wireless Netzwerk durchgeführt wird resp. für die Wireless Clients/Hosts. Nachfolgendes Kommando zeigt wie anhand des "execute" Kommandos der FortiGate Wireless Controller neu gestartet wird:

# execute wireless-controller restart-acd

Zu diesem Kommando steht ebenfalls die Option "reset-wtp" zur Verfügung. Durch diese Option werden alle oder spezifizierte Forti Access Points anhand der Serien Nummer angewiesen deren WTP Profiles neu zu laden. Dadurch wird ein Neustart des entsprechenden Forti Access Point durchgeführt oder durch "all" für alle Forti Access Points:

# execute wireless-controller reset-wtp [Definiere die entsprechende Serien Nummer eine Forti Access Points oder "all"]

Wenn dieser Vorgang nicht den gewünschten Effekt erziehlt kann auch folgendes durchgeführt werden jedoch sollte dieser Vorgang als letzte Option benutzt werden. Um die PID (Prozess ID Deamon) herauszufinden für den FortiGate Wireless Controller resp. Service "cw_acd" benützen folgenden Befehl auf der Console:

# fnsysctl more /var/run/cw_acd.pid
110

Sobald die PID eruiert ist, kann diese anhand des Kill Level 9 neu gestartet werden:

# diagnose sys kill [Kill Level/Sequenz 1 - 32] [PID des Prozesses cw_acd]

Durch diesen Vorgang ensteht ebenfalls ein Unterbruch auf dem FortiGate Wireless Controller, denn der Kill Level 9 zwingt den Service die Konfiguration für den FortiGate Wireless Controller neu einzulesen und für den Service ein "restart" durchzuführen. Dies kann nachträglich kontrolliert werden, denn wenn abermals die PID Nummer des Service "cw_acd" ausgelesen wird und durch den "restart" wird dem Service einen neue PID Nummer zugewiesen:

# fnsysctl more /var/run/cw_acd.pid
11985

=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welcher SSID und MAC Adresse verbunden sind? ===

Um herauszufinden welche Wireless Clients/Hosts mit welcher SSID über den FortiGate Wireless Controller verbunden sind benutze folgenden Befehl über die CLI der FortiGate:

# diagnose wireless-controller wlac -d sta

vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=198.18.2.2 mac=94:65:9c:74:47:c6 vci=MSFT 5.0 host=DESKTOP-HSEH6HM
user= group= signal=0 noise=0 idle=0 bw=1 use=4 chan=3 radio_type=11N security=wpa2_only_personal encrypt=aes cp_authed=no online=yes mimo=2

* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

*? vf=0 wtp=15 rId=1 wlan=fortinet4guest vlan_id=0 ip=0.0.0.0 mac=08:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
security=captive encrypt=none cp_authed=no online=yes

In unserem Beispiel sehen wir, dass ein Client mit der IP 198.18.2.2 verbunden ist mit der MAC Adresse 94:65:9c:74:47:c6. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "fortinet4intern" sowie "fortinet4guest" mit deren MAC Adresse "1a:5b:0e:5d:f7:15" und "08:5b:0e:5d:f7:0d". Ebenso sieht man die Authentication des Client 198.18.2.2 dh. "wpa2_only_personal" (aes) und den Host Namen "DESKTOP-HSEH6HM".

=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welchem IEEE 802.11 Standard verbunden sind? ===

Ueber nachfolgenden Befehl kann man verifizieren über welchen IEEE 802.11 Standard ein Client mit einem Forti Access Point verbunden ist:

# diagnose wireless-controller wlac -d sta

* vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:0d''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 '''radio_type=11N'''
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

* vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:15''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 '''radio_type=11AC'''
security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

=== Wie finde ich über den FortiGate Wireless Controller heraus mit welcher IPv4 Adresse ein Forti Access Point verbunden ist? ===

Um herauszufinden mit welcher IPv4 Adresse ein Forti Access Point mit dem FortiGate Wireless Controller verbunden ist kann das Mgmt. Web Interface benutzt werden:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > Connected Via

Steht der Mgmt. Web Interface Zugriff nicht zu Verfügung kann die IPv4 Adresse mit der ein Forti Access Point auf dem FortiGate Wireless Controller verbunden ist auch über die CLI der FortiGate verifiziert werden:

'''Liste alle IP's auf die momentan durch die Forti Access Point benutzt werden:'''

# diagnose wireless wlac -d wtp
vf=0 wtp=1 base=08:5b:0e:5d:f7:0d 198.18.3.3:45521<->198.18.3.1:5247 use=7
vf=0 wtp=2 base=08:5b:0e:0c:f4:1a 193.193.135.70:49026<->193.193.135.66:5247 use=4
vf=0 wtp=4 base=08:5b:0e:a3:97:a8 198.18.3.2:53715<->198.18.3.1:5247 use=6
vf=0 wtp=5 base=08:5b:0e:97:23:0e 193.193.135.71:46015<->193.193.135.66:5247 use=4

'''Liste alle Forti Access Point auf um die Serien Nummern zu verifizieren:'''

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

'''Liste einen bestimmten Forti Access Point anhand dessen Serien Nummer sowie mit dessen Informationen Informationen/IP:'''

# diagnose wireless wlac -c wtp [Entsprechende Serien Nummer des Forti Access Point zB "FAP21D3U14000144"; Keine Serien Nummer Angabe listet alle Forti Access Points auf]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------

Um nachträglich anhand dieser IPv4 Adresse über den Forti Gate Wireless Controller eine "telnet" Verbindung zum Forti Access Point durchzuführen siehe nachfolgender Artikel::

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme mit einem Wireless Client/Host Troubleshooten? ===

Um Verbindungsprobleme mit einem Wireless Client/Host zu Troubleshooten kann der "diagnose" Befehl Lokal auf dem FortiGate Wireless Controller benützt werden oder auf dem Forti Access Point anhand des Befehls "cw_debug". Um dieses Troubleshooting durchzuführen, muss im ersten Schritt für den Wireless Client/Host eruiert werden, mit welcher MAC Adresse der Wireless Client/Host verbindet um diese im "diagnose" Befehl zu benutzen und um so den Traffic auf diese MAC Adresse des Wireless Clients/Host einzuschränken. Wie diese MAC Adresse über den FortiGate Wireless Controller eruiert werden kann siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_welche_Clients_mit_welcher_SSID_und_MAC_Adresse_verbunden_sind.3F]]

Sobald die MAC Adresse des Wireless Client/Host eruiert wurde, kann nachfolgender "diagnose" Befehl benutzt werden um den Traffic des Client/Host anhand dieser MAC Adresse einzusehen:

# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 1
STA Filter Index 0/1 sta 9c:b7:0d:de:8f:74 log-enabled 1

Nach der MAC Adresse wird mit "1" die Funktion des "sta_filter" anhand der MAC Adresse aktiviert. Anhand "0" wird die Funktion wiederum deaktiviert. Für "wlac" stehen weitere Befehle zur Verfügung. Weitere Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_auf_einem_FortiGate_Wireless_Controller_ein_Troubleshooting_durchf.C3.BChren_.28diagnose.29.3F]]

Nachträglich, nach dem Troubleshooting muss die Funktion "sta_filter" wieder deaktiviert werden anhand folgenden Befehls:

# diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 0
STA Filter is empty

Wird dies nicht durchgeführt so bleibt die Funktion "sta_filter" anhand "1" aktiv was aus performance Gründen nicht empfohlen wird. Nachfolgendes Beispiel zeigt eine korrekte Verbindung eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 dh. Der Client/Host sollte keine Verbindung erstellen vor der Aktivierung der "sta_filter" Funktion um nachträglich nur den Verbindungsaufbau einzusehen:

44386.013 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_req <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_resp ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
44386.014 94:65:9c:74:47:c6 <dc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 NON-AUTH band 0x10 mimo 2*2
44386.015 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(60) sta 94:65:9c:74:47:c6 add ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.015 94:65:9c:74:47:c6 <cc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 0
44386.028 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(60) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.029 94:65:9c:74:47:c6 <eh> send 1/4 msg of 4-Way Handshake
85792.029 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=95 replay cnt 1
85792.030 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 139B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.032 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=135
85792.032 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 2/4 Pairwise replay cnt 1
85792.033 94:65:9c:74:47:c6 <eh> send 3/4 msg of 4-Way Handshake
85792.033 94:65:9c:74:47:c6 <eh> send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=175 replay cnt 2
85792.033 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 179B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
85792.036 94:65:9c:74:47:c6 <eh> recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=95
85792.036 94:65:9c:74:47:c6 <eh> recv EAPOL-Key 4/4 Pairwise replay cnt 2
44386.037 94:65:9c:74:47:c6 <dc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 AUTH
44386.038 94:65:9c:74:47:c6 <cc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 1 ******
44386.038 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(62) sta 94:65:9c:74:47:c6 add key (len=16) ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44386.046 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(62) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
85792.047 94:65:9c:74:47:c6 <eh> ***pairwise key handshake completed*** (RSN)
44386.086 94:65:9c:74:47:c6 <dc> DHCP Request server 0.0.0.0 <== host DESKTOP-HSEH6HM mac 94:65:9c:74:47:c6 ip 198.18.2.2 xId bd0e86c
44386.094 94:65:9c:74:47:c6 <dc> DHCP Ack server 198.18.2.1 ==> host mac 94:65:9c:74:47:c6 ip 198.18.2.2 mask 255.255.255.128 gw 198.18.2.1 xId bd0e86c

Nachfolgendes Beispiel zeigt einen korrekten Disconnect eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:

44447.890 94:65:9c:74:47:c6 <dc> STA del 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(64) sta 94:65:9c:74:47:c6 del ==> ws (0-198.18.3.3:5246) rId 1 wId 1
44447.891 94:65:9c:74:47:c6 <cc> STA del 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL action del_by_wtp reason 201
85852.892 94:65:9c:74:47:c6 <eh> ***WPA_PTK 94:65:9c:74:47:c6 DISCONNECTED***
44447.894 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(64) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)

Nun der oben gezeigte "output" stammt vom Fortigate Wireless Controller! Möchte man die gleiche Vorgehensweise für den Wireless Client/Host auf dem Forti Access Point durchführen muss in erster Linie auf dem Forti Access Point auf dem der Wireless Client/Host verbunden ist "telnet" für den Zugriff aktiviert werden. Wie dies durchgeführt wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Der Nachteil auf einem Forti Access Point liegt darin, dass der Traffic nicht anhand einer MAC Adresse eingeschränkt werden kann dh. durch "0x7fff" wird ein Debug Level 32767 gesetzt. Gleichzeitig muessen die "telnet" Nachrichten in der Console für "cw_debu" aktiviert werden. Es ist absolut nicht empfohlen diesen "cw_debug" über einen Consolen Port auf dem Forti Access Point durchzuführen oder über den Consolen Port der FortiGate selber. Der Grund ist der Folgende: Durch diesen "cw_debug" werden soviel "output" Produziert, dass der "buffer" des Consolen Port in kurzer Zeit vollgeschriebe wird. Dies verunmöglicht einen korrekten "cw_debug". Aus diesem Grund sollte die Verbindung SSH basierend sein dh. es sollte per SSH auf die FortiGate verbunden werden und nachträglich per "telnet" auf den entsprechenden Forti Access Point:

# execute [telnet | ssh] [IPv4 Adresse des entsprechenden Forti Access Point zB "198.18.3.3"]
Trying 198.18.3.3...
Connected to 198.18.3.3.
Local Access Point FAP-221C login: admin

BusyBox v1.15.0 (2016-01-07 14:13:50 PST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Eingeloggt auf dem Forti Access Point können die entsprechenden Optionen für "cw_debug" eingesehen werden:

# cw_debug app
Usage:

cw_debug <on|off> --turn on/off telnet log message
cw_debug app <app_name> [debug_var] --get/set application debug var
cwWtpd capwap WTP daemon
dhcp capwap DHCP discover
wifi capwap wifi configuration commands
cwWtpd_mem capwap WTP daemon mem
fsd fsd daemon
hostapd hostapd daemon
wpa_supp wpa supplicant daemon
ddnscd ddnscd daemon
admin_timeout telnet/GUI session idle timeout in seconds
fapportal fapportal daemon
fcldc forticloud client daemon
service capwap WTP service daemon
all all above daemons

Um für "cw_debug" den "telnet" Output zu aktivieren führe folgendes durch:

# cw_debug on

Danach setze den "debug" Level für "cw_debug app cwWtpd" anhand folgenden Befehls:

# cw_debug app cwWtpd 0x7fff

Auch hier ist es absolut Notwendig, nach einem erfolgreichen Troubleshooting den Debug wiederum zu aktivieren. Wird dies nicht durchgeführt, bleibt der Debug Modus im Hintergrund aktiv und beeinflusst die Performance des Forti Access Point:

# cw_debug app cwWtpd 0x0

Nachfolgendes Beispiel zeigt den "output" einer korrekte Verbindung des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 wobei darauf hinzuweisen ist das dieser "output" nicht einfach ist zu lokalisieren. Aus diesem Grund wird empfohlen den "output" der SSH resp. "telnet" Session für einen spätere Analyse in ein Log File zu schreiben:

49009.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248929 dbg 00007fff Pkts 0 0
49010.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248930 dbg 00007fff Pkts 0 0
49011.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248931 dbg 00007fff Pkts 0 0
49012.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248932 dbg 00007fff Pkts 0 0
49012.742 Wireless event: cmd=0x8c03 len=20
49012.752 ==========================cwWtpProcRawMsg 7 1=========================
49012.752 cwWtpProcRawMsg recvfrom total bytes 1750766
49012.752 cwWtpProcRawMsg: it's a control message
49012.752 cwWtpProcCipherCtrlMsg: looking at 125-byte encapsulated control message
49012.752 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 125 (errno: 11)
49012.752 ==========================cwWtpProcRawMsg 7 2=========================
49012.752 cwWtpDtlsThread: SSL_read() returned 66 ssl_err 0
49012.753 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.753 CAPWAP Control Header Dump:
49012.753 msgType : 25 STA_CFG_REQ
49012.753 seqNum : 165
49012.753 msgElemLen : 53
49012.753 flags : 0
49012.753 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.753 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.753 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.753 ==========================cwWtpFsmThread 4 1=========================
49012.753 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.754 CWWS_RUN_enter: Add 1 STAs.
49012.754 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.754 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.754 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.755 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.755 CAPWAP Control Header Dump:
49012.755 msgType : 26 STA_CFG_RESP
49012.755 seqNum : 165
49012.755 msgElemLen : 11
49012.755 flags : 0
49012.755 wtpDtlsWrite: SSL_write() was successful
49012.756 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49012.756 ==========================cwWtpFsmThread 4 2=========================
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.756 cwWtpSendRawMsg: called with 81 bytes - dumping...
49012.756 cwWtpSendRawMsg: send out encrypted msg.
49012.756 cwWtpSendRawMsg: sendto of 81 of 81 bytes for 192.168.3.1/5246
49012.756 cwWtpSendRawMsg: sendto total bytes 2407860
49012.756 cwWtpProcOutCipherCtlMsg: successfully sent data...
49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
49012.962 ==========================cwWtpProcRawMsg 7 1=========================
49012.964 cwWtpProcRawMsg recvfrom total bytes 1750959
49012.964 cwWtpProcRawMsg: it's a control message
49012.964 cwWtpProcCipherCtrlMsg: looking at 189-byte encapsulated control message
49012.964 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 189 (errno: 11)
49012.964 ==========================cwWtpProcRawMsg 7 2=========================
49012.964 cwWtpDtlsThread: SSL_read() returned 135 ssl_err 0
49012.964 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.964 CAPWAP Control Header Dump:
49012.964 msgType : 25 STA_CFG_REQ
49012.965 seqNum : 166
49012.965 msgElemLen : 122
49012.965 flags : 0
49012.965 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49012.965 cw_me_decode: me type 11_sta_session_key (1038) len 36 claims 29 more octets
49012.965 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
49012.965 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49012.965 ==========================cwWtpFsmThread 4 1=========================
49012.965 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49012.965 CWWS_RUN_enter: Add 1 STAs.
49012.965 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
49012.966 cwWtpStaRbtDel: DEL duo to ADD remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49012.966 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
49012.966 CWWS_RUN_enter: sending STA CFG RESP msg.
49012.966 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49012.966 CAPWAP Control Header Dump:
49012.966 msgType : 49013.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248933 dbg 00007fff Pkts 0 0
49014.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248934 dbg 00007fff Pkts 0 0
49015.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248935 dbg 00007fff Pkts 0 0
49016.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248936 dbg 00007fff Pkts 0 0
49017.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248937 dbg 00007fff Pkts 0 0
49018.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248938 dbg 00007fff Pkts 0 0

Nachfolgendes Beispiel zeigt den Output eines "korrekten" Disconnect des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:'''

49113.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249033 dbg 00007fff Pkts 0 0
49114.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249034 dbg 00007fff Pkts 0 0
49114.417 Wireless event: cmd=0x8c04 len=20
49114.417 Wireless event: cmd=0x8c02 len=31
49114.417 Custom wireless event: 'del sta: wlan00 '
49114.417 cwWtp_wireless_event_wireless_custom Radio 0 wId 0 Del STA: 9c:b7:0d:de:8f:74
49114.417 cwWtpSend_REQ_MSG: sending WTP_EVENT_REQ (9) msg.
49114.417 cwWtpSendRawMsgQueue: SENDING OUT type 9 seqNum 156
49114.417 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.417 CAPWAP Control Header Dump:
49114.417 msgType : 9 WTP_EVENT_REQ
49114.417 seqNum : 156
49114.417 msgElemLen : 34
49114.417 flags : 0
49114.418 wtpDtlsWrite: SSL_write() was successful
49114.418 cwWtpSendRawMsgQueue: wtpDtlsWrite() succeeded.
49114.418 cwWtpPendingMsgAdd: add type 9 seqNum 156 into pending msg queue at head 18 Cnt 1
49114.418 cwWtpProcOutCipherCtlMsg: calling recv()
49114.418 cwWtpSendRawMsg: called with 113 bytes - dumping...
49114.418 cwWtpSendRawMsg: send out encrypted msg.
49114.418 cwWtpSendRawMsg: sendto of 113 of 113 bytes for 192.168.3.1/5246
49114.418 cwWtpSendRawMsg: sendto total bytes 2408459
49114.419 cwWtpProcOutCipherCtlMsg: successfully sent data...
49114.419 cwWtpProcOutCipherCtlMsg: calling recv()
49114.430 ==========================cwWtpProcRawMsg 7 1=========================
49114.430 cwWtpProcRawMsg recvfrom total bytes 1751749
49114.430 cwWtpProcRawMsg: it's a control message
49114.430 cwWtpProcCipherCtrlMsg: looking at 109-byte encapsulated control message
49114.430 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 109 (errno: 11)
49114.430 ==========================cwWtpProcRawMsg 7 2=========================
49114.430 cwWtpDtlsThread: SSL_read() returned 47 ssl_err 0
49114.431 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.431 CAPWAP Control Header Dump:
49114.431 msgType : 25 STA_CFG_REQ
49114.431 seqNum : 168
49114.431 msgElemLen : 34
49114.431 flags : 0
49114.431 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
49114.431 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x100ef468 msgPtr (nil) len 0
49114.431 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
49114.432 ==========================cwWtpProcRawMsg 7 1=========================
49114.432 cwWtpProcRawMsg recvfrom total bytes 1751830
49114.432 cwWtpProcRawMsg: it's a control message
49114.432 cwWtpProcCipherCtrlMsg: looking at 77-byte encapsulated control message
49114.432 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 77 (errno: 11)
49114.432 ==========================cwWtpProcRawMsg 7 2=========================
49114.432 ==========================cwWtpFsmThread 4 1=========================
49114.432 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
49114.432 CWWS_RUN_enter: Del 1 STAs.
49114.432 CWWS_RUN_enter: STA DEL 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name wId 0
49114.432 CWWS_RUN_enter STA_DISASSOC wId 0 Intf wlan00 9c:b7:0d:de:8f:74
49114.433 do80211priv ap wlan00 op 35814 Invalid argument
49114.433 cwWtpStaRbtDel: STA_CFG_REQ remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
49114.433 CWWS_RUN_enter: sending STA CFG RESP msg.
49114.433 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.433 CAPWAP Control Header Dump:
49114.433 msgType : 26 STA_CFG_RESP
49114.433 seqNum : 168
49114.433 msgElemLen : 11
49114.433 flags : 0
49114.433 wtpDtlsWrite: SSL_write() was successful
49114.434 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
49114.434 ==========================cwWtpFsmThread 4 2=========================
49114.434 cwWtpDtlsThread: SSL_read() returned 24 ssl_err 0
49114.434 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
49114.434 CAPWAP Control Header Dump:
49114.434 msgType 49115.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249116.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249036 dbg 00007fff Pkts 0 0
49117.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249037 dbg 00007fff Pkts 0 0
49118.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249038 dbg 00007fff Pkts 0 0
49119.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249039 dbg 00007fff Pkts 0 0
49120.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249040 dbg 00007fff Pkts 0 0

Folgender Fortinet Knowledge Base Artikel gibt weitere Auskunft über dieses Troubleshooting:

http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33214&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=35950338&stateId=0%200%2035948485

=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme betreffend CAPWAP Troubleshooten? ===

Auf einem FortiGate Wireless Controller kann die Komunikation der einzelnen Fortinet Access Point betreffend CAPWAP folgendes Kommando eingesehen werden:

# diagnose wireless-controller wlac -c wtp

Bei diesem Output gibt speziell die Position "last failure" Auskunft über Probleme. Wenn zB nachfolgende Meldungen auftauchen ist dies ein Indikator das die Komunikation zwischen Fortinet Access Point und FortiGate Wireless Controller Verbindungstechnisch nicht einwandfrei funktioniert:

last failure : 4 -- Control message maximal retransmission limit reached
last failure : 14 -- ECHO REQ is missing

Diese Verbindungsprobleme können auftreten aus Netzwerktechnischen Gründen oder wenn zuviel Broadcast/Multicast Traffic über die Fortinet Access Point benutzt wird. Ist dies der Fall kann über die nachfolgenden Optionen die Timers erhöht werden:

# config wireless-controller global
# set max-retransmit [0 - 64; Standard 3]
# end

# config wireless-controller timers
# set echo-interval [1 - 255; Standard 30]
# end

Durch die Erhöhung der Werte dh. "max-retransmit 15" sowie "echo-interval 100" werden die "retransmit" sowie der "interval" erhöht.

=== Wie kann ich auf dem FortiGate Wireless Controller die momentanen Konfiguration eines Forti Access Point auslesen? ===

Um die momentane Konfiguration für 2.4 GHz sowie 5.0 GHz Forti Access Point über den Fortinet Wireless Controller für einen spezifischen Forti Access Point auszulesen kann folgender Befehl benützt werden:

# config wireless-controller wtp
# get
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
# end

'''Fuer 2.4 GHz Radio eines Forti Access Point'''

# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296
-------------------------------RADIO_IDX 1----------------------------
Radio 1 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11N
channel list : 1 6 11
darrp : enabled
txpower : 100% (calc 18 oper 18 max 18 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 0
bgscan rptintv : 30
sta scan : enabled
WIDS profile : local-default.local
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:0d
oper chan : 11
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------

'''Fuer 5.0 GHz Radio eines Forti Access Point'''

# diagnose wireless-controller wlac -c radio-idx FP221C3X14001296 0
-------------------------------RADIO_IDX 1----------------------------
Radio 2 : AP
wtp id : FP221C3X14001296
country name : CH
country code : 756
radio_type : 11AC
channel list : 36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 ...
darrp : enabled
txpower : 100% (calc 14 oper 14 max 14 dBm)
beacon_intv : 100
rts_threshold : 2346
frag_threshold : 2346
ap scan : background scan (regular)
ap scan passive : disabled
bgscan oper : enabled (Disabled start 00:00 end 00:00 on )
bgscan period : 600
bgscan intv : 1
bgscan dur : 20
bgscan idle : 250
bgscan rptintv : 30
sta scan : disabled
WIDS profile : ---
wlan 0 : fortinet4guest
wlan 1 : fortinet4intern
max vaps : 8
base bssid : 08:5b:0e:5d:f7:15
oper chan : 48
station info : 0/0
-------------------------------Total 1 RADIO_IDXs----------------------------

== Grundsetup ==

=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.0/5.2 in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:

WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 192.168.3.1 | FAP 220B |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 192.168.1.99
LAN

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem FortiAccess Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Es wird unter normalen Umständen empfohlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IP Range 192.168.3.0/24:

<big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>

System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]

[[Datei:Fortinet-1232.jpg]]

Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimm aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die FortiAccess Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie AC (Wireless Controller)
IP Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen! führe auf der
CLI folgendes aus:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

<big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des FortiAccess Points'''</big>

Nun muss der FortiAccess Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1233.jpg]]

[[Datei:Fortinet-1234.jpg]]

[[Datei:Fortinet-1235.jpg]]

Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:

[[Datei:Fortinet-1236.jpg]]

<big>'''Forti Access Point Firmware Upgrade durchführen'''</big>

Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Ein Firmware Upgrade wird folgendermassen durchgeführt:

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1237.jpg]]

[[Datei:Fortinet-1238.jpg]]

[[Datei:Fortinet-1239.jpg]]

Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem FortiAccess Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:

# config wireless-controller wtp
# get

Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:

# edit [Serien Nummer des entsprechendne FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable enable
# end

Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:

# execute [telnet | ssh] [IPv4 Adresse des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:

# cfg -x
# reboot

<big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"'''</big>

User & Device > User > User Definition > Create New

'''User/Gruppe only4also'''

[[Datei:Fortinet-1240.jpg]]

[[Datei:Fortinet-1241.jpg]]

[[Datei:Fortinet-1242.jpg]]

[[Datei:Fortinet-1243.jpg]]

[[Datei:Fortinet-1244.jpg]]

User & Device > User > User Groups > Create New

[[Datei:Fortinet-1245.jpg]]

[[Datei:Fortinet-1246.jpg]]

'''User/Gruppe also4guest'''

[[Datei:Fortinet-1245.jpg]]

[[Datei:Fortinet-1247.jpg]]

Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:

[[Datei:Fortinet-1248.jpg]]

Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:

[[Datei:Fortinet-1249.jpg]]

Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Guest_Access]]

<big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:

WiFi Controller > WiFi Network > Create New

[[Datei:Fortinet-1250.jpg]]

[[Datei:Fortinet-1251.jpg]]

[[Datei:Fortinet-1252.jpg]]

Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:

[[FortiAP:FAQ#Konfiguration]]

<big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>

[[Datei:Fortinet-1253.jpg]]

[[Datei:Fortinet-1254.jpg]]
[[Datei:Fortinet-1255.jpg]]

Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

<big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]

[[Datei:Fortinet-1256.jpg]]

[[Datei:Fortinet-1257.jpg]]

<big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:

Firewall Objects > Address > Address > Create New

[[Datei:Fortinet-1258.jpg]]

[[Datei:Fortinet-1259.jpg]]

[[Datei:Fortinet-1258.jpg]]

[[Datei:Fortinet-1260.jpg]]

<big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

Policy > Policy > Policy > Create New

'''"only4also Firewall Policy Rule"'''

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1262.jpg]]

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1263.jpg]]

'''"also4guest Firewall Policy Rule"'''

[[Datei:Fortinet-1261.jpg]]

[[Datei:Fortinet-1264.jpg]]

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.4 in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.4. Für das Beispiel gehen wir von folgender Situation aus:

WAN
| 193.193.135.66 ___________
____________|____________ | | SSID only4also 192.168.4.0/24
| | 198.18.3.1 | FAP 221C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________| SSID also4guest 192.168.5.0/24
|
| 198.18.0.1
INTERNAL1

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem Forti Access Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den Forti Access Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet, muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Wir empfehlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IPv4 Range 198.18.3.0/24:

<big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>

Network> Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]

[[Datei:Fortinet-1697.jpg]]

Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimmt aus diesem Segment resp. über dieses
Interface des FortiGate Devices, muss die Position CAPWAP unter "Restrict Access" aktiviert werden. Dadurch wird
im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
Desweiteren, damit die Forti Access Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IPv4 über dieses
Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
über Kommandozeile weitere Optionen im Zusammenhang mit dem Forti Access Point zur Verfügung wie AC (Wireless Controller)
IPv4 Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen. Führe auf der
CLI folgendes aus:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

<big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des Forti Access Points'''</big>

Nun muss der Forti Access Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
Position und kann Authorisiert werden:

WiFi&Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Edit

[[Datei:Fortinet-1698.jpg]]

[[Datei:Fortinet-1699.jpg]]

Sobald der Forti Access Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
Servers:

[[Datei:Fortinet-1700.jpg]]

<big>'''Forti Access Point Firmware Upgrade durchführen'''</big>

Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
dabei zu berücksichtigen:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Ein Firmware Upgrade wird folgendermassen durchgeführt:

WiFi & Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Upgrade

[[Datei:Fortinet-1701.jpg]]

Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
dem Forti Access Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:

# config wireless-controller wtp
# get

Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:

# edit [Serien Nummer des entsprechendne Forti Access Point zB "FP221C3X14001296"]
# set override-allowaccess [enable|disable]
# set allowaccess [telnet | http | https | ssh]
# end

Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
Forti Access Point benutzt wird siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:

# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point; Ersichtlich über "Managed FortiAPs"]
FP221C3X14001296 login: admin

BusyBox v1.15.0 (2015-07-31 17:21:29 PDT) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:

# factoryreset

<big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"</big>

'''Konfiguration des Users für "only4also"'''
User & Device > User Definition > Create New
[[Datei:Fortinet-1702.jpg]]

[[Datei:Fortinet-1703.jpg]]

Beim Schritt 3 "Contact Info" Next anwählen.

[[Datei:Fortinet-1704.jpg]]

'''Konfiguration der Gruppe für "only4also"'''
User & Device > User Groups > Create New
[[Datei:Fortinet-1705.jpg]]

'''Gruppe also4guest'''
User & Device > User Groups > Create New
[[Datei:Fortinet-1706.jpg]]

Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden.
Dies erfolgt über das folgende Menu: User & Device > Guest Management > Create New

Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:

[[Datei:Fortinet-1707.jpg]]

Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
und die entsprechenden User/Ticket's erfassen:

[[Datei:Fortinet-1708.jpg]]

[[Datei:Fortinet-1709.jpg]]

Weitere detailliert Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Guest_Access]]

<big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
eine entpsrechende IPv4 Adresse zu zuweisen:

'''SSID "only4also"
WiFi & Switch Controller > SSID > Create New
[[Datei:Fortinet-1710.jpg]]
[[Datei:Fortinet-1711.jpg]]

'''SSID "also4guest"
WiFi & Switch Controller > SSID > Create New
[[Datei:Fortinet-1712.jpg]]
[[Datei:Fortinet-1713.jpg]]

Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:

[[FortiAP:FAQ#Konfiguration]]

<big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>

[[Datei:Fortinet-1714.jpg]]

[[Datei:Fortinet-1715.jpg]]

Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

<big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>

WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]

[[Datei:Fortinet-1721.jpg]]

<big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:

Policy & Objects > Addresses > Create New > Adress

[[Datei:Fortinet-1718.jpg]]

Alle weiteren Adressobjekte analog erfassen. (net-only4also-192.168.4.0-24 und net-local-lan-198.18.0.0-24))

<big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

'''"only4also Firewall Policy Rule"'''
Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-1719.jpg]]

'''"also4guest Firewall Policy Rule"'''
Policy & Objects > IPv4 Policy > Create New
[[Datei:Fortinet-1720.jpg]]

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

== Setup ==

=== Wie kann ich per "telnet/ssh" auf einen Forti Access Point verbinden wenn dieser über keinen Consolen Port verfügt? ===

Wenn ein Forti Access Point zB FAP-21D über keinen Consolen Port verfügt kann man dennoch über "telnet/ssh" (SSH ab FortiGate/FortiAP FortiOS 5.4.1) auf den Forti Access Point zugreifen um zB ein "debug" auszuführen oder eine lokale Konfiguration auf dem Forti Access Point durchzuführen. Die Funktion "telnet/ssh" muss vorgängig auf dem Fortigate Wireless Controller freigeschaltet werden. Dies bedeutet: ein direkter Zugriff per "telnet/ssh" auf den Forti Access Point ist nicht möglich. Der Zugriff eines "telnet/ssh" erfolgt über die Fortigate CLI oder über das Mgmt. Web Interface der FortiGate anhand des CLI Funktion für einen Forti Access Point. Um die Funktion für "telnet/ssh" freizuschalten auf dem FortiGate Wirless Controller kann dies entweder für FortiOS 5.0/5.2 sowie 5.4 für einen Forti Access Point erfolgen oder unter FortiOS 5.4 für ein WTP Profile. Um "telnet/ssh" für einen Forti Access Point zu aktivieren führe ein Login durch auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:

'''Aktiviere "telnet" und/oder "http" im WTP Profile (FortiOS 5.4)'''

# config wireless-controller wtp-profile
# edit [Gebe das entsprechende WTP Profile an]
# set allowaccess [telnet | http | https | ssh]
# end

Das entsprechende WTP Profile muss nun dem entsprechenden Forti Access Point zugewiesen sein damit
die Aktivierung von "telnet/ssh" und/oder "http/https" erfolgt. Danach kann über folgende Position
eine CLI geöffnet werden:

WiFi Controller > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste] > Edit in CLI

Wenn der Zugriff für "telnet/ssh" über den FortiGate Wireless Controller resp. CLI erfolgen soll muss
und die entsprechende IPv4 des Forti Access Point umbekannt ist siehe nachfolgender Absatz für FortiOS
5.0/5.2.

'''Aktiviere "telnet" im WTP(FortiOS 5.0/5.2)'''

Ueberprüfe über "wtp" welche Forti Access Points existieren:

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

Ueberprüfe über "diagnose wireless" welche IP ein bestimmter Access Points benutzt:

# diagnose wireless wlac -c wtp [Gebe den entsprechenden Forti Access Point an]
-------------------------------WTP 1----------------------------
WTP vd : root
vfid : 0
id : FAP21D3U14000144
mgmt_vlanid : 0
region code : E
regcode status : valid
refcnt : 3 own(1) wtpprof(1) ws(1)
plain_ctl : disabled
deleted : no
admin : enable
cfg-wtp-profile : FAP-04
override-profile : disabled
oper-wtp-profile : FAP-04
wtp-mode : remote
name : Remote Access Point FAP-21D
location : Remote FAP-04 local-sg0e0
led-state : enabled
ip-frag-prevent : TCP_MSS
tun-mtu : 1492,1492
split-tunneling-local-ap-subnet : disabled
active sw ver : FAP21D-v5.2-build0234
local IPv4 addr : 193.193.135.71
board mac : 08:5b:0e:97:23:0c
join_time : Thu Apr 23 08:03:43 2015
mesh-uplink : ethernet
mesh hop count : 0
parent wtp id :
connection state : Connected
image download progress: 0
last failure : 15 -- ECHO REQ is missing
last failure param: N/A
last failure time: Thu Apr 23 08:03:02 2015
station info : 0/0
geo : World (0)
LAN :
rId : 1
cnt : 1
port 1 : mode BR-TO-SSID(3) ssid fortinet4intern
Radio 1 : Disabled
Radio 2 : Virtual Lan AP
max vaps : 0
base bssid : 00:00:00:00:00:00
station info : 0/0
Radio 3 : Not Exist
-------------------------------Total 1 WTPs----------------------------

Editiere den entsprechenden Forti Access Point auf dem "telnet" freigeschaltet werden soll und aktiviere den Zugriff:

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set login-enable enable
# end

Für FortiOS 5.4 existiert dieses Kommando "login-enable" nicht mehr. Ein Zugriff für "telnet/ssh" und/oder "http/https" kann
dennoch über "wtp" für einen entsprechenden Forti Access Point freigeschaltet werden und wird folgendermassen
durchgeführt:

# config wireless-controller wtp
# edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

Durch diese Konfiguration wird ein Neustart des Forti Access Point durchgeführt!

Teste den Zugriff per "telnet/ssh" auf den entsprechenden Access Point:

# exec [telnet | ssh] 193.193.135.71
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

#

Wenn "ssh" benutzt wird ist folgendes berücksichtigen: Wenn ein das "default" Passwort auf einem Forti Access Point gesetzt ist dh. also kein Passwort dann erscheint durch nachfolgenden Befehl kein Login Prompt sondern es wird direkt ein Login durchgeführt:

# execute ssh [IPv4 Adresse des Forti Access Point]
Warning: Permanently added '[IPv4 Adresse]' (RSA) to the list of known hosts.

Es wird somit im Hintergrund effektiv folgender Befehl ausgeführt:

# execute ssh admin@[IPv4 Adresse des Forti Access Point]

Da kein Passwort gesetzt wurde auf dem Forti Access Point wird direkt der Standard User "admin" benutzt für das Login. Das ist der Grund wieso kein Login Prompt erscheint. Somit hat man die Wahl entweder den User "admin" im Kommando mitzugeben oder nicht. Ist ein Passwort gesetzt auf dem Forti Access Point und der User "admin" wird mit dem Kommando migegeben erscheint nur die Passwort abfrage. Wir der User mit gesetzen Passwort auf dem Forti Access Point nicht mitgegeben erscheint der Login Prompt für die Eingabe des Users und Passworts. Wie schon erwähnt gibt es neu ab FortiOS 5.2 die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist die Option "set login-enable enable" oder für FortiOS 5.4 "override-allowaccess" und/oder innerhalb eines WTP Profiles "allowaccess". Werden diese Optionen für einen Zugriff über "telnet" nicht aktiviert sei es für FortiOS 5.0/5.2 sowie für 5.4, steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen führe folgendes aus:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick] > [Connect to CLI]

[[Datei:Fortinet-1292.jpg]]

[[Datei:Fortinet-1293.jpg]]

=== Was ist die Default IPv4 Adresse für einen Forti Access Point und wie kann ich mich auf diese IPv Adresse verbinden? ===

Wenn ein Forti Access Point gestartet wird, reagiert auf Netzwerkebene der Forti Access Point folgendermassen:

• Der Forti Access Point sendet einen DHCP Anfrage in das Segment! Wird diese DHCP Anfrage beantwortet wird das
"wan" Interface des Forti Access Point anhand der Informationen des DHCP Server konfiguriert!

• Beantwortet "Kein" DHCP Server die Anfrage des Forti Access Point so wird auf dem Interface des Forti Access
Points die "default" IPv4 Adresse konfiguriert:

192.168.1.2/24

Somit kann man sich auf einen Forti Access Point folgendermassen verbinden sofern der Forti Access Point betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):

1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):

192.168.1.1 255.255.255.0

2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)

3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):

http://192.168.1.2

Möchte man sich auf den Forti Access Point verbinden jedoch wurde das Interface auf "Static" konfiguriert und die IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults gesetzt werden. Weitere Informationen wo sich der "reset button" bei den verschiedenen Modellen befindet, kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:

[[Fortinet:ProduktInfo#FortiAP]]

=== Wie kann ich auf einem Forti Access Point für das Netzwerk Interface eine statische IPv4 Adresse konfigurieren? ===

Wenn man einen Forti Access Point manuell dh. mit einer statischen IPv4 Adressen konfigurieren möchte so kann dies über CLI sowie über das Mgmt. Web Interface durchgeführt werden. Um die Konfiguration durchzuführen muss auf die Standard IPv4 Adresse des Forti Access Point's zugegriffen werden. Wie dies durchzuführen ist siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um die Konfiguration einer statischen IPv4 Adresse über Mgmt. Web Interface des Forti Access Point durchzuführen gebe folgende Adresse in den Browser ein:

http://192.168.1.2

Danach kann über das Mgmt. Web Interface die Konfiguration durchgeführt werden. Um die Konfiguration einer statischen IPv4 Adresse für den Forti Access Point auf CLI durchzuführen muss "telnet" Zugriff für den Forti Access Point aktiviert werden. Die Aktivierung für den "telnet" Zugriff kann über das Mgmt. Web Interface durchgeführt werden. Um nachträglich die Konfiguraiton auf der CLI des Forti Access Point durchzuführen gebe folgendes ein:

# cfg –a AP_IPADDR=[Gebe eine enstprechende IPv Adresse an zB "192.168.1.2"]
# cfg –a ADDR_MODE=STATIC
# cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IPv ADresse zB "255.255.255.0"]
# cfg -a DNS_SERVER=[DNS Server IPv4 Adresse]
# cfg -c

Um die entsprechende Konfiguration nachträglich zu überprüfen gebe folgendes ein:

# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138

Weitere lokale Konfigurations Möglichkeiten auf dem Forti Access Point können anhand des folgenden Befehls aufgelistet werden:

# cfg -h

=== Wie kann ich die FortiGate Wireless Controller IPv4 Adresse für einen Forti Access Point über DHCP Server zuweisen? ===

Wenn einem Forti Access Point dessen FortiGate Wireless Controller IPv4 Adresse über DHCP Server zugewiesen werden soll kann dies über die DHCP Option "138" durchgeführt werden. Dies bedeutet: Wenn für die diese IPv4 Adresse des FortiGate Wireless Controllers ein bestehender DHCP Server benutzt wird muss in diesem die IPv4 Adresse als Option "138" gesetzt werden sowie auf dem entsprechenden Forti Access Point verifiziert werden ob diese Option "138" korrekt gesetzt ist. Dies wird lokal auf der CLI des Forti Access Point durchgeführt:

'''Auslesen der momentaner Netzwerk Konfig:'''

# cfg -s

'''Konfiguration der DHCP Option:'''

# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
# cfg -c

Unter normalen Umständen empfehlen wir den DHCP Server auf dem FortiGate Device zu benutzen. Dadurch muss die Option "138" nicht gesetzt werden, denn im DHCP Server auf dem FortiGate Device kann anhand "wifi-ac1" die IPv4 Adresse des FortiGate Wireless Controller direkt konfiguriert werden. Zu "failover" Zwecken stehen 3 "wifi-ac" zur Verfügung. In diesem Zuge empfehlen wir ebenfalls die Konfiguration des DNS Server IPv4 Adresse sowie die IPv4 Adresse des NTP Servers:

# config system dhcp server
# edit [Gebe den Integer an des entsprechenden DHCP Servers]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# end

Nachträglich kann die Konfiguration resp. die Zuweisung der IPv4 Adresse über Kommandozeile auf dem Forti Access Point folgendermassen kontrolliert werden:

# cw_diag -c wtp-cfg

=== Wie kann ich auf einem Forti Access Point auf einer SSID eine "MAC Reservation + Access Control" Konfigurieren? ===

Eine "MAC Reservation + Access Control" kann unter FortiOS 5.0/5.2 sowie 5.4 innerhalb des DHCP Servers, der für die SSID aktiviert wird, konfiguriert werden. Dies ist jedoch nur dann möglich, wenn die entsprechende SSID im "tunneling" Mode ist und nicht für "local bridge" konfiguriert wurde, da im Bridge Mode kein DHCP Server aktiviert werden kann (local break-out). Die Konfiguration kann über Mgmt. Web Interface sowie auf CLI durchgeführt werden. Dabei ist folgendes Wichtig:

Ein DHCP Server eines FortiOS ist per Standard im "assign" Mode und bedeutet: Jede Anfrage wird vom DHCP Server mit einer
entsprechender IPv4 Adresse beantwortet. Möchte man nur Anfragen beantworten betreffend definierter MAC Adressen, muss der
DHCP Server auf "block" gesetzt werden. Im Standard "assign" Mode stehen folgende Funktionen innerhalb des DHCP Servers für
die IPv4 Adressse sowei MAC Adressen zur Verfügung:

• Reserve IP
• Assign IP
• Block

Möchte man die "MAC Reservation + Access Control" unter Mgmt. Web Interface konfigurieren, findet man die entsprechenden Optionen unter folgender Position:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [DHCP Server] > [Addtional DHCP Options]

[[Datei:Fortinet-1693.jpg]]

[[Datei:Fortinet-1694.jpg]]

Möchte man diese Konfiguration unter CLI durchführen, führe folgendes durch:

# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# set description [Definiere einen entsprechenden Kommentar für DHCP Server]
# set status [disable | enable]
# set mac-acl-default-action [assign | block]
# set dns-service [local | default | specify]
# set dns-server1 [IPv4-Adresse für DNS Server 1]
# set dns-server2 [IPv4-Adresse für DNS Server 2]
# set dns-server3 [IPv4-Adresse für DNS Server 3]
# set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
# set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
# set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
# set ntp-service [local | default | specify]
# set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
# set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
# set domain [Setze eine entsprechende Domain zB "local.intra"]
# set wins-server1 [IPv4-Adresse für Win Server 1]
# set wins-server2 [IPv4-Adresse für Win Server 1]
# set default-gateway [IPv4-Adresse für Default Gateway]
# set next-server <IPv4-Adresse für Bootstrap Server]
# set netmask [IPv4-Netmask für DHCP Server IP Range]
# set interface [Name des Interface für den DHCP Server zB "internal"]
# config ip-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [IPv4 Start Adresse für den DHCP Bereich]
# set end-ip [IPv4 End Adresse für den DHCP Bereich]
# end
# set timezone-option [disable | default | specify]
# set timezone [01 | 02 | 03 | 04 | 05 | 81 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 74 | 14 | 77 | 15 | 16 | 17 | 18 | 19 | 20 | 75 | 21 | 22 | 23 | 24 | 80 | 79 | 25 | 26 | 27 | 28 | 78 | 29 | 30 | 31 | 85 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 83 | 84 | 40 | 41 | 42 | 43 | 39 | 44 | 46 | 47 | 51 | 48 | 45 | 49 | 50 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 62 | 63 | 61 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 00 | 82 | 73 | 86 | 76]
# config exclude-range
# edit [Setze einen entsprechenden Integer zB "1"]
# set start-ip [Definition der IPv4 Start Adresse für den DHCP Exclude Bereich]
# set end-ip [Definition der IPv4 End Adresse für den DHCP Exclude Bereich]
# end
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end

Eine weitere Möglichkeit ab FortiOS 5.0 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand der "Device Detection" Funktion oder eigene definierten Devices innerhalb der "Device Detection" Funktion, kann der der Zugriff eingeschränkt werden. Um die Funktion "Device Detection" zu aktivieren, muss innerhalb der SSID resp. des "virtuellen" Interfaces das für die SSID konfiguriert wird, diese Funktion aktiviert werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [Aktiviere "Device Detection"]

Durch diese Funktion "Device Detection" wird versucht jeden Device in diesem Segment der das Interface der FortiGate benützt zu identifizieren. Um "Device Detection" auf der CLI für die SSID zu aktivieren führe folgendes aus:

# config system interface
# edit [Name des entsprechenden Interfaces resp. SSID]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end

Es wird empfohlen die "device-identification-active-scan" nicht per Standard zu aktivieren. Um innerhalb der "Device Detection" Funktion einen eigenen Device zu definieren dh. nicht über die auf dem Interface aktivierte Funktion "device-identification", kann dieser Device innerhalb des DHCP Server auf der CLI konfiguriert werden:

# config system dhcp server
# edit [Setze einen entsprechenden Integer zB "1"]
# config user device
# edit [Vergebe einen entsprechenden Namen für den Device]
# set mac [MAC Adresse für den entsprechenden Device]
# end

Für diese definierten Devices können ebenfalls entsprechenden Gruppen angelegt werden:

# config user device-group
# edit [Name für die Device Gruppe]
# set member [Wähle die entsprechenden Member]
# end

Wieder eine andere Möglichkeit ist über eine entsprechende Firewall Policy Rule für die SSID anhand der "Device Detection" Funktion den Zugriff einzuschränken:

Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > [Device Identiy | Source Device Type]

Unter FortiOS 5.4 existiert innerhalb der Firewall Policy Rule keine entsprechende Position, sondern der entsprechende Device muss über zB die Source eingebunden werden. Wähle dazu:

Policy & Objects > IPv4 Policy > Create New

[[Datei:Fortinet-1695.jpg]]

=== Wie kann ich über einen Forti Access Point alle Wireless Devices in dessen Wirkungsgrad erkennen und auflistet? ===

Ein Forti Access Point kann anhand der Funktion "station-locate" so konfiguriert werden, dass dieser Forti Access Point für dessen Umgebung alle Wireless Devices auflistet der dieser Erkennt. Dabei werden sehr viele Informationen für diese Wireless Devices aufgeführt die auch für das "location tracking" benutzt wird. Da die Funktion relativ Performance Intensiv ist, sollte diese Funktion nur zu Analyse benutzt werden und nicht Permanent ausser es wird anhand des "Euclid Analytics Service" Format ein "location tracking" benutzt. Die Funktion kann einzeln für einen entsprechenden "radio's" aktiviert werden dh. für 5 GHz und/oder 2.4 GHz. Aktiviert wird die Funktion in dem entsprechenden WTP Profile das dem Forti Access Point zugewiesen wird:

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profil]
# config radio-1
# set station-locate enable
# end
# config radio-2
# set station-locate enable
# end
# end

Die Informationen die im Hintergrund vom Wireless Controller über den Forti Access Point "radio" gesammelt werden sind umfänglich! Nachträglich kann man anhand des "diagnose" Kommando Kommando auf der CLI die gesammelten Informationen aus dem Wireless Controller auslesen:

# diagnose wireless wlac -c sta-locate

sta_mac vfid rid base_mac freq_lst frm_cnt frm_fst frm_last intv_sum intv2_sum intv3_sum intv_min intv_max signal_sum signal2_sum signal3_sum sig_min sig_max sig_fst sig_last ap
00:24:d7:e2:ea:08 0
FAP22B3U11011877 0 0 00:09:0f:f9:29:22 5220 3 164 44 120 7200 432000 59 60 -246 20190 -1658532 -85 -79 -79 -85 0

Das Format das durch "sta-locate" produziert wird, ist im "Euclid Analytics Service" Format. Weitere Informationen dazu siehe:

http://euclidanalytics.com/products/technology/

Um die Informationen für "sta-locate" zu löschen kann anhand des "diagnose" Kommando dies durchgeführt werden:

# diagnose wireless wlac -c sta-locate reset

Unter FortiOS 5.4 wurde zusätzlich eine Funktion implementiert, die das löschen der Informationen regelmässig übernimmt. Dies bedeutet: Anhand eines "timers" kann für diese Funktion ein "reset" automatisiert durchgeführt werden. Dabei ist jedoch folgendes zu beachten:

Die Funktion "sta-locate" erstellt für einen Host/Client erstmalig einen Log Eintrag dh. wenn der Host/Client in einem
späteren Zeitpunkt abermals erkannt wird, so wird kein weitere Log Eintrag erstellt für "sta-locate". Um die vorhandenen
Informationen zu löschen kann ein "timer" benützt werden 1 and 86400 seconds (24 hours) wobei nicht empfohlen ist den
"timer" kleiner als 30 Sekunden zu setzen da dies doppelte Einträge für den Host/Client produzieren kann. Der "timer"
steht per Standard auf "1800" Sekunden was 30 Minuten entspricht!

# config wireless-controller timers
# set sta-locate-timer [1 and 86400 seconds (24 hours); Standard 1800]
# end

=== Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IPv4 Adress Range benutzt wir im LAN? ===

Eine FortiOS kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung resp. "subnet-overlap" von IPv4 Range's/Subnet auf Interface's konfiguriert werden da dies durch die Funktion "allow-subnet-overlap disable" verhindert wird:

# config system settings
# set allow-subnet-overlap [enable | disable]
# end

Möchte man ein "subnet-overlap" für eine SSID konfigurieren, sollte dies gut überlegt sein. Dies bedeutet: Soll ein Forti Access Point über eine SSID den Zugriff in das interne LAN Segment direkt ermöglichen, kann zB anstelle eines "subnet-overlap" die "local bridge" Funktion für eine SSID benutzt werden. Dadurch wird ermöglicht, dass das Interface auf dem Forti Access Point in den Bridge Modus versetzt wird, und die Host/Client die über eine entsprechende SSID verbinden, eine IPv4 Adresse vom DHCP Server zugewiesen erhalten der im internne LAN Segment den Host/Client zur Verfügung steht. In so einem Scenario muss jedoch der Forti Access Point mit dem internen Segment LAN direkt verbunden werden. Wenn dennoch ein "subnet-overlap" Konfiguration auf einer SSID konfiguriert wird und die entsprechende Option "allow-subnet-overlap" wurde nicht aktiviert kommt es zu einer Fehlermeldung:

Subnets overlap between 'port1' and the primary IP of 'port1'
object set operator error, -54 discard the setting

IP address is in same subnet as the others.

Wenn dennoch ein "allow-subnet-overlap" auf enable gesetzt werden möchte, kann dies über CLI auf System Ebene durchgeführt werden. Da es sich bei dieser Funktion um eine Option auf System Ebene handelt möchten wir nochmals daraufhinweisen dies gut zu überlegen da durch die Aktivierung dieser Option eine "loop" Gefahr besteht!

=== Kann ich für einen Forti Access Point die LED's deaktivieren damit diese bei Gebrauch nicht mehr blinken? ===

Ab FortiOS 5.2.3 ist dies möglich und wird benützt um die Forti Access Point möglichst zB für Hotels dezent erscheinen zu lassen. Diese Funktion steht nicht für jeden Forti Access Point zur Verfügung dh. zB für FAP-221C steht diese Funktion zur Verfügung. Wenn die "LED" auf einem Forti Access Point deaktiviert werden sollen, kann dies über den FortiGate Wireless Controller auf CLI im WTP Profile für den Forti Access Point durchgeführt werden oder über den FortiGate Wireless Controller für den Forti Access Point selber:

# config wireless-controller wtp
# edit [Serien Nummer des entsprechenden Forti Access Point]
# set override-led-state [enable | disable]
# set led-state [enable | disable]
# end

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profiles]
# set led-state [enable | disable]
# end

Auf der CLI für einen Forti Access Point ist die Konfiguration ebenfalls möglich. Dabei ist jedoch zu berücksichtigen wenn dies durchgeführt wird, dass der FortiGate Wireless Controller diese lokal durchgeführte Konfgiguration auf dem Forti Access Point anhand der Konfiguration für den Forti Access Point oder anhand des WTP Profiles nicht überschreibt. Dieses Verhalten kann anhand der "LED_STATE" Konfiguration lokal auf dem Forti Access Pont konfiguriert werden. Erstelle eine "telnet" Verbindung auf den Forti Access Point. Wie dies durchzuführen ist siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Danach kann lokal auf dem Forti Access Point folgendes durchgeführt werden:

# cfg -a LED_STATE=[0|1|2]
# cfg -s

Die Werte für "LED_STATE" haben folgende Bedeutung:

0 = Die LED's sind aktiviert.
1 = Die LED's sind deaktiviert.
2 = Ob die LED's aktiviert und/oder deaktiviert sind wird über den Wirless Controller der FortiGate gesteuert.

Per Standard ist der Wert auf "2" gesetzt dh. die Konfiguration über den Wireless Controller anhand der Option "led-state" aktiviert und/oder deaktiviert die LED's auf dem Forti Access Point. Werden die Werte "0" oder "1" gesetzt werden die Einstellung über den FortiGate Wireless Controller ignoriert!

=== Wie kann ich die automatische Registration eines Forti Access Point auf einem FortiGate Wireless Controller verhindern? ===

Wenn ein Forti Access Point in einem IPv4 Subnet/Segment der FortiGate in Betrieb genommen wird so benützt dieser Forti Access Point den "autodiscover" Modus um einen Wireless Controller zu finden. Ist auf dem FortiGate Device in diesem Segement und für das Interface CAPWAP aktiviert so antwortet der FortiGate Wireless Controller auf diese CAPWAP (UDP-5246) Anfragen. Dadurch erscheint unter den "Managed FortiAPs" im Mgmt. Web Interface der Forti Access Point. Danach kann der Forti Access Point durch "Authorized" Authorisiert werden. Wenn man jedoch dies aus irgendwelchen Gründen verhindern möchte, fragt sich wie diese "automatisch Registration" dh. das die Forti Access Point unter "Managed FortiAPs" erscheinen verhindert werden kann. Dazu gibt es verschiedenen Möglichkeiten/Konfiguration die durchgeführt werden können zB:

• Wenn über das Segment in dem sich die Forti Access Point keine "CAPWAP" Anfragen beantwortet werden sollen kann "CAPWAP" auf diesem
Segment resp. Interface deaktiviert werden:

# config system interface
# edit [Name des entsprechenden Interface zB "dmz"]
# unselect capwap
# end

• Wenn auf dem FortiGate Device keine Forti Access Point verwaltet/konfiguriert werden sollen, kann der FortiGate Wireless Controller
komplett deaktiviert werden:

# config system global
# set wireless-controller [enable | disable]
# end

• Befinden sich im Segment verschiedenen Forti Access Point dh. solche die über den Wireless Controller der FortiGate verwaltet werden
sollen und solche die nicht über die FortiGate verwaltet werden sollen, müssen alle Forti Access Point die nicht über die FortiGate
die das Segment zur Verfügung stellt, lokal so konfiguriert werden damit diese Anfragen zu einemn spezifischen Wireless Access Point
Controller senden und nicht im "autodiscovery" Modus (Broadcast, Multicast, Unicast). Dies wird erreich, in dem auf den entsprechenden
Forti Access Point Controller folgendes konfiguriert wird:

Verbinde dich per "telnet" auf den Forti Access Point Controller. Wie dies durchzuführen ist siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Ausgehend davon das "telnet" Zugriff auf einem Forti Access Point aktiviert ist, kann anhand eines CLI "Widgets" über das Mgmt. Web
Interface auf den Forti Access Point zugegriffen werden. Dazu wähle:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste "CLI"]

Danach muss folgendes konfiguriert werden um den Forti Access Point so zu konfigurieren, dass dieser "statisch" nur noch Anfragen zu
einem bestimmten FortiGate Wireless Controller anhand dessen IPv Adresse sendet:

# cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
# cfg -c
# cfg -s

Für "failover" Zwecke stehen bis zu 3 "AC_IPADDR" zur Verfügung. Um die Anfragen "statisch" durchzuführen dh. nicht mehr per Broadcast,
Multicast sowie Unicast konfiguriere folgendes:

# cfg -a AC_DISCOVERY_TYPE=1
# cfg -c
# cfg -s

• Unter FortiOS 5.4 gibt es eine weitere Möglichkeit die "automatische" Registrierung zu verhindern dh. durch nachfolgenden Befehl wird
keine "automtische" Registrierung mehr ausgeführt. Die Funktion wird komplett deaktiviert:

# config system interface
# edit [Name des entsprechenden Interfaces zB "dmz"]
# set ap-discover [enable | disable]
# end

Wird diese Funktion "ap-discover" deaktiviert, können Forti Access Point nur noch Registriert werden, und erscheinen unter "Managed FortiAPs",
wenn diese vorgängig anhand der Serien Nummer Registriert werden. Dies wird folgendermassen durchgeführt:

WiFi Controller > Managed FortiAPs > Create New > [Gebe die entsprechende Serien Nummer ein des FortiAP]

In diesem Zuge kann bereits ein entsprechendes WTP Profile zum Forti Access Point hinzugefügt werden. Bringt man den entsprechenden Forti
Access Point in dem Segment "online" in dem "CAPWAP" für das entsprechenden FortiGate Interface aktiviert wurde, wird dieser Forti Access
Point automatisch "Authorized" mit dem zugewiesenen WTP Profile. Möchte man dies auf der Kommandozeile durchführen führe folgendes durch:

# config wireless-controller wtp
# edit [Serien Nummer des Forti Access Point]
# set name [Name des Forti Access Point zB "FAP-221C-1-UG"]
# set wtp-profile [Gebe ein entsprechendes vorhandenes WTP Profile an]
# end

== Upgrade ==

=== Wo finde ich den Upgrade Pfad um einen FortiAP upzugraden? ===

Unter folgendem Link findet man den Upgrade Pfad um einen FortiAP richtig upzugraden:

https://cookbook.fortinet.com/supported-upgrade-paths-fortiap/

=== Wie kann ich für einen Forti Access Point ein Firmware Upgrade durchführen? ===

Bevor ein Firmware Upgrade auf einen Forti Access Point durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Dies bedeutet: Vor einem Firmware Upgrade sollte die entsprechende Release Notes für die neue Firmeware des Forti Access Point konsultiert werden. Es muss zwingend der Upgradepfad beachtet werden:
http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachfolgender Artikel berücksichtigt werden:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

Wenn verifiziert worden ist welche Firmware Version eingesetzt werden kann, stehen verschiedenen Möglichkeiten zur Verfügung ein Firmware Upgrade durchzuführen:

<big>'''Firmeware Upgrade über den FortiGate Wireless Controller'''</big>

WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

[[Datei:Fortinet-1237.jpg]]

[[Datei:Fortinet-1238.jpg]]

[[Datei:Fortinet-1239.jpg]]

<big>'''Firmeware Upgrade über Forti Access Point anhand CLI und TFTP Server'''</big>

# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]

Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

<big>'''Firmeware Upgrade über Forti Access Point Web Mgmt. Interface Lokal und/oder Remote'''</big>

Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end

Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end

Wenn ein Firmware Upgrade eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem
Host/Client verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender
Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:

# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:

# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c

Danach kann ein Upgrade lokal auf dem Forti Access Point durchgeführt werden über folgende Position:

[[Datei:Fortinet-1265.jpg]]

<big>'''Bulk Firmeware Upgrade über den FortiGate Wireless Controller anhand CLI und TFTP Server'''</big>

Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F]]

=== Wo finde ich die Firmware für die FortiAP E-Serie? ===
Wenn man für folgende Produkte die Firmware vom Support Portal herunterladen will, findet man diese nicht wie gewohnt im Menu FortiAP sonder im Menu ''FortiAP-W2''!

[[Datei:Fortinet-1909.jpg]]

'''Betroffe FortiAP:'''
* FAP-221E
* FAP-222E
* FAP-223E
* FAP-224E
* FAP-421E
* FAP-423E

=== Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen? ===

Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll, kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet: anhand einer Firmeware die für spezifische Forti Access Point's auf den FortiGate Wireless Controller geladen wird, werden alle diese spezifischen Forti Access Point durch ein Kommando angewiesen sich vom FortiGate Wireless Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen müssen gegeben sein:

• Verifizierung der eingesetzten Firmeware und der neuen Firmware gemäss Release Notes dh wie und ob ein Upgrade möglich ist
für die eingesetzte Firmware. Den Upgradepath findet man unter http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachträglicher Artikel konsultiert werden:

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]])

• Installiere einen TFTP Server (FTP ebenfalls möglich) der für den FortiGate Wireless Controller erreichbar ist um das spezifische Image
für die Forti Access Points vom TFTP Server zum FortiGate Wireless Controller raufzuladen. Als TFTP Server kann zB folgendes eingesetzt
werden:

SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx

Wenn die neue Firmware die eingesetzt werden soll für die Forti Access Points anhand der Releaste Notes verifiziert wurde und der Upgradpath auf http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ beachtet wurde, dann führe folgendes durch:

1. Lade das entsprechende Image für den Bulk Upgrade der Forti Access Points in das "root" Verzeichnis des TFTP Servers zB "image.out"!
2. Führe auf der FortiGate Kommandozeile folgendes aus:

# execute wireless-controller upload-wtp-image [tftp | ftp] [Name des Images auf dem TFTP Servers zB "image.out] [IPv4 Adresse des TFTP Servers]

Durch diesen Befehl wird der FortiGate Wireless Controller angewiesen vom TFTP Server das entsprechende "image.out" runterzuladen. Pro
Bulk Update Prozess kann nur ein Image eines spezifischen Forti Access Point Modell's auf den FortiGate Wireless Controller geladen
werden!

3. Nachdem das entsprechende Image vom TFTP Server runtergeladen wurde kann verifiziert werden ob sich das Image auf dem FortiGate
Wireless Controller befindet:

# execute wireless-controller list-wtp-image

4. Nun kann ein Bulk Upgrade über den FortiGate Wireless Controller ausgeführt werden. Dies bedeutet: Durch das nachfolgende Kommando werden
die Forti Access Points angewiesen sich das Image auf dem FortiGate Wireless Controller runter zu laden und das Upgrade durchzuführen.

# execute wireless-controller reset-wtp [Gebe an "all" oder bei unterschiedlichen Modellen die spezifischen Serien Nummern der Forti Access Points für das Upgrade]

Um die verschiedenen Serien Nummern der Forti Access Points auf dem FortiGate Wireless Controller zu verifizieren kann folgender Befehl benutzt werden:

# config wireless-controller wtp
# get

5. Nach dem das Bulk Upgrade durchgeführt wurde kann das spezifische Image vom FortiGate Wireless Controller gelöscht werden:

# execute wireless-controller delete-wtp-image

=== Kann für einen Forti Access Point basierend auf Firmeware 5.2 anhand einer Firmware 5.0 ein "Downgrade" durchführen? ===

Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:

Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
"verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.

Ab FortiOS 5.2.3 ist ein Downgrade auf FortiOS 5.0.x nicht mehr möglich. Aus diesem Grund ist es in jedem Fall zu empfehlen die entsprechenden Release Notes betreffend eine Upgrade sowie Downgrade zu konsultieren. Bevor ein Downgrade ausgeführt wird muss berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's mit FortiGate's basiernd auf FortiOS 5.0.9 und/oder 5.2 betrieben werden können. Nachfolgender Link gibt detaillierte Auskunft welche Versionen basiernd auf FortiGate 5.0 und/oder 5.2 eingesetzt werden können.

[[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]

=== Kann für einen Forti Access Point basierend auf Firmeware 5.4 anhand einer Firmware 5.2 ein "Downgrade" durchführen? ===

Für jedes Downgrade wie Upgrade ist vorgehend die entsprechenden Release Notes zu konsultieren ob dies ermöglich wird oder nicht. Für Forti Access Points basierend auf FortiOS 5.4 ist folgendes zu berücksichtigen:

Ein Upgrade auf FortiOS 5.4 für Forti Access Points kann ab FortiOS 5.2.4 durchgeführt werden jedoch ein Downgrade für Forti Access
Points basierend auf FortiOS 5.4 ist gemäss Release Notes nicht möglich. Forti Access Points basierend auf FortiOS 5.4 können nur mit
FortiGates betrieben werden basierend auf FortiOS 5.4.

== Backup ==

=== Wie kann ich für einen Forti Access Point Konfiguration ein Backup erstellen? ===

Wenn ein Backup einer Forti Access Point Konfiguration durchgeführt wird muss berücksichtigt werden, dass dieses Backup nur die lokale Konfiguration des Forti Access Point enthält dh. dieses Backup enthält nicht die Konfiguration zB der SSID, WTP Profiles usw. Ein Backup eines Forti Access Point's kann über Mgmt. Web Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Mgmt. Web Interface wird im Hintergrund folgender Befehl ausgeführt:

<big>'''Backup der Forti Access Point Konfiguration über CLI'''</big>

# cfg -e
BAUD_RATE=9600
ADMIN_TIMEOUT=5
AP_IPADDR=192.168.1.2
AP_NETMASK=255.255.255.0
IPGW=192.168.1.1
AP_MODE=0
DNS_SERVER=208.91.112.53
AP_MGMT_VLAN_ID=0
ADDR_MODE=DHCP
STP_MODE=0
TELNET_ALLOW=1
HTTP_ALLOW=1
AC_DISCOVERY_TYPE=0
AC_IPADDR_1=192.168.1.1
AC_HOSTNAME_1=_capwap-control._udp.example.com
AC_CTL_PORT=5246
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138
AC_DATA_CHAN_SEC=2
MESH_AP_TYPE=0
MESH_AP_SSID=fortinet.mesh.root
MESH_AP_BSSID=
MESH_AP_PASSWD=fortinet.mesh.root
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100

<big>'''Backup der Forti Access Point Konfiguration über Web Mgmt. Interface'''</big>

Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set login-enable [enable | disable]
# end

Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
Point zugewiesene WTP Profile:

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
# set override-allowaccess [enable | disable]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
# set allowaccess [telnet | http | https | ssh]
# end

# config wireless-controller wtp
# edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
# set login-enable enable
# end

Wenn ein Backup eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem Host/Client
verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
anhand "telnet" zu verbinden siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]

Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
Access Point erstellt werden:

# execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
FAP22B3U11011877 login: admin

Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:

# cfg -a HTTP_ALLOW_DFLT=1
# cfg -c

Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden und
ein manuelles Backup unter folgender Position ausgeführt werden:

Status > System Configuration > Last Backup

Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese
verschiedenen Positionen erläutert:

WTP_NAME=FP221B3X12001413 [Hostname Forti Access Point]
ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
AC_CTL_PORT=5246 [CAPWAP Comunication Port]
AC_DISCOVERY_MC_ADDR=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
MESH_AP_TYPE=0 [1 = Mesh Type "leave"; 2 = Mesh Type root]
MESH_AP_SSID=fortinet.mesh.root [Mesh SSID Name]
MESH_AP_BSSID= [Mesh SSID Broadcast Name]
MESH_AP_PASSWD=fortinet.mesh.root [Mesh SSID Passwort]
MESH_ETH_BRIDGE=0
MESH_MAX_HOPS=4
MESH_SCORE_HOP_WEIGHT=50
MESH_SCORE_CHAN_WEIGHT=1
MESH_SCORE_RATE_WEIGHT=1
MESH_SCORE_BAND_WEIGHT=100
MESH_SCORE_RSSI_WEIGHT=100

Somit kann dieses Backup File herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und dieses als Restore wieder einzuspielen!

== Local Bridging ==

=== Wie konfiguriere ich für eine Forti Access Point ein Wireless "local-bridging"? ===

Wenn für einen Forti Access Point eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:

• Tunnel to Wireless Controller
• Local bridge with FortiAP's Interface

Zusätzlich steht die Funktion "Mesh Downlink" zur Verfügung die jedoch nur im Zusammenhang mit "mesh" benutz wird. Wenn die Standard Konfiguration einer SSID benutzt wird dh. "Tunnel to Wireless Controller" so wird der Traffic des Host/Client über den CAPWAP (UDP-5246) Tunnel zum FortiGate Wireless Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen LAN/Segment's, in dem sich der Forti Access Point befindet, direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate Wireless Controller gesendet. Eine Ausnahme bildet die ab FortiOS 5.2 Funktion "Splitt Tunneling" die es erlaubt einen spezifischen IPv4 Adress Range/Subnet von diesem Umstand auszunehmen. Weitere Informationen zu dieser "Split Tunneling" Funktion siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

Soll jedoch der Traffic direkt vom Forti Access Point Interface in das LAN/Segment erlaubt werden in dem sich die Forti Access Points befinden, muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum FortiGate Wireless Controller exisitert wird in dieser Situation nur zu Management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:

Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
die Verbindung zum FortiGate Wireless Controller so werden die Wireless Hosts/Clients nicht beinträchtigt da der Access Point
im Bridge Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!

Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:

# config wireless-controller vap
# edit [Name SSID Profile]
# set ssid [Name der SSID]
# set local-bridging [enable | disable]
# set vlanid [VLAN ID]
# set local-authentication enable
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# end

Sofern gewünscht kann eine VLAN ID für die SSID vergeben werden! Wenn der Traffic zwischen den Wireless Host/Client über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf "disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable", kann das Interface des Forti Access Point im Bridge Mode nicht mehr verhindern, dass Wireless Hosts/Clients über die gleiche SSID untereinander komunizieren. Wenn ein "local-bridging" auf einem FortiWiFi Device für deren interne "radio's" konfiguriert wird, erscheint folgende Fehlermeldung:

"Maximum number of entries has been reached"

Somit kann keine SSID auf einem FortiWifi Device für deren "radio's" auf "local-bridging" konfiguriert werden. Als Workaround für einen FortiWifi Device, kann jedoch eine SSID im "Tunnel Mode" konfiguriert werden ohne aktivierten DHCP Server auf der SSID. Danach kann diese SSID anhand eines Software Switches, der für Forti Access Points per Grundsatz nicht unterstützt wird, zum "internal" Interface hinzugefügt werden. Damit die Wireless Hosts/Client die auf die SSID verbinden eine IP zugewiesen bekommen, wird auf dem "Software Switch" ein DHCP Server aktiviert! Somit kann diese SSID auf dem FortiWifi Device zusammen mit dem "internal" Interface als lokales und gemeinsames LAN/Segment genutzt werden! Diese Konfiguration gilt nur im Zusammenhang mit FortiWiFi's und ist nicht im Zusammenhang mit Forti Access Points zu benutzen da "Software Switches" in Zusammenhang mit Forti Access Points nicht unterstützt werden. Werden auf dem FortiWifi Devices zusätzliche Forti Access Points betrieben, können diese wie üblich anhand "Local Bridging" konfiguriert werden!

=== Kann ich auf einem Forti Access Point für ein "local bridging" Broadcast/Multicast verhindern (susspression)? ===

Dies ist ab FortiOS 5.2.2 innerhalb einer SSID möglich. Dies wird über CLI folgendermassen konfiguriert:

# config wireless-controller vap
# edit [Name der SSID]
# set broadcastsuppression [dhcp-up | dhcp-down | dhcp-starvation | arp-known | arp-unknown | arp-reply | arp-poison | arp-proxy | netbios-ns | netbios-ds | ipv6 | all-other-mc | all-other-bc]
# end

Per Standard wird für die Funktion "broadcastsuppession" folgende Werte benutzt:

dhcp-up arp-known

Die Werte die unter "broadcastsuppresion" konfiguriert werden können haben folgende Bedeutung:

dhcp-up Suppress broadcast uplink DHCP messages.
dhcp-down Suppress broadcast downlink DHCP messages.
dhcp-starvation Suppress broadcast DHCP starvation req messages.
arp-known Suppress broadcast ARP for known wireless clients.
arp-unknown Suppress broadcast ARP for unknown wireless clients.
arp-reply Suppress broadcast ARP reply from wireless clients.
arp-poison Suppress ARP poison messages from wireless clients.
arp-proxy Reply ARP requests for wireless clients as a proxy.
netbios-ns Suppress NetBIOS name services packets with UDP port 137.
netbios-ds Suppress NetBIOS datagram services packets with UDP port 138.
ipv6 Suppress IPv6 packets.
all-other-mc Suppress all other multicast messages.
all-other-bc Suppress all other broadcast messages.

Grundsätzlich stet der Befehle "broadcastsuppression" auch für eine SSID zur Verfügung die "NICHT" als "Local Bridging" konfiguriert wurde (Tunnel to Wireless Controller). Die Erweiterung wurde jedoch "explizit" hinzugefügt für "Local Bridging" SSID's. Der Grund ist Folgende:

Wenn ein Forti Access Point als "local bridging" eingesetzt wird in eine Subnet zB /20 so ist der Broadcast Traffic der zusätzlich
auf dem Forti Access Point entsteht beträchtlich und beeinträchtigt somit die Performance des Forti Access Point durch die über
Broadcast gesendeten "frames" vom Subnet über den Forti Access Point zum Client. Durch die gesetzten Optionen werden "frames" nur
dann vom Forti Access Point zum Client (over the air) gesendet, wenn die "Destination IPv4" Adresse existiert ansonsten werden diese
verworfen. Im "Tunnel to Wireless Controller" Mode agiert der Forti Access Point in gleicher Weise, jedoch fungiert der Forti Access
Point als eine Art "ARP Proxy" und sendet ARP Anfrage nur zum Client (over the air) wenn der ARP Anfragen über "get sys arp" vorhanden
sind. Dies gilt nur innerhalb der gleichen SSID. Diese Funktion resp. Optionen sind nur in "high density" (Hohes Aufkommen von Clients
in grossen Netzwerken zB /20) Umgebungen zu benützen um die zusätzlicne "frames" zu verhindern (broadcast arp). Somit, unter normalen
Umständen ist diese Option auf den Standard Werten zu belassen dh. "dhcp-up sowie arp-known".

== VLAN ==

=== Kann ich für Forti Access Point SSID's "Dynamische VLAN's" vergeben und wie konfiguriere ich diese? ===

Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" zu einer SSID zu vergeben im Zusammenhang mit einem Radius Server zB FortiAuthenticator. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:

IETF 64 (Tunnel Type) = Muss auf VLAN gesetzt werden
IETF 65 (Tunnel Medium Type) = Muss auf 802 gesetzt werden
IETF 81 (Tunnel Private Group ID) = Muss auf die entsprechende VLAN ID gesetzt werden

Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig die nötigen Informationen nach erfolgreicher Radius Authentifizierung anhand Radius Attribute zu übermitteln. Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server, wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) über die SSID zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen, ist die Funktion unter der entsprechenden SSID generell zu aktivieren:

# config wireless-controller vap
# edit [Wähle den Namen der entsprechenden SSID]
# set dynamic-vlan [enable | disable]
# end

Um die VLAN Konfiguration lokal auf einem Forti Access Point auszulesen kann folgendes Kommando ausgeführt werden:

# cw_diag show wllbr

Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:

[[Datei:Dynamic VLANs.pdf]]

=== Kann ich auf einem Forti Access Point für eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"? ===

Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige LAN/Segment gesendet anstelle diesen über den Data Channel Enkapsuliert (CAPWAP) zum FortiGate Wireless Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern, muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Mgmt. Web Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann lokal auf dem Access Points über CLI folgender Befehl abgesetzt werden um die Konfiguration einzusehen:

# brctl show
# cat /proc/net/vlan/conf

Die Konfiguration einer VLAN ID für eine SSID kann ab FortiOS 5.2 über Mgmt. Web Interface durchgeführt werden:

WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSDI] > Optional VLAN ID

[[Datei:Fortinet-1266.jpg]]

Möchte man die VLAN ID für eine SSID die auf "Local bridge with FortiAP's Interface" konfiguriert wurde über CLI konfigurieren führe folgendes durch:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set vdom root
# set ssid [Name der SSID]
# set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
# set passphrase "[Setze zur SSID das entsprechende Passwort]
# set local-bridging [enable | disable]
# set vlanid [Gebe die entsprechende VLAN ID an]
# end

== Mesh/Bridging ==

=== Wie konfiguriere ich für einen Forti Access Point ein Wireless "Mesh/Bridging Netzwerk" (manuell/automatisch)? ===

Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:

'''NOTE''' Fortinet hat speziell betreffend "Mesh" ein spezielle Handbook's Released, dass auf die Konfiguration von "Mesh" eingeht.
Aus diesem Grund lohnt sich ebenfalls diese Handbook's einzusehen:

[[FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

'''Wireless Mesh (No VLAN Support)'''
Ein Access Point - auch genannt "root" Mesh Access Point - ist direkt verbunden mit dem FortiGate Wireless Controller.
Alle anderen Forti Access Points - auch genannt "leaf" Mesh Access Points - benützen den FortiGate Wireless Controller
in dem diese über den "root" Mesh Access Point sich zum FortiGate Wirelesss Controller verbinden. Für Wireless Hosts/
Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. bemerken nicht, dass
sie sich zu einem Mesh Netzwerk verbinden.

'''Wireless bridging (No VLAN Support)'''
Für ein Bridging werden zwei physische LAN Segmente über Fortinet Access Points verbunden (the backhaul SSID). Die Ethernet
Anschlüsse resp. Interfaces auf den Forti Access Points ("leaf" Mesh Access Point), die diese LAN Segmente verbinden können
benutzt werden um ein zusätzliches Wireless Segment für die Wireless Hosts/Clients bereitzustellen. Grundsätzliche sind die
Clients direkt in dem jeweiligen Segment per LAN oder über ein erweitertes Wireless Netzwerk verbunden.

Daraus ergeben sich folgende Möglichkeiten:

<big>'''Forti Access Points werden benützt als "root" Mesh und "leaf" Mesh Access Points'''</big>

[[Datei:Fortinet-345.jpg]]

<big>'''FortiWiFi Device wird benützt als "root" Mesh Access Point und die Forti Access Points als "leaf" Mesh Access Points'''</big>

[[Datei:Fortinet-346.jpg]]

<big>'''Forti Access Points werden benützt um zwei LAN Segmente zu verbinden (Bridging)'''</big>

[[Datei:Fortinet-347.jpg]]

Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:

• Alle Forti Access Points die im Mesh Wireless Network eingesetzt werden, müssen über Firmware 5.0 Build 003 oder höher verfügen!

• Forti Access Point FAP-222B muss über die Bios Version 400012 oder höher verfügen:

ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out

• Auf dem FortiGate/FortiWiFi Wireless Controller muss FortiOS 5.0 GA oder höher installiert sein!

'''NOTE''' Folgende Funktionen sollten möglichst nicht benützt werden auf dem Forti Access Point "radio" auf dem der
Mesh Link konfiguriert wurde:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
[[FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F]]
[[FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F]]

Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) oder Automatischer Konfiguration:

'''<big>AUTOMATISCHE KONFIGURATION WIRELESS MESH</big>'''

Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].
Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen werden:

[[Datei:Fortinet-348.jpg]]

Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:

• Konfiguriere einen "root" Mesh Access Point auf einer Forti Access Point oder auf einer FortiWiFi Device.
• Konfiguriere die Forti Access Points für "leaf" Mesh.
• Authorisiere die "leaf" Mesh Forti Access Point damit diese auf den FortiGate/FortiWiFi Controller verbinden können.

'''Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points'''

Wähle über das Mgmt. Web Interface folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Selektiere den gewünschten Forti Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".

Wähle folgendes:

Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)

'''NOTE''' Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
mehr gesetzt werden!

[[Datei:Fortinet-349.jpg]]

'''Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points'''

Verbinde dich auf das Mgmt. Web Interface des Forti Access Point auf dem "leaf" Mesh konfiguriert werden soll.
Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.
Weitere Informationen siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Auf dem Mgmt. Web Interface unter "Connectivity" konfiguriere folgendes:

'''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

Uplink Mesh
Mesh AP SSID fortinet.mesh.[VDom Name dh. Standard "root"]
Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]

[[Datei:Fortinet-350.jpg]]

Bestätige die Konfiguration anhand "Apply".

'''Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Forti Access Points'''

Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Forti Access Points über den "root" Mesh
Access Points am FortiGate/FortiWiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss
jeder "leaf" Mesh Forti Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Gehe auf "refresh" bis der/die "leaf" Mesh Forti Access Points ersichtlich sind. Danach selektiere den Forti
Access Point und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Forti Access
Points ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit "OK"
die Konfiguration.

Sobald die Konfiguration bestätigt wurde wir der Forti Access Point seinen Status von Offline zu Online wechseln
(ca. 2 Minuten). Die automatische Konfiguration ist abgeschlossen und kann getestet werden.

'''<big>AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen
Port (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging
Mode aktiviert da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point
(backhaul link) verbindet. Ein Forti Access Point Device für Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist
empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Wireless Hosts/Client im Wireless Netzwerk.
Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!

'''Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''

Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
"leaf" Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti
Access Point direkt mit dem zu verbindenen Segment verbunden!

[[Datei:Fortinet-358.jpg]]

'''<big>MANUELLE KONFIGURATION WIRELESS MESH</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
den Device erhält. Ein Mesh Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Forti Access Points verbinden
sich über diesen "root" Mesh AP (backhaul link) zum FortiGate/FortiWiFi Controller. Ein Forti Access Point Device für
Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4
GHz für die Wireless Hosts/Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende
Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
• Konfiguriere die "leaf" Mesh Access Point's.

'''Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Forti Access Point'''

• Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die Forti Access Points benutzt werden kann.
• Erstelle eine SSID für den "backhaul link".
• Erstelle eine Forti Access Point WPT Profil das die SSID für den "backhaul link" enthält.
• Füge das neue WPT Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
• Konfigureire den "root" Mesh Forti Access Point.

Um die SSID für den "backhaul link" zu erstellen wähle im Mgmt. Web Interface der FortiGate folgendes:

WiFi Controller > WiFi Network > SSID, select Create New

Konfiguriere folgendes:

Interface Name [Name des Interfaces zB "mesh-backhaul"]
IP/Netmask [Belasse die IPv4 Adresse auf 0.0.0.0/0.0.0.0]
SSID [Name der SSID zB "mesh-backhaul"]
Preshared Key [Wähle ein Preshared Key]

[[Datei:Fortinet-351.jpg]]

Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:

# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set mesh-backhaul enable
# end

Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:

[[Datei:Fortinet-352.jpg]]

Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:

'''NOTE''' Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
Position "Traffic Mode"

# config wireless-controller vap
# edit [Name des Interfaces zB "mesh-backhaul"]
# set ssid "[Name der SSID zB "mesh-backhaul"]"
# set security wpa2-only-personal
# set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
# set encrypt AES
# set vdom root
# set mesh-backhaul enable
# end

Nun muss ein "backhaul" Forti Access Point Profile erstellt werden. Wähle dazu im Mgt. Web Interface der FortiGate folgendes:

WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":

- Wähle für das WTP Profile einen Namen zB "mesh-backhaul-root".
- Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Forti Access Point.
- Aktiviere die Position "Mesh Downlink".
- Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".

[[Datei:Fortinet-353.jpg]]

'''NOTE''' Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.

Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:

# config wireless-controller wtp-profile
# edit [Profil Name zB "mesh-backhaul-root"]
# config platform
# set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
# end
# config radio-1
# set mode ap
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# end

Nun muss das erstellt WTP Profil dem Forti Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
Wähle dazu im WebGui folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Der "root" Mesh Forti Access Point muss über physisches LAN/Segment angeschlossen sein sowie Verbindung
zum FortiGate/FortiWiFi Controller haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und
kann selektiert werden. Gehe auf "Authorize" und wähle das entsprechende WTP Profil das erstellt wurde
für den "backhaul link". In unserem Beispiel wäre dies zB "mesh-backhaul-root"! Nach einiger Zeit geht
danach der Forti Access Point auf den Status "Online".

Um das Profil per CLI zum entsprechenden Profile hinzu zufügen, gehe folgendermassen vor:

# config wireless-controller wtp
# get
FAP22B3U11005354

# edit FAP22B3U11005354
# set admin enable
# set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
# end

Nun muss der "root" Mesh Forti Access Point als solches definiert werden dh. im Mgmt. Web Interface unter folgender
Position ist die entsprechende IPv4 Adresse des Forti Access Points zu eruieren:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

Wir nehmen an, dass der Forti Access Point dem wir das "backhaul" Profil hinzugefügt haben die IPv4 Adresse 192.168.3.2
zugewiesen worden ist. Verbinde dich nun anhand dieser IPv4 Adresse auf das Mgmt. Web Interface des Forti Access Point.
Führe ein Login durch anhand User "admin" und kein "Passwort" sofern keines gesetzt wurde:

http://192.168.3.2

Im Mgmt. Web Interface auf dem Forti Access Point unter "Mesh Configuration" selektiere:

Ethernet with mesh backup support

[[Datei:Fortinet-354.jpg]]

'''NOTE''' Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden da
der Access Point als "root" Mesh konfiguriert ist ignoriert!

Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe Lokal auf der CLI des Forti Access Points folgendes ein:

# cfg -a MESH_AP_TYPE=2
# cfg –c

Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:

# cfg -s

Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

'''Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point'''

Wie schon beschrieben sind "leaf" Mesh Forti Access Points Devices die das Wireless Netz (nicht physisch verbunden)
benutzen um sich in das Wireless Netz zu integrieren. Die Verbindung zum FortiGate/FortiWiFi Controller wird über
den "root" Mesh Access Point bewerkstelligt.

Um ein "leafe" Forti Access Point zu konfigurieren benutzen wir das Mgmt. Web Interface des Forti Access Points. Per
Standard nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2.
Verbinde dich nun auf den WebBased Manager anhand dieser IP:

'''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]

http://192.168.1.2

Im WebBased Manager konfiguriere folgendes:

Uplink [Mesh]
Mesh AP SSID [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
Mesh AP Password [Preshared Key gemäss SSI "mesh-backhaul"]"

Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
Konfiguration mit "Apply":

[[Datei:Fortinet-355.jpg]]

Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:

Wenn ein Forti Access Point nicht über einen FortiGate Wireless Controller konfiguriert und eingebunden ist sondern Lokal
über einen Host/Client, ist der Consolen Port per "telnet" über die Standard IP 192.168.1.2 erreichbar. Wird ein Forti
Access Point über einen FortiGate/FortiWiFi Wireless Controller konfiguriert so ist der Forti Access Point über den
FortiGate/FortiWiFi Controller per "telnet" erreichbar sofern dieser Zugriff aktiviert ist. Folgender Artikel gibt
Auskunft wie "telnet" aktiviert werden kann:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

# cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
# cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
# cfg -a MESH_AP_TYPE=1
# cfg -c

Um die Konfiguration zu verifizieren (Es wird ein Neustart des Forti Access Point ausgeführt) geben folgendes ein:

# cfg -s

Als nächsten Schritt muss für die "leaf" Forti Access Points ein Profil angelegt werden. Dazu wähle im Mgmt. Web
Interface folgendes:

WiFi Controller > Managed Access Points > Custom AP Profile

Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:

Name Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
Platform Selektiere die Platform für den entsprechenden Forti Access Point der für "leaf" Mesh eingesetzt werden soll.
Radio 1 Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Radio 2 Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.

[[Datei:Fortinet-356.jpg]]

'''NOTE''' Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
mehr als Definition innerhalb des WTP Profiles zur Verfügung.

Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:

# config wireless-controller wtp-profile
# edit [Namen für das Profil zB "mesh-backhaul-leaf"]
# config platform
# set type [Selektiere entsprechend dem Forti Access Point Modell die für "leaf" Mesh eingesetzt werden die Platform]
# end
# config radio-1
# set mesh-downlink enable
# set band 802.11n-5G
# set channel "36" "40" "44" "48"
# set darrp enable
# set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
# end
# config radio-2
# set mode ap
# set band 802.11n
# set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
# end
# end

Nun muss das entsprechende WTP Profil das erstellt worden ist dem entsprechenden Forti Access Point der für "leaf" Mesh
Forti Access Point benützt wird, zugewiesen werden. Wähle daszu im Mgmt. Web Interface:

WiFi Controller > Managed A ccess Points > Managed FortiAP

Wenn der "leaf" Mesh Forti Access Point in Betrieb ist, müsste dieser nun in der Liste der Forti Access Points erscheinen.
Selektiere diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird, sollte
der Forti Access Point die Mesh IPv4 Adresse zeigen. Nach dem "Authorize" kann das entsprechende WTP Profile für die "leaf"
Mesh Forti Access Point, das vorhergend erstellt worden ist, gewählt werden. Bestätige die Konfiguration anhand "Apply".
Wenn die Konfiguration auf der CLI durchgeführt werden soll führe folgendes aus:

# config wireless-controller wtp
# get
FAP22B3U11d05924

# edit FAP22B3U11d05924
# set admin enable
# set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
# end

Die Konfiguration der '''Manuelle Konfiguration betreffend Mesh''' ist nun abgeschlossen. Um das "Mesh" Wireless
Netzwerk zu kontrollieren wähle im Mgmt. Web Interface folgendes:

WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs

In dieser View werden alle verbundenen und nicht verbundenen Forti Access Points aufgelistet. Wenn man unter "Column
Settings" das Feld "Connected Via" einblended, sieht man in diesem Feld "Mesh" für die Forti Access Points die über
Mesh verbunden sind sowie deren IPv4 Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen
Forti Access Point durchgeführt werden:

# cw_diag -c mesh

Eine weitere Möglichkeit um an Informationen heranzukommen, ist auf dem Forti Access Point folgender Befehl abzusetzen:

# dmesg

'''<big>MANUELLE KONFIGURATION WIRELESS BRIDGING</big>'''

Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über den
Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
(Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Forti Access Point ("leaf")
verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging Mode
aktiviert da dieser an einem LAN/Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point (backhaul
link) verbindet. Ein Forti Access Point Device verfügt für Mesh über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen
5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
durchzuführen sind folgende Punkte zu berücksichtigen:

• Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
• Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!

'''Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''

Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem "leaf"
Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti Access Point
direkt mit dem zu verbindenen Segment verbunden!

[[Datei:Fortinet-357.jpg]]

== Guest Access ==

=== Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion? ===

Fortinet bietet im Zusammenhang mit der FortiGate Wireless Infrastrukturen zwei verschiedene Arten eines Ticketing System's für Guest Access:

'''Guest Access Provisioning:'''
Das "Guest Access Provisioning" basiert auf einem Ticket System dh. durch einen definierten Administrator kann dieser
die entsprechenden Tickets erstellen resp. generieren. Für dieses "Gues Access Provisioning" können die Tickets selber
dh. Inhalt und Aussehen nicht modifiziert werden sondern sind vorgegeben. In so einer Situation sollte die "Captive
Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit
FortiOS 5.0/5.2 oder höher. Es müssen keine zusätzliche Installationen durchgeführt werden da ein FortiGate Wireless
Controller alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur Implmenenterung
siehe:

[[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]

'''User Self Registration:'''
In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein "Captive Portal"
vorgeschaltet sein, jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self Registration Portal. Die Felder,
der Inhalt etc. des Self Registration Portal und/oder der Ticket's können vollumfänglich selber betreffend Inhalt und Aussehn
definiert werden. Für das "Wireless Self Registration" benötigt man einen FortiAuthenticator! Weitere Inoformationen zur
Implementierung siehe:

[[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]

=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Self Registration" Funktion? ===

Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:

[[FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F]]

Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einem FortiGate Wireless Controller konfiguriert wird:

[[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]

=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Guest Access Provisioning" Funktion? ===

Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0/5.2 oder höher) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:

'''NOTE''' Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt
werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe
nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_.22Wireless_Guest_Access_Provisioning.22_ein_Custome_Language_File.3F]]

User & Device > User > User Groups

[[Datei:Fortinet-363.jpg]]

Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch durch das System
erstellt (Batch):

[[Datei:Fortinet-373.jpg]]

Zur dazugehörigen Gruppe erstellen wir einen Administrator, der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:

System > Admin > Administrators

[[Datei:Fortinet-364.jpg]]

Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:

[[Datei:Fortinet-365.jpg]]

[[Datei:Fortinet-366.jpg]]

Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:

[[Datei:Fortinet-367.jpg]]

[[Datei:Fortinet-368.jpg]]

Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch"
erstellt (Batch). Dies sieht dann folgendermassen aus:

[[Datei:Fortinet-374.jpg]]

Nach der "automatischen" Erstellung wird folgendes Ausgegeben:

[[Datei:Fortinet-375.jpg]]

Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes:

[[Datei:Fortinet-376.jpg]]

Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:

[[Datei:Fortinet-377.jpg]]

Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing. Vorraussetzung dafür ist jedoch das ein "Email Service" konfiguriert wurde. Dazu siehe nachfolgende Artikel:

[[FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F]]
[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_den_.22Email_Service.22_konfigurieren.3F]]

[[Datei:Fortinet-369.jpg]]

Wählt man zB Printing so erscheint folgendes:

[[Datei:Fortinet-372.jpg]]

'''NOTE''' Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden!

Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:

[[Datei:Fortinet-370.jpg]]

Wenn man sich als "regulärer" Administrator wiederum einloggt, kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:

User & Device > User > Guest Management

[[Datei:Fortinet-371.jpg]]

Ein "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts wie der "Restricted to Provision Guest Accounts" Administrator" erstellen/verwalten! Für die SSID muss nun ein "Captive Portal" ausgewählt jsowie konfiguriert werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:

[[Datei:Fortinet-1267.jpg]]

Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal". Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste der Guest Account die URL abermals eingeben! Als Letzteres muss eine entsprechende Firewall Policy Rule implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Konfiguration getestet werden. Sobald ein Wireless Host/Client die entsprechende SSID aufruft, wird er mit dieser SSID anhand einer IPv4 Adresse die vom DHCP Server stammt der für die SSID konfiguriert wurde, verbunden. Wenn nun ein Wireless Host/Client danach eine Anfrage absetzt dh. eine Web Seite aufruft wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der Wireless Host/Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:

'''Guest Access User Group'''

# config user group
# edit [Name der Gruppe zB "FortiGroup-Guest"]
# set group-type guest
# set user-id [email | auto-generate | specify]
# set password [auto-generate | specify | disable]
# set user-name [enable | disable]
# set email [enable | disable]
# set mobile-phone [enable | disable]
# set default-expire [seconds]
# end

'''Guest admin profile options'''

# config system admin
# edit [Name des Administrators]
# set guest-auth [enable | disable]
# set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
# end

'''SSID Security Mode option captive-portal'''

# config wireless-controller vap
# edit [Name des SSID Profiles zB "only4guest"]
# set vdom "root"
# set ssid [Name der SSID zB "only4guest"]
# set security captive-portal
# set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
# set intra-vap-privacy enable
# end
# config system interface
# edit [Name des Interface für SSID zB "only4guest"]
# set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
# set allowaccess ping
# set devindex 0
# set device-identification enable
# set snmp-index 0
# end
# config system dhcp server
# edit [Gebe einen Integer an zB 1]
# set forticlient-on-net-status disable
# set dns-service default
# set default-gateway [IPv4 Adresse zB 192.168.10.1]
# set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
# set interface [Interface für DHCP Server zB "only4guest"]
# config ip-range
# set start-ip 192.168.10.2
# set end-ip 192.168.10.254
# end
# end

Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:

# diagnose test guest ?
add add a guest user
del delete guest users
list list guest users

# diagnose test guest list
user_id=new-user-1@beispiel.com
group=Beispiel-Gruppe
user_name=gast-1
password=pwj8m9
mobile_phone=
sponsor=
company=
email=new-user-1@beispiel.com
expire=1 Hours

# diagnose test guest add
<group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>

# diagnose test guest del
12 deleted for group '', user-id ''

# diagnose test guest list
0 found for group '', user-id ''

=== Wie konfiguriere ich für ein "Wireless Guest Access Provisioning" ein Custome Language File? ===

Auf einer FortiGate ist das Mgmt. Web Interface und Replacement Messages per Standard Englisch. Unter der folgende Position können andere Sprachen gewählt werden:

System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]

Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):

• Guest Management Admin Accounts (Guest Access Provisioning)
• SSL VPN Portal
• SSL VPN Personal Bookmarks

Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:

# config system global
# set gui-custom-language enable
# end

Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Mgmt. Web Interface auf der FortiGate
aktiviert:

System > Config > Advanced > Language

[[Datei:Fortinet-1285.jpg]]

Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:

System > Custom Languages

Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann
als Vorlage um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":

[[Datei:sample-language-template.txt]]
[[Datei:sample-language-template-54.txt]]

Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:

System > Config > Advanced > Language > Create New

[[Datei:Fortinet-1286.jpg]]

Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:

System > Custom Languages

Danach kann das File raufgeladen werden:

[[Datei:Fortinet-1287.jpg]]

Damit das entsprechende File benutzt wird für die Funktion des "Wireless Guest Access Provisioning", muss
dies unter CLI und/oder über Mgmt. Web Interface für den Guest Administrator konfiguriert werden:

System > Admin > Administrators > [Wähle den entsprechenden Guest Administrator] > Language > [Wähle das entsprechende "Sprachfile"]

[[Datei:Fortinet-1289.jpg]]

# config system admin
# edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
# set guest-auth enable
# set guest-lang [Wähle das entsprechende "Sprachfile"]
# end
# end

=== Wie kann ich für die "Wireless Guest Access Provisioning" Funktion die Erstellung der Tickets (Anzahl) limitieren? ===

Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" Ticket erstellen. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket Erstellung in der Anzahl limitiert. Ab FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:

# config user group
# edit guest-group
# set group-type guest
# set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
# end
# end

Wird die Konfiguration durchgeführt für Guest Administratoren die bereits Tickets erstellt haben, muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert für Anzahl Tickets tiefer als die existierenden "valid" Tickets konfiguriert werden so müssen um den Wert anzupassen zuerst Tickets gelöscht werden um den entsprechenden Wert zu setzen.

=== Gibt es für das Passwort des Guest-Administrators für "Wireless Guest Access Provisioning" eine Passwort Policy? ===

Wenn auf einer FortiGate ein "Wireless Guest Access Provisioning" konfiguriert wird ist die Basis ein Administrator der für Guest definiert wird (Restricted to Provision Guest Accounts). Wie ein "Wireless Guest Access Provisioning" konfiguriert wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]

Neu unter FortiOS 5.4.1 kann diesem Administrator der für Guest definiert wurde eine Passwort Policy aktiviert werden. Dies kann jedoch nur in der CLI konfiguriert werden und ist per Standard deaktiviert:

# config system password-policy-guest-admin
# status [enable | disable]
# apply-to [guest-admin-password]
# minimum-length [Minimum Länge des Passwortes]
# min-lower-case-letter [Minimum Anzahl Kleinbuchstaben im Passwort]
# min-upper-case-letter [Minimum Anzahl Grossbuchstaben im Passwort]
# min-non-alphanumeric [Minimum Anzahl Non-Alphanumerischen Zeichen im Passwort]
# min-number [Minimum Anzahl von Nummerischen Zeichen im Passwort]
# change-4-characters enable/disable Enable/disable changing at least 4 characters for new password.
# expire-status [enable | disable]
# reuse-password [enable | disable] # end

== Remote ==

=== Wie konfiguriere ich einen Forti Access Point zB. FAP-11C für einen Remote Zugriff? ===

Ein Forti Access Point FAP-11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point FAP-11C, FAP-14C sowie fAP-28C da diese Forti Access Point über einen Internal Switch/Hub verfügen der es dem User/Client erlaubt entweder über den Internen Switch/Hub zu arbeiten oder über Wireless resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:
_________
| | 193.193.135.70
| FAP-11C |--|
|_________| |
WAN
| 193.193.135.66 ___________
____________|____________ | |
| | 192.168.3.1 | FAP-11C |
| Fortigate |----- DMZ ------| |
|_________________________| |___________|
|
| 192.168.1.99
LAN

In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "dmz" durchgeführt! Dies bedeutet: dieses "dmz" ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen benützt dh. der FAP-11C wird mit der gesamten Konfiguration lokal eingebunden inkl Firewall Policy Rules usw. Diese Konfiguration kann nachträglich für einen Remote Konfiguration komplett übernommen werden. Alle Forti Access Point benützen für deren Komunikation zum FortiGate Wireless Controller CAPWAP (UDP-5246). Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_einen_FortiGate_Wireless_Controller_verwaltet.2Fkonfiguriert_.28CAPWAP.29.3F]]

Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt, jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden, sind per Standard "clear-text". Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel von und zu dem Forti Access Point zum FortiGate Wireless Controller zu verschlüsseln. Weitere Informationen zu DTLS Funktion siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Die Konfiguration eines Forti Access Point für Remote Zugriff unterscheidet sich Grundsätzlich nicht gegenüber einer lokalen Konfiguration von Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point unter FortiOS 5.0/5.2/5.4 in Betrieb genommen wird und was dabei zu beachten ist:

[[FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F]]

Wenn die Grundkonfiguration für den FAP-11C inkl. den Firewall Policy Rule's gemäss vorhergenden Link durchgeführt wurde sowie alle Tests erfolgreich waren, sollte der FAP-11C aus dem "dmz" Segment entfernt. Ist dies geschehen sollte der entsprechende Forti Access Point Eintrag unter "Managed FortiAP's" gelöscht werden:

WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]

Als Nächstes muss nun Lokal auf dem Forti Access Point FAP-11C mitgeteilt werden, mit welchen FortiGate Wireless Controller eine Remote Verbindung erstellt werden soll. Dies kann über das lokale Mgmt. Web Interface oder CLI des Forti Access Point FAP-11C durchgeführt werden. Die Informationen die lokal auf dem Forti Access Point konfiguriert werden müssen sind die Folgenden:

IPv4 Adresse
FQDN (Fully Qualified Domain Name]

Um auf einen Forti Access Point lokal zu verbinden kann die Default IPv4 Adresse des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

Es können für Failover Zwecke bis zu 3 Wireless Controller konfiguriert werden:

[[Datei:Fortinet-700.jpg]]

Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Wenn in einem späteren Zeitpunkt der Forti Access Point in ein IPv4 Segment zB zu Hause verbunden wird, sucht sich dieses "wan" Interface einen DHCP Server. Werden die DHCP Anfragen des "wan" Interfaces beantwortet, wird auf dem "wan" Interface gemäss der DHCP Server Konfiguration eine IPv4 Adresse, Subnet sowie Default Gateway konfiguriert. Sobald dies der Fall ist, wird über das "wan" Interface versucht den konfigurierten FortiGate Wireless Controller anhand dessen IPv4 Adresse oder den FAQDN über CAPWAP (UDP-5246) zu erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf "Auto" konfiguriert was wiederum bedeutet:

Broadcast -> Multicast > Static > DNS > DHCP

In dieser Reihenfolge versucht der Forti Access Point über CAPWAP den konfigurierten FortiGate Wireless Controller zu erreichen. Damit kein "Auto" für die Suche des FortiGate Wireless Controller durchgeführt wird, sollte "Static" benutzt werden. Wenn ein FQDN benutzt wird, ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:

# cfg -a DNS_SERVER=[DNS Server IP Adresse]
# cfg -c
# cfg -s

Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:

# cfg -a WTP_NAME=FP11C3X12001413 [Hostname Forti Access Point]
# cfg -a ADMIN_TIMEOUT=5 [Admin Timeout Default 5 Minuten]
# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]
# cfg -a STP_MODE=0 [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
# cfg -a TELNET_ALLOW=1 [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
# cfg -a HTTP_ALLOW=1 [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
# cfg -a AC_DISCOVERY_TYPE=0 [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
# cfg -a AC_IPADDR_1=192.168.1.1 [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_2= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_IPADDR_3= [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_2= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_HOSTNAME_3= [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
# cfg -a AC_CTL_PORT=5246 [CAPWAP Comunication Port]
# cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
# cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138 [DHCP Option Code]
# cfg -a AC_DATA_CHAN_SEC=2 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]

# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]

Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. Auf dem Forti Access Point ist "DTLS" bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate Wireless Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy [dtls-enabled | clear-text]
# end

Wenn ein Client/Host über den Remote Forti Access Point ein Packet versendet und da der Standard Wert für MTU Size auf den meisten Betriebsystemen auf 1500 konfiguriert ist kann es mit der zusätzlich aktivieren "DTLS" Funktion zu einer Fragmentierung kommen. Der Grund ist der Folgende: Wenn ein Packet über den CAPWAP Tunnel gesendet wird so kommt zum Packet ein kleiner "overhead" des CAPWAP dazu. Dies ist unter normalen Umständen und in den meisten Fällen kein Problem. Kommt jedoch nochmals der "overhead" des "DTLS" dazu, vergrössert sich das Packet dh. mehr als MTU 1500 und somit wird das Packet aufgeteilt dh. es wird eine Fragmentierung durchgeführt. Dies beeinträchtigt die Performance und sollte verhindert werden. Aus diesem Grund empfehlen wir gemäss nachfolgenden Link im WTP Profile dies zu berücksichtigen resp. eine Fragmentierung zu verhindern:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]

Grundsätzlich kann die "Network Configuration" eines Forti Access Point auch auf "Static" gesetzt werden dh. Ein Forti Access Point ist per Standard mit "DHCP" konfiguriert und sollte unter normalen Umständen so konfiguriert sein. Möchte man jedoch für das "wan" Interface des Forti Access Point eine statische IPv4 Adresse vergeben kann dies über Mgmt. Web Interface oder CLI durchgeführt werden. Für eine Konfiguration über CLI lokal auf dem Forti Access Point stehen folgende Konfigurationspunkte zur Verfügung:

# cfg -a AP_IPADDR=192.168.1.2 [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
# cfg -a AP_NETMASK=255.255.255.0 [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
# cfg -a IPGW=192.168.1.1 [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
# cfg -a AP_MODE=0 [0 (Thin AP)] | 2 (Site Survey)]
# cfg -a DNS_SERVER=208.91.112.53 [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
# cfg -a BAUD_RATE=9600 [Geschwindigkeit der Console; Standard 9600]
# cfg -a ADDR_MODE=DHCP [IP Adressierungs Mode dh. DHCP oder STATIC]

# cfg -c [Speicher Konfiguration in das Flash]
# cfg -s [Liste die Konfiguration auf]

'''DHCP Konfiguration (Default):'''

[[Datei:Fortinet-702.jpg]]

'''Static Konfiguration:'''

[[Datei:Fortinet-703.jpg]]

Damit die Anfragen des Forti Access Point auf den FortiGate Wireless Controller beantwortet wird, muss CAPWAP auf der FortiGate für das "wan" Interface aktiviert werden:

System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]

[[Datei:Fortinet-784.jpg]]

Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP-5246 auf dem "wan" Interface erlaubt. Die "Local-In" Policy erlaubt den UDP-5246 Traffic von jeder Source dh. soll diese eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F]]

Wenn nun der Forti Access Point in einer Remote Lokation zB zu Hause benutzt wird so wird folgendes durchgeführt:

1. Verbinde das "wan" Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.

2. Dem Forti Access Point wird über DHCP auf das "wan" Interface eine IPv4 Adresse zugewiesen oder das "wan" Interface wurde
mit einer LAN IPv4 Adresse aus dem Segment/Subnet statisch konfguriert.

3. Uber das "wan" Interface werden CAPWAP (UDP-5246) Anfragen an die definierte IPv4 Adresse und/oder FQDN an das "wan"
Interface des FortiGate Devices gesendet.

4. Da CAPWAP auf dem FortiGate "wan" Interface aktiviert wurde und somit die CAPWAP Anfragen vom FortiGate Wireless Controller
beantwortet werden, erscheint auf dem FortiGate Device unter "Managed Access Point" der entsprechende Forti Access Point:

WiFi Controller > Managed Access Points

5. Dem Forti Access Point kann nun das entsprechendes WTP Profile zugewiesen werden.

Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende WTP Profile sowie auf dem Forti Access Point selber durchgeführt werden:

'''FortiGate WTP Profile'''

[[Datei:Fortinet-705.jpg]]

'''Forti Access Point'''

[[Datei:Fortinet-706.jpg]]

Wenn man einer der Remote Forti Access Point's einsetzt dh. FAP-11C, FAP-14C sowie FAP-28C hat man nun die Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Bei der Konfiguration des internent Switches/Hubs ist jedoch folgendes zu berücksichtigen: Ein Port eines Switches kann mit "bridge to SSID" auf die SSID konfiguriert werden. Dies bedeutet: Wenn ein Client/Host sich per RJ-45 auf diesen Port verbindet, wird diesem über den konfigurierten DHCP Server der SSID eine IPv4 Adresse zugewiesen. Wenn dies geschieht, wird keine Authentifizierung für die SSID ausgeführt! Um zB eine Security auf diesen Switch Port für "bridge to SSID" zu konfigurieren, kann der DHCP Server auf "block" gesetzt werden und somit werden vom DHCP Server nur IPv4 Adressen den Clients/Host zugewiesen, wenn diese mit deren MAC Adressen im DHCP Server konfiguriert wurden. Dies wird folgendermassen für den DHCP Server der SSID konfiguriert:

# config system dhcp server
# edit [Wähle den entsprechenden Integer für den DHCP Server der SSID zB "1"]
# set mac-acl-default-action [assign | block]
# config reserved-Adresse
# edit [Setze einen entsprechenden Integer zB "1"]
# set ip [IPv4-Adresse für IP Reservation]
# set mac [MAC-Adresse Defintion für IP Reservation]
# set action [assign | block | reserved]
# end
# end

Eine andere Variante ist auf dem Interface der SSID (nicht für die SSID Konfiguration) ein "Captive Portal" zu aktivieren dh. wenn dies geschieht, muss sich der Client/Host in jedem Fall auf dem "Captive Portal" des Interface zuerst authentifizieren bevor er Zugriff erhält. Wie die einzelnen Switch/Hub Ports zu konfigurieren sind siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Remote_Forti_Access_Points_FAP-11C.2C_FAP-14C_und_FAP-28C_die_Switch_Ports_konfigurieren.3F]]

Desweiteren ist zu berücksichtigen, dass der Traffic des Client/Host der sich über einen Switch/Hub Port der anhand "bridge to SSID" konfiguriert wurde, unweigerlich über CAPWAP zum FortiGate Wireless Controller gesendet wird da die SSID anhand "Tunnel to Wireless Controller" konfiguriert wurde. Möchte der Client/Host jedoch lokale Resourcen ebenfalls erreichen kann ab FortiOS 5.2 ein "Splitt Tunneling" konfiguriert werden. Dies erlaubt einen bestimmten IPv4 Range/Subnet am CAPWAP Tunnel vorbei zu routen. Wie dies konfiguriet wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

Wenn die konfigurierte SSID auf einem Forti Access Point die ebenfalls für die Switch/Hub Ports benutzt wird um "bridge to SSID" zu konfigurieren nicht benötigt wird dh. Client/Hosts die SSID für einen Wireless Zugriff nicht benötigen, sollte diese deaktiviert werden. Dies kann nach Abschluss der Konfiguration im entsprechenden WTP Profile konfiguriert werden in dem der entsprechende "radio" komplett deaktiviert wird!

=== Wieviel Bandbreite benötigt ein Forti Access Point für CAPWAP in einer Remote Verbindung? ===

Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP (UDP-5246) für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:

• Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
• Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten

Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!

== LAN Port's / Switch ==

=== Wie kann ich für einen Remote Forti Access Points FAP-11C, FAP-14C und FAP-28C die Switch Ports konfigurieren? ===

Die Remote Forti Access Points wie FAP-11C, FAP-14C und FAP-28C werden mit einem kleinen Switch/Hub ausgeliefert! Bis FortiOS 5.0.4 sowie für Forti Access Points FortiOS 5.0.5 waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:

'''Fuer die LAN Port Konfiguration gelten folgende Restriktionen:'''

• Beim FortiAP-14C/25D können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration da es sich
bei den Ports um ein Hub handelt!

• Jeder Client/Host der sich über die LAN Ports verbindet gilt als Authentifiziert!

• Dynamische VLAN Konfiguration für Client/Host die über die LAN Ports verbunden sind wird nicht unterstützt. Weitere Informationen
zur Dynamischee VLAN Konfiguration siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_f.C3.BCr_Forti_Access_Point_SSID.27s_.22Dynamische_VLAN.27s.22_vergeben_und_wie_konfiguriere_ich_diese.3F]]

• RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!

• Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden. Dies gilt ab FortiOS 5.0.6
und Forti Access Point FortiOS 5.0.7!

Die LAN Ports können sofern gewünscht komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden WTP Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
# end

Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende Bedeutung:

• offline Der Port wird komplett deaktiviert!
• bridge-to-wan Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
• bridge-to-ssid Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
• nat-to-wan Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!

'''Bridge to SSID'''
Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
Client/Host über die LAN Ports, wird dem Client über den DHCP Server der für die SSID konfiguriert wurde, eine IPv4 Adresse zugewiesen.
Der Traffic des Clients/Hosts, der sich am LAN Port verbindet, wird zum FortiGate Wireless Controller gesendet. Ein "local bridging"
ist nicht möglich! Wireless Clients/Hosts die diese SSID benutzen sowie die Clients/Hosts die über den Switch Port verbunden sind,
können untereinander uneingeschränkt komunizieren. Es findet keine Authentifizierung auf den LAN Ports statt! Die Clients/Hosts, die
über die LAN Ports in diesem Modus verbinden, sind über den folgenden Menüpunkt ersichtlich:

WiFi Controller > Monitor > Client Monitor

Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen: Auf dem Forti Access
Point steht die DTLS Verschlüsselung per Standard auf "Clear Text oder "DTLS Enabled" dh. der Forti Access Point bietet beides an. Somit
steuert der FortiGate Wireless Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

'''Bridge to WAN'''
Es wird ein "bridge-to-wan" auf das "wan" Interface des Forti Access Point durchgeführt was folgendes bedeutet: Verbindet sich ein
Client/Host über die Switch Ports, wird dem Client/Host über den DHCP Server sofern dieser im "wan" Segment existiert, eine IPv4
Adresse zugewiesen. Wireless Clients/Hosts die über eine SSID auf dem Forti Access Point verbunden sind und Clients/Hosts die über
die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Firewall Policy Rule auf
der FortiGate konfiguriert wird die diesen Traffic erlaubt! Somit, wenn dies der Fall ist, wird der Traffic über die FortiGate
Device dh. über CAPWAP abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!

'''NAT to WAN'''
Es wird ein "nat-to-wan" auf dem "wan" Port des Forti Access Point durchgeführt dh. die Source des Traffic vom LAN Port wird
übersetzt (translated) anhand der IPv4 Adresse die auf dem "wan" Port existiert/konfiguriert wurde.

Die Konfiguration der Switch/Hub Ports kann ebenfalls über Mgmt. Web Interface durchgeführt werden und zwar unter folgender Position sofern es sich um ein WTP Profile eines Forti Access Points handelt der über einen Switch/Hub verfügt:

WiFi Controller > WiFi Network > Forti/Custom AP Profiles

[[Datei:Fortinet-964.jpg]]

Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profile]
# config lan
# set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port-ssid [Name der gewünschten SSID]
# set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
# set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
# end
# set dtls-policy [ dtls-enabled | clear-text]
# end

Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]

=== Kann ich für einen Forti Access Points für dessen LAN Interfaces eine "Link Aggregation" konfigurieren? ===

Bis anhin war das nicht möglich. Neu ab FortiOS 5.4.1 ist eine Link Aggregation ausschliesslich für folgende Modelle möglich:

• FAP-320B und 320C

'''NOTE''' Durch Fortinet Informationen wird ebenfalls explizit erwähnt, dass folgende Forti Access Points keine
Link Aggregation unterstützen:

• FAP-112B und FAP-112D

Diese Forti Access Point's verfügen über 2 Interfaces und diese können über die Shell des Forti Access Point als Link Aggregation konfiguriert werden. Wie man sich auf einen Forti Access Point über Telnet verbindet wenn dieser zB keine Mgmt. Console verfügt (RS-232) siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Danach muss ein Login durchgeführt werden auf dem Forti Access Point:

# execute [telnet | ssh] [IPv4 Adresse des Forti Access Point]
FAP22B3U11011877 login: admin

BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Für die Link Aggregation muss folgendes Kommando ausgeführt werden:

# cfg -a WANLAN_MODE=AGGREGATE

Danach muss die Konfiguration geschrieben werden:

# cfg -c

Um die geschriebenen Konfiguration auszulesen benutze:

# cfg -s

== Sniffer ==

=== Kann ich einen Forti Access Point als Sniffer benutzen um den Traffic aufzuzeichnen (capture)? ===

Ja diese Möglichkeit existiert jedoch mit folgenden Einschränkungen:

• Nur ein "radio" pro Aufzeichnung kann benutzt werden um den Sniffer auszuführen (capture)!
• Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden!
• Sniffer Mode wird für "radio" für 802.11ac nicht unterstützt (FortiOS 5.2.5 Bug ID 301726)!

Wenn ein "radio" für den Sniffer Mode konfiguriert wurde so wird lokal auf dem Forti Access Point ein File in folgendes Verzeichnis abgelegt:

/tmp/wl_sniff.pcap

Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des Forti Access Point wird durchgeführt, so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none" Persistent Verzeichnis handelt. Aus diesem Grund muss das File vor einem Neustart per TFTP auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren benutze folgende Kommandos:

# cd /tmp
# ls
wl_sniff.cap

# tftp

BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server

Options:

-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file

Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:

# tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IPv4 Adresse des TFTP Servers] 69

Um einen Forti Access Point in den Sniffer Mode zu versetzen, muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:

# config radio-1
# set mode disabled
# end
# config radio-2
# set mode sniffer
# set ap-sniffer-bufsize 32
# set ap-sniffer-chan 1
# set ap-sniffer-addr 00:00:00:00:00:00
# set ap-sniffer-mgmt-beacon enable
# set ap-sniffer-mgmt-probe enable
# set ap-sniffer-mgmt-other enable
# set ap-sniffer-ctl enable
# set ap-sniffer-data enable
# end
# end

Durch die nachfolgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:

ap-sniffer-add Definiert einen spezifischen Client/Host anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
ap-sniffer-chan Definiert einen spezifischen "channel"

Sobald die Konfiguration durchgeführt wurde, ist diese über Mgmt. Web Interface der FortiGate ersichtlich:

[[Datei:Fortinet-699.jpg]]

Wenn nun das entsprechende WTP Profile in dem der Sniffer Mode aktiviert wurde einem Forti Access Point zugewiesen wird, so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI lokal auf dem Forti Access Point verifiziert werden:

# iwconfig

Durch diesen Befehl werden die entsprechenden lokalen Interfaces des Forti Access Point aufgelistet und das entsprechende Interface ist im "monitor" Mode:

Mode: Monitor

== Authentication ==

=== Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine "WPA2-Enterprise" Authentifizierung? ===

Wenn man für Wireless Clients/Hosts eine Authentifizierung implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme! Speziell wenn die Authentifizierung über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Wireless Client/Host zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung der Passwörter vers. "password hashing schemas" die jedoch nicht kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muesste der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn kein OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte, so ist die bevorzugte Variante eine Radius Server zu implementieren. Diese "Radius Authentication" verifiziert die Credentials des Wireless Clients/Hosts über den Radius Server im Active Directory. Durch diese Art der Authentifizierung wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Wireless Client/Host aus eine Verifizierung des Radius Servers erfolgt, sollte/kann dieser Radious Server anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Trusted CA) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich für die Verifizierung des Radius Servers. Als Radius Server können vers. Produkte eingesetzt werden! Die bevorzugte Variante ist anstelle eines Windows 2008 Server den Fortinet Radius Server zu benutzen resp. den FortiAuthenticator. Weitere Informationen zum FortiAuthenticator findet man unter folgenden Link:

[[FortiAuthenticator:FAQ]]

Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers basierend auf Windows 2008 Server:

[[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf]]
[[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf]]

Um die Radius Server Verbindung auf einem FortiGate Device zu troubelshooten resp. einzusehen siehe nachfolgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]

=== Wie konfiguriere ich für Forti Access Points eine Authentifizierung für Public HotSpot der Swisscom ? ===

Nun ein Public HotSpot der Swisscom kennt grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:

'''Alte Variante SSID Hot Spot Swisscom'''

• SSID MOBILE (Authentication "Open")
• SSID MOBILE-EAPSIM (Authentication "WPA2-Enerprise" / Radius Port 1645)

'''Neue Variante SSID Hot Spot Swisscom'''

• Swisscom (Vorher MOBILE)
• Swisscom_Auto_Login (Vorher MOBILE-EAPSIM)

Die Schreibweise der alten/neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten Zeit lanciert werden benützen bereits die neuen SSID's und nicht mehr die alten!

'''SSID: MOBILE/Swisscom'''

Mit der SSID MOBILE oder Swisscom wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu
gelangen. Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese
SSID aufruft wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom
Login etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten
Arten wie zB Kreditkarte, Swisscom Login usw.

'''SSID: MOBILE-EAPSIM/Swisscom_Auto_Login'''

Die SSID MOBILE-EAPSIM oder Swisscom_Auto_Login steht ausschliesslich Swisscom Kunden zur Verfügung. Wenn der Kunde
diese SSID aufruft, wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius
Authentifizierung durchgeführt. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting
durchzuführen.

Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE oder Swisscom" sowie "MOBILE-EAPSIM oder Swisscom_Auto_Login" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. Im Beispiel werden nur die alten SSID aufgeführt jedoch sollten die neuen hinzugefügt werden. In unserem Beispiel existiert ein dedizierter Port (port2) der exklusiv für die Swisscom Verbindung benutzt wird und deren Segment darstellt. Nachfolgend einen Ueberblick über das Environment der Swisscom für unser Beispiel:

[[Datei:STUE_WSTA.pdf]]
[[Datei:STUE_WLS.pdf]]

Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM oder Swisscom_Auto_Login Authentifizierung einen Radius Server. Erstelle diesen unter:

User > Remote > RADIUS

[[Datei:Fortinet-315.jpg]]

Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server konfiguriert. Dies bedeutet: in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem Verantwortlichen der Swisscom mitgeteilt werden, in welcher Art und Weise die MAC Adresse übermittelt wird um die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen. Diese bdeutet wiederum:

• Standard Format Beispiel: 0000.4096.3e4a
• Unformatiert Beispiel: 000040963e4a

Der Swisscom Radius Server in unserem Beispiel arbeitet noch mit dem "old radius port" dh. nicht mit TCP Port 1812 sondern mit TCP Port 1645. Eine FortiGate benützt per Standard TCP Port 1812 und somit muss dieser umkonfiguriert werden auf TCP Port 1645:

# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end

Um die Radius Server Konfiguration/Anbindung zu überprüfen siehe nachfolgender Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]

Für die Konfiguration der SSID "MOBILE oder Swisscom" und "MOBILE-EAPSIM oder Swisscom_Auto_Login" gehe folgendermassen vor: Als Erstes erstelle die SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM / Swisscom_Auto_Login" unter folgendem Punkt:

WiFi Controller > WiFi Network > SSID

[[Datei:Fortinet-310.jpg]]

Die IPv4 Adresse plus Subnet 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IPv4 Adresse wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

System > Network > Interface

[[Datei:Fortinet-311.jpg]]

Die IPv4 Adresse plus Subnet 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

System > Network > Interface

Nun erstelle ein WTP Profile in dem die zwei/vier SSID's hinzugefügt werden:

WiFi Controller > Manage Access Points > Custom AP Profile

[[Datei:Fortinet-312.jpg]]

Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei/vier SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM und Swisscom_Auto_Login" unter SSID den entsprechenden "radio's" hinzu! Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein seperates Interface auf einer Fortigate sowie einen DHCP Server auf diesem Interface, dass den Forti Access Point für das Management über den DHCP Server die entsprechende IPv4 Adresse vergibt. In unserem Beispiel haben wir ein dezidiertes Forti Access Point Interface dh. "port1":

System > Network > Interface

[[Datei:Fortinet-313.jpg]]

Erstelle den dazugehörigen DHCP Server der entsprechenden IPv4 Adressen vergibt für das Management der Forti Access Points:

System > Network > [Interface] > DHCP Server

[[Datei:Fortinet-314.jpg]]

Nun kann der Forti Access Point an "port1" resp. in diesem IPv4 Segment angeschlossen werden! Damit ein Forti Access Point mit dem FortiGate Wireless Controller komunizieren kann muss CAPWAP (UDP-5246) anhand Broadcast, Multicast sowie Unicast auf diesem Segmment über die Switches erlaubt werden. Nun muss das vorhergehende WTP Profil "Swisscom-HotSpot" auf den entsprechenden Forti Access Points hinzugefügt werden:

WiFi Controller > Manage Access Points > Manage FortiAP

Sobald der Forti Access Point ersichtlich ist, Doppelklicke den Eintrag dieses Forti Access Point und wähle:

Authorize

Nun kann unten das entsprechende WTP Profile geladen werden dh. "Swisscom-HotSpot". Wenn das entsprechende WTP Profile dem Forti Access Point zugewiesen wird dauert es ca. 3 - 4 Minuten bis dieser Forti Access Point wiederum mit dem geladenen WTP Profile erscheint! Im Grundsatz sind die Forti Access Point nun konfiguriert und einsatzbereit. Jedoch die angemeldeteten Wireless Clients/Hosts müssen vom DHCP Server der Swisscom eine IPcv4 Adresse zugewiesen bekommen. Bei "MOBILE und Swisscom" geschieht dies "ohne" eine Authentifizierung (Open). Bei "MOBILE-EAPSIM und Swisscom_Auto_Login" wird erst eine IPv Adresse vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's einen DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und Swisscom sowie MOBILE-EAPSIM / Swisscom_Auto_Login. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:

• SSID MOBILE / Swisscom (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
• SSID MOBILE-EAPSIM / Swisscom_Auto_Login (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)

System > Network > [Interface] > DHCP Server

[[Datei:Fortinet-316.jpg]]

[[Datei:Fortinet-317.jpg]]

Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment/Subnet konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE / Swisscom und MOBILE-EAPSIM / Swisscom_Auto_Login Authentifizieren sich in diesem Segment, beziehen die IPv4 Adresse sowie browsen über dieses Segment. Dies bedeutet: sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir eine Policy Route im Layer 4 die vor dem normalen Routing Layer 3 greift:

Router > Static > Policy Route

[[Datei:Fortinet-318.jpg]]

[[Datei:Fortinet-319.jpg]]

Damit die IPv4 Adresse des Radius Server "129.132.254.70" ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:

Router > Static > Static Route

[[Datei:Fortinet-320.jpg]]

Nun fehlt nur noch die Firewall Policy Rule:

[[Datei:Fortinet-321.jpg]]

[[Datei:Fortinet-322.jpg]]

Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Interface (port2) einen Sniffer über die Console laufen zu lassen:

# diagnose sniffer packet port2

Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":

4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40

Für das bessere Verständnis Folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM / Swisscom_Auto_Login auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies: Auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):

[[Datei:Fortinet-323.jpg]]

=== Wie erstelle ich für einen Forti Access Point ein sicheres WLAN Passwort und was ist dabei zu beachten? ===

Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Forti Access Point mindestens WPA2 konfiguriert sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Ebenso Wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares Paswwort zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist, wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste Variante. Allerdings können dann in dieser Variante auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken abermals um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Forti Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.

=== Wie kann ich für eine Forti Access Point SSID ein lokales "Captive Portal" konfigurieren? ===

Ein "Captive Portal" kann dann konfiguriert/benutzt werden, wenn der Traffic der Wireless Clients/Hosts über CAPWAP (UDP-5246) zum FortiGate Wirless Controller übermittelt wird. Dies bedeutet: Ein "Captive Portal" kann nicht benutzt/konfiguriert werden, wenn für eine SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum FortiGate Wireless Controller übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement (Local Break-Out). Ein "Captive Portal" wird über folgende Position im Mgmt. Web Interface der FortiGate konfiguriert:

WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal

[[Datei:Fortinet-1294.jpg]]

Neu ab FortiOS 5.2 stehen im Zusamenhang mit dem "Captive Portal" neue Funktionen zur Verfügung! Speziell sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der Position "Authentication Portal" kann nun neu ab FortiOS 5.2 auch ein externes Portal dh. das sich nicht auf der FortiGate befindet, benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt List" von der "regulären Gruppe" (User Groups) Ausnahmen definiert werden! Diese "Exempt List" kann jedoch nur verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID benutzt wird. Weitere Informationen betreffend der Benutzung sowie Konfiguration eines externen "Captive Portals" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_externes_.22Captive_Portal.22_konfigurieren.3F]]

[[Datei:Fortinet-1295.jpg]]

Um ein "Captive Portal" innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security captive-portal
# set portal type [auth | auth+disclaimer | disclaimer | email-collect]
# set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
# end
# end

Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" definiert werden. Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich nicht anmelden müssen über das "Captive Portal" dh. diese können sich ohne Authentifizierung und ohne "Captive Portal" sowie "Disclaimer" verbinden! Die "Excempt List" wird folgendermassen konfiguriert:

# config user security-exempt-list
# edit [Name der Liste
# config rule
# edit [Vergebe einen entsprechenden Integer zB 1]
# set description [Bezeichnung der Liste Optional]
# set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
# set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
# end
# end
# end

=== Wie kann ich für eine Forti Access Point SSID ein externes "Captive Portal" konfigurieren? ===

Unter folgenden Artikel sind sind die Möglichkeiten eines "Captive Portals" beschrieben:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]

Wie in diesem Artikel beschrieben, ist es möglich ab FortiOS 5.2.3 ein externes "Captive Portal" zu benutzen anstelle des FortiGate "Captive Portals". Dies sollte dann benutzt werden, wenn das FortiGate "Captive Portal" nicht die HTML/Web Konfiguration zulässt die für das "Captvie Portal" notwendig ist wie zB Dynmaischer Inhalt der Seite usw. da solche Inhalte in den "Replacement Message" Page auf einer FortiGate nicht konfiguriert werden können. Nachfolgend wird gezeigt wie so ein Workflow eines externen "Captive Portal" aussieht:

'''L3 External Web Authentication Workflow'''

[[Datei:Fortinet-1365.jpg]]

In diesem "Workflow" wird ein Beispiel gezeigt im Zusammenhang mit Radius Server dh. zB einem FortiAuthenticator. Dies bedeutet: Ab dem Zeitpunkt "Submit login form (username, password) via a POST method to FGT" werden die entsprechenden Login Informationen zur FortiGate übermittelt und verarbeitet. Ob nun ein Active Directory auf der FortiGate konfiguriert wurde oder Lokale User ist irrelevant dh. Wichtig ist das die entsprechenden Informationen anhand "POST methode" der FortiGate übermittelt werden!

'''Konfiguration der SSID mit der Definition des external Captive Portal"'''

Als Erstes muss eine entsprechende SSID konfiguriert werden. Inerhalb dieser SSID wird das external Captive Portal
gewählt mit dessen IPv4 Adresse sowie URL Path. Ebenso muss eine entsprechende Gruppe definiert werden in der sich
die User befinden oder auf einen zB Radius Server (FortiAuthenticator) verwiesen wird:

[[Datei:Fortinet-1366.jpg]]

Für die definierte Gruppe kann ebenfalls eine "Exempt List" definiert werden. Weitere Informationen wie diese zu
konfigurieren ist siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]

Wenn die Konfiguration der SSID auf der Kommandozeile durchgeführt werden soll benutze folgende Befehle:

# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set ssid [Name der SSID]
# set security captive-portal
# set selected-usergroups [Name der Gruppe für die Authentifizierung]
# set security-exempt-list [Name der "Exempt List"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# set intra-vap-privacy enable
# set local-switching disable
# set external-web [IPv4 Adresse sowie URL Path zum external Captive Portal zB nach unserem Beispiel "192.168.234.51/portal.php"]
# next
# end

Wenn die Option "security-redirect-url" nicht gesetzt ist resp. keine entsprechende URL konfiguriert wurde, wird
die "Orginal Anfrage" des Users ausfgeführt anstelle des "redirect's". Die "Exempt List" Definition erlaubt "ohne
Authentifizerung" auf das externe "Captive Portal" zu zugreifen. Für die Option "security-exempt-list" ist folgendes
auszuführen:

# config user security-exempt-list
# edit [Name der "Exempt List"]
# config rule
# edit 1
# set devices [Name der Devices zB "ip-phone"]
# next
# edit 2
# set srcaddr [Name des Objektes der Source Adressen zB der SSID des "externen" Captive Portals]
# next
# end
# next
# end

Wenn die Option "external-web" nicht gesetzt wird so wird das "Captive Portal" der FortiGate aufgerufen. In der
Option "external-web" muss nicht explizit http oder https aufgeführt werden da http und/oder https über das
folgendende Kommando gesteuert wird:

# config user setting
# set auth-secure-http [disable | enable]
# end

Die Option "auth-secure-http" ist per Standard mit "disable" konfiguriert dh. der User wird der ein "http" Anfrage
ausführt für eine Authentifizierung wird "nicht" auf "https" weitergeleitet (redirect)!

'''Konfiguration der Firewall Policy Rule für den Zugriff auf das externe "Captive Portal"'''

Nun muss eine sogenannte "Walled Garden Policy" erstellt werden. Dies bedeutet folgendes: In der nachfolgend
Firewall Policy Rule wird erlaubt, dass User die verbunden sind mit der SSID des externen "Captive Portals"
sich ohne Authentifizierung zu diesem externen "Captive Portal" verbinden dürfen um eine Authentifizierung
durchzuführen. Die Option "captive-protal-exempt enable" ermöglicht dies obwohl eine SSID konfiguriert ist
mit einer Authentifizierung:

# config firewall address
# edit [Name des Objekts für die IPv4 Adresse des "external" Captive Portal zB "web-portal-192.168.234.51"]
# set subnet 192.168.234.51 255.255.255.255
# next
# end

# config firewall policy
# edit [Vergebe einen entsprechender Integer für die Policy]
# set srcintf [Name der SSID für das "externe" Captive Portal]
# set dstinf [Name des Interface hinter der sich der "externe" Captive Portal befindet]
# set srcaddr "all"
# set dstaddr [Name des Objektes für das "externe" Captive Portal zB "web-portal-192.168.234.51"]
# set action accept
# set schedule "always"
# set service "ALL"
# set caprive-portal-exempt enable
# next
# end

Die Grundkonfiguration für den Zugriff für das externe "Captive Portal" ist nun gegeben. In der SSID wurde das externe "Captive Portal" mit dessen IPv4 Adresse und URL konfiguriert. In unserem Beispiel ist das:

192.168.234.51/portal.php

Das File "portal.php das unser externes "Captive Portal" darstellt, muss nun die entsprechende HTML/PHP Konfiguration beinhalten um den "Method POST" durchzuführen. Nachfolgend ein Beispiel des Inhaltes ein entsprechendes "portal.php":

--------------- portal.php ---------------

<nowiki><?php

define('login', 'login');
define('success', 'auth=success');
define('fail', 'auth=failed');
define('logout', 'logout=ok');

function getLeft($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, 0, $key_pos);
}

function getRight($urlstring, $key)
{
$key_pos = strpos($urlstring, $key);
return substr($urlstring, $key_pos);
}

$myqury = $_SERVER['QUERY_STRING'];
$auth_string = 'fgtauth';
$magic = 'magic=';
$needle = '&';
$fgt_post = "post=";

if (stristr($myqury, login)) {
$pos = strpos($myqury, $fgt_post);
if ( $pos > 0 ) {
$start = $pos + strlen($fgt_post);
$fgt_url = substr($myqury, $start);
$post_url = getLeft($fgt_url, $auth_string);
$other_var = getRight($fgt_url, $magic);
$magic_pair = getLeft($other_var, $needle);
$magic_id = substr($magic_pair, strlen($magic));

$pre_act ='<table width="300" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="form1" method="post" action=';
$post_act = '>
<td>
<table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td colspan="3">Test Login</td>
</tr>
<input type="hidden" name="magic" value=';
$post_magic = '>
<tr>
<td width="78">Username</td>
<td width="6">:</td>
<td width="294"><input name="username" type="text" id="username">
</td>
</tr>
<tr>
<td>Password</td>
<td>:</td>
<td><input name="password" type="text" id="password"></td>
</tr>
<tr>
<td> </td>
<td> </td>
<td><input type="submit" name="Submit" value="Login"></td>
</tr>
</table>
</td>
</form>
</tr>
</table>';
$login_form = $pre_act . $post_url . $post_act . $magic_id . $post_magic;
echo $login_form;
} else {
echo "login command without post url";
}
}

$mycmd = strtolower($myqury);

switch($mycmd) {
case success:
echo "here is success page";
break;
case fail:
echo "here is fail page";
break;
case logout:
echo "here is logout page";
break;
}

?></nowiki>

--------------- portal.php ---------------

Der letzte Schritt der Konfiguration der nun vollzogen werden muss, ist was durchgeführt werden soll wenn die Authentifizierung auf dem externen "Captive Portal" erfolgreich durchgeführt wurde. Dabei gibt es zwei Möglichkeiten:

1. In der SSID ist die folgende Option gesetzt:

# config wireless-controller vap
# edit [Name der SSID]
# set vdom [Name der VDOM per Standard "root"]
# set security-redirect-url [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
# end

Wenn diese Option benutzt wird so wird der User automatisch nach einer erfolgreichen Authentifizierung zu dieser konfigurierten
"security-redirect-url" weitergeleitet und es benötigt keine zusätzliche Konfiguration!

2. In der SSID ist die Option "security-redirect-url" nicht gesetz:

In so einer Situation wird die Orginal URL benützt die der User zu Beginn benutzt hat. Damit der User nach einer erfolgreichen
Authentifizierung zu dieser orginal URL weitergeleitet wird, muss die entsprechende "Replacement Message" Group konfiguriert
werden. Diese "Replacment Message" Groups arbeiten mit "tags" die dies ermöglichen. Nachfolgend ein Beispiel das für unsere
Konfiguration benützt werden kann:

# config system replacemsg auth "auth-success-page"
set buffer "<html>
<head>
<title>
Firewall Authentication
</title>
</head>
<body>
If JavaScript is not enabled, please
<a href=\"%%AUTH_REDIR_URL%%\">
click here
</a>
to continue.
<script language=\\\"JavaScript\\\">
window.location=\\\"%%AUTH_REDIR_URL%%?usermac=%%USER_MAC%%&apmac=%%AP_MAC%%&apip=%%AP_IP%%&userip=%%USER_IP%%&device_type=%%DEVICE_TYPE%%&continueURL=%%PROTURI%%&portalAddr=%%PORTAL_ADDR%%&redirectURL=%%AUTH_REDIR_URL%%\\\";
</script>
</body>
</html>"
end

Weitere Informationen zu den "Replacement Message" Groups siehe auch nachfolgender Artikel:

[[FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F]]

=== Wie kann ich für einen Forti Access Point Traffic für ein "Captive Portal" ohne Authentifizierung erlauben? ===

Ein User der eine Anfrage für eine bestimmte Domaine/Zieladresse durchführt, wird automatisch beim ersten Aufruf dieser Domain/Zieladresse zum entsprechenden "Captive Portal" - das für die entsprechende SSID konfiguriert wurde - weitergeleitet. Nachdem der User sich korrekt auf dem "Captive Portal" authentifiziert hat, wird die Anfrage des Users für die Domaine ausgeführt. Wenn man nun für eine bestimmte Domaine/Zieladresse keine Authentifizierung über das "Captive Portal" benützen möchte dh. wenn der User diese Domaine/Zieladresse aufruft, wird dieser direkt "ohne Authentifizierung auf dem Captive Portal" direkt zur entsprechender Domaine/Zieladresse weitergeleitet. Um dies zu konfigurieren muss eine bestimmte Policy erstellt werden und in dieser die Option "captive-portal-exempt" aktiviert werden. Diese Option steht ab FortiOS 5.2 zur Verfügung. Um die Konfiguration durchzuführen führe folgendes aus:

'''Erstellen eines Objektes für Domaine die erlaubt werden soll'''

# config firewall address
# edit "also.com"
# set type fqdn
# set fqdn "also.com"
# next
# end

'''Erstellen der Firewall Policy und Aktivierung der Option'''

# config firewall policy
# edit
# set srcintf "[Name der SSID auf dem ein Captive Portal konfiguiert wurde]"
# set dstintf "wan1"
# set srcaddr "all"
# set dstaddr "[Name des Adresss Objektes das wir erstellt haben zB "also.com"]"
# set action accept
# set schedule "always"
# set service "[Gebe den entsprechenden Service an zB HTTP]"
# set captive-portal-exempt enable
# set nat enable
# next
# end

=== Wird für eine Forti Access Point SSID Radius Server Authentifizierung die Funktion "Accounting" unterstützt? ===

Wenn ein zB WPA2-Enterprise Authentifizierung über Radius Server für eine SSID konfiguriert wird so wir Radius "Accounting" ab FortiOS 5.2 unterstützt. Bei der Radius "Accounting" Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IPv4 Adresse sowie Usernamen zum Radius Server übermittelt. Wenn Radius "Accounting" auf dem Radius Server benutzt wird, beginnt nach einer erfolgreichen Authentifizierung eine interne "Zurechnung". Diese interne "Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server, sendet dieser dem zuständigen Device zB der FortiGate eine "Accounting" Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei Wireless HotSpot's wie Swiccom benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt keine Radius Server "Accounting" Funktion. Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:

http://de.wikipedia.org/wiki/RADIUS_(Protokoll)

Um eine Radius Server "Accounting" Funktion seitens FortiGate zu konfigurieren muss folgendes durchgeführt werden:

# config user radius
# edit [Gebe den entsprechenden Namen ein]
# config accounting-server
# edit 1
# set status enable
# set server [IPv4 Adresse des Radius Servers]
# set secret [Definition des Preshared Secrets]
# end
# set acct-interim-interval [Zeitintervall in Sekunden 600 - 86400 Sekunden]
# end

Durch diese Konfigurtion sendet die FortiGate dem Radius Server Update Benachrichtigungen betreffend dem "Accounting" durch die konfigurierte "acct-interim-interval" Funktion! Durch die Konfiguration "acct-interim-interval" wird im Hintergrund auf dem API des Radius Servers folgende Information dem Radius Server gesendet, der dieses API unterstüzen/verstehen muss:

Acct-Interim-Interval=600

=== Wie wird für eine Forti Access Point SSID Authentifizierung einen MAC Filter (802.11x) Konfiguriert? ===

Praktisch jeder Wireless Access Point bietet die Möglichkeit den Zugang zur SSID einzuschränken anhand einer vordefinierten und eingetragener MAC-Adresse (Filter). Eine MAC Adresse (Media Access Control) ist ein 48-Bit lange Adresse im Hexadezimalcode. Jeder Netzwerk basierende Device ist mit einer solchen MAC Adresse ausgestattet und diese wird, um den Datenaustausch zu gewährleisten, über "arp request" zwischen den Devices ausgetauscht. Somit wäre diese MAC Adresse eigentlich eine gute Möglichkeit einen Zugriff einzuschränken jedoch ist folgendes zu berücksichtigen:

Diese MAC Adresse wird nicht durch den Device selber einem Teilnehmer (Device) im Netzwerk weitergegeben sondern über das
Betriebssystem. Somit ist es möglich die Information auf dem Betriebssystem zu verändern dh. manuell die Mac Adresse des
Devices zu verändern. Dies ist auch bekannt als "MAC-Spoofing" (Vorgabe einer fingierten MAC Adresse). Um ein "MAC-Spoofing"
durchzuführen muss man nur den Wireless Traffic sniffen (abhören), denn die Informationen des MAC Adressen Austausch (arp
request) werden "clear-text" übertragen. Somit ist eine reine Authentifizierung basierend auf MAC Adressen absolut nicht zu
empfehlen kann jedoch als zusätzliche Security Implementation konfiguriert werden!

Nichts desto trotz stellt jedoch eine MAC Adressen basierende Authentifizierung eine gute Möglichkeit dar, den Zugriff zusätzlich einzuschränken. Dabei kann zB der DHCP Server der SSID von "assign" auf "block" gesetzt werden. Dadurch vergiebt der DHCP Server nur IPv4 Adressen an Devices die im DHCP Server mit deren MAC Adressen eingetragen sind (MAC Adress Filer + IP Reservation). Im Zusammenhang mit einer WPA/WPA2 Authentifizierung kann somit durch dies Konfiguration eine zusätzliche Sicherheit gewährleisten werden. Zusätzlich kann ebenfalls eine "Device Authentification" durchgeführt werden dh. es werden nur Devices zugelassen wie zB IPhone's. Nachfolgendes Beispiel zeigt eine solche Erweiterung basierend auf MAC Adressen und Device Authentication. Basis dafür ist eine SSID basierend auf einer "wpa-personal" Authentifizierung. Diese Konfiguration kann jedoch mit jeglicher Authentifizierung durchgeführt werden:

'''Erstelle eine neue SSID basierend auf "wpa2-only-personal":'''

# config wireless-controller vap
# edit [Name der entsprechenden SSID zB "only4intern"]
# set vdom "root"
# set ssid [Name der entsprechenden SSID zB "only4intern"]
# set intra-vap-privacy enable
# set security [Setze die entsprechende Security für die SSID zB "wpa2-only-personal"]
# set passphrase [Passwort für die "wpa-personal" Authentifizierung]
# end

'''Konfiguriere das Interface für die SSID:'''

# config system interface
# edit [Name der entsprechenden SSID zB "only4intern"]
# set ip [IPv4 Adresse für das Interface der SSID zB "192.168.3.1 255.255.255.0"]
# set allowaccess ping
# set device-identification enable
# end

'''Definiere für das Interface der SSID eine DHCP Server basierend auf "block":'''

# config system dhcp server
# edit [Definiere einen entsprechenden Integer zB "5"]
# set mac-acl-default-action [Setze den DHCP Server von "assign" auf "block"]
# set dns-service default
# set ntp-service default
# set default-gateway [IPv4 Adresse für Default Gateway zB "192.168.3.1"]
# set interface [Defniere das Interface für diesen DHCP Server zB "only4intern"]
# set timezone-option default
# set netmask [Konfiguriere die Subnet Mask für den IP Range des DHCP Servers zB "255.255.255.0"]
# config ip-range
# edit [Definiere einen entsprechenden Integer zB "0"]
# set start-ip [Definiere die Start IPv4 Adresse des DHCP Servers zB "192.168.3.2"]
# set end-ip [Definiere die End IPv4 Adresse des DHCP Servers zB "192.168.3.254"]
# end
# end

'''Trage eine entsprechende MAC Adresse eines Device für den DHCP Server der SSID ein:'''

# config system dhcp server
# edit [Gebe einen entsprechenden Integer an zB "5"]
# config reserved-address
# edit [Gebe einen entsprechenden Integer an zB "0"]
# set mac [Definiere die entspechende MAC Adresse zB "94:65:9c:74:47:c6"]
# set ip [Definiere die IPv4 Adresse die der MAC Adresse zugewiesen werden soll zB "192.168.3.2"]
# end
# end

Da der DHCP Server von "assign" auf "block" gesetzt wurde, werden keine IPv4 Adressen durch den DHCP Server vergeben mit Ausnahme für Devices die anhand des "MAC Reservation + Access Control" definiert wurden. Diese Konfiguration kann ebenfalls über Mgmt. Web Interface durchgeführt werden für das entsprechenden Interface des FortiGate Devices dh.:

System > Network > [Markiere den Eintrag des Interface der SSID] > Edit > DHCP Server > Advanced > MAC Reservation + Access Control > Create New

Unter dieser Positon existiert ein "Standard Eintrag" dh. "Unknown MAC Adresses Block" der zuständig ist das nur definierten MAC Adressen eine IP zugewiesen wird!

'''Konfiguriere für den DHCP Server der SSID eine Device Authentication:'''

# config user device-access-list
# edit [Gebe einen Namen ein für die "device-access-list" zB "whitelist"]
# set default-action deny
# config device-list
# edit [Gebe einen Integer ein zB "1"]
# set device [Definiere den entsprechenden Device zB "iphone" (Für mehr Infos benütze "?"]
# set action accept
# next
# end
# end

# config system interface
# edit only4intern
# set device-identification enable
# set device-access-list [Konfiguriere die entsprechende "device-access-list" zB "whitelist"]
# next
# end

Ein Device und/oder eine Gruppe von Devices kann ebenfalls manuell definiert werden. Dies ist über Mgmt. Web Interface über folgenden Menüpunkt verfügbar:

User & Device > Device > Device definition > Create New

Weitere Informationen beteffend "config user devcie-access-list" findet man auch unter folgenden Artikel:

[[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_die_Device_Identification_Funktion_anhand_einer_Mac_Adresse_einen_Device_blocken_.28802.11x.29.3F]]

Somit kann nur der Device mit der MAC "94:65:9c:74:47:c6" der über ein "IPhone" verfügt und vom DHCP Server die IP Adresse "192.168.3.2" zugewiesen wurde über "wpa2-personal" anhand des entsprechenden "Passwortes" auf die SSID "only4intern" zugreifen. Obwohl eine relativ einfache Security anhand "wpa2-personal" gewählt wurde konnte durch zusätzliche Filter die Security erhöht werden.

== Wireless Health ==

=== Gibt es eine Möglichkeit die Forti Access Points über den FortiGate Wireless Controller zu überwachen (Health Monitor)? ===

Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate anhand SNMP überwachen. Die Möglichkeiten über SNMP die Forti Access Points zu überwachen sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die über den FortiGate Wireless Controller angeschlossenen Forti Access Points über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende "Widgets" für die Uberwachung zur Verfügung:

WiFi Controller > Monitor

[[Datei:Fortinet-796.jpg]]
[[Datei:Fortinet-797.jpg]]

Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

== WIDS ==

=== Was bedeutet die Funktion "WIDS" (Wireless IDS) innerhalb eines WTP Profiles eines Forti Access Points? ===

"Wireless IDS" (WIDS) ist ein Intrusion Detection System und steht ab FortiOS 5.0 zur Verfügung sowie überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten (Log). Wenn ein Angriff stattfindet, wird dieser auf der FortiGate ins Wireless Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen:

• Unauthorized Device Detection
• Rogue/Interfering AP Detection
• Ad-hoc Network Detection and Containment
• Wireless Bridge Detection
• Misconfigured AP Detection
• Weak WEP Detection
• Multi Tenancy Protection
• MAC OUI Checking

Per Standard existiert ein Standard Profil "default". Dieses Profile wird innerhalb eine Access Point WTP Profiles als "default" automatisch unter FortiOS 5.0 ausgewählt! Dies ist jedoch ab FortiOS 5.2 nicht mehr der Fall dh. für die WIDS Funktion wird per Standard kein Profile automatisch ausgewählt. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS 5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet man im nachfolgenden Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]

Das "default" Profile für WIDS enthält folgendes:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet1276.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
used-by :
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1

'''FortiOS 5.2'''

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet1277.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : Default WIDS profile.
used-by :
ap-scan : enable
ap-bgscan-period : 600
ap-bgscan-intv : 1
ap-bgscan-duration : 20
ap-bgscan-idle : 0
ap-bgscan-report-intv: 30
ap-bgscan-disable-day:
ap-fgscan-report-intv: 15
ap-scan-passive : disable
rogue-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1

'''FortiOS 5.4'''

WiFi Controller > WIDS Profiles

[[Datei:Fortinet-1696.jpg]]

# config wireless-controller wids-profile
# edit default
# get
name : default
comment : default wids profile
ap-scan : disable
wireless-bridge : enable
deauth-broadcast : enable
null-ssid-probe-resp: enable
long-duration-attack: enable
long-duration-thresh: 8200
invalid-mac-oui : enable
weak-wep-iv : enable
auth-frame-flood : enable
auth-flood-time : 10
auth-flood-thresh : 30
assoc-frame-flood : enable
assoc-flood-time : 10
assoc-flood-thresh : 30
spoofed-deauth : enable
asleap-attack : enable
eapol-start-flood : enable
eapol-start-thresh : 10
eapol-start-intv : 1
eapol-logoff-flood : enable
eapol-logoff-thresh : 10
eapol-logoff-intv : 1
eapol-succ-flood : enable
eapol-succ-thresh : 10
eapol-succ-intv : 1
eapol-fail-flood : enable
eapol-fail-thresh : 10
eapol-fail-intv : 1
eapol-pre-succ-flood: enable
eapol-pre-succ-thresh: 10
eapol-pre-succ-intv : 1
eapol-pre-fail-flood: enable
eapol-pre-fail-thresh: 10
eapol-pre-fail-intv : 1
deauth-unknown-src-thresh: 10

Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Profile Positionen:

[[Datei:Fortinet-361.jpg]]
[[Datei:Fortinet-362.jpg]]

== Split Tunneling ==

=== Wie konfiguriere ich für eine Forti Access Point SSID die Funktion "Split Tunneling"? ===

Wenn ein Forti Access Point zB für Remote benutzt wird, sei es als Remote Zugang und/oder in der Remote Lokation, konnten bis anhin im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate Wireless Controller gesendet wird. Ab FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet: anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt über die SSID zu erlauben ohne die SSID als "Local bridge with FortiAP's Interface" zu konfigurieren. Diese neue Funktion wird ausdrücklich nur im "Tunnel to Wireless Controller" Mode empfohlen! VLAN's im Zusammenhang mit der "Split Tunneling" Funktion wird nicht unterstützt. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt resp. muss aktiviert werden. Danach muss im entsprechendne WTP Profile des Forti Access Point das "Split Tunneling" konfiguriert werden:

# config wireless-controller vap
# edit [Name des entsprechenden SSID Profiles]
# set split-tunneling enable
# end

# config wireless-controller wtp-profile
# set split-tunneling-acl-local-ap-subnet enable
# config split-tunneling-acl
# edit [Gebe einen entsprechenden Integer an zB "1"]
# set dest-ip [IPv4 Adresse plus Subnet Mask zB "192.168.10.0/24"]
# end
# end

Die Option "split-tunneling-acl-local-ap-subent" bezieht sich auf "ganze" Subnet des Forti Access Point und muss nur dann aktiviert werden, wenn das Subnet in dem sich der Forti Access Point befindet als "ganzes" Subnet freigegeben werden soll! Somit wenn nur eine bestimmte IPv4 Adresse freigegeben werden soll, muss diese Option nicht aktiviert werden und die einzelne IPv4 Adressen können unter "dest-ip" definiert werden. Wenn die Funktion des "split-tunneling" benutzt wird ist folgendes zu berücksichtigen: Im Fall eines aktivierten "split-tunnling" wird ein "NAT" (Network Address Translation) durchgeführt dh. der Client der über eine SSID verbunden ist und eine Anfrage an eine IPv4 Adresse die für ein "split-tunneling" konfiguriert ist, wird hinter der Management IPv4 Adresse des Forti Access Point ein Source NAT durchgeführt (Hide behind outgoing Interface). Somit komuniziert der Wireless Client/Host zur Destination IPv4 Adresse als Source IPv4 Adresse diese Management IPv4 Adresse des Forti Access Point und nicht die IPv4 Adresse die dem Wireless Client/Host über die SSID zugewiesen wurde. Die Management IPv4 Adresse des Forti Access Point, ist die IPv4 Adrresse die dem Forti Access Point zugewiesen wird, wenn sich der Forti Access Point zum Forti Wirless Controller verbindet (CAPWAP).

== CAPWAP / DTLS ==

=== Wieviel Bandbreite steht mir über CAPWAP auf einem FortiGate Wireless Controller für Forti Access Points zur Verfügung? ===

Wenn Forti Access Point über den FortiGate Wireless Controller verwaltet werden und dabei SSID benutzt werden im "Tunnel to Wireless Controller" Mode, stellt sich die Frage wieviel Bandbreite für diese Forti Access Point über CAPWAP zur Verfügung steht. Dies bedeutet: Die CAPWAP Bandbreite gibt die maximale Grösse an die eine FortiGate Wireless Controller verarbeiten kann betreffend Forti Access Points Traffic. Somit wird die CAPWAP Grösse nicht pro Forti Access Point berrechnet sondern als Totale Bandbreite die zur Verfügung steht. Neu wird diese CAPWAP Bandbreite in den FortiGate Datasheet's aufgeführt als HTTP was wiederum bedeutet: Um eine Referenz zu erhalten wird die Bandbreite anhand des HTTP Protokolls referenziert. Weitere Informationen siehe nachfolgendes Dokument:

[[Fortinet:ProduktInfo#FortiGate]]

Somit steht diese CAPWAP Bandbreite ebenfalls in Zusamenhang mit den maximal Anzahl Forti Access Points die über einen FortiGate Wireless Controller verwaltet werden können. Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]

Nachfolgend eine Kurzübersicht über diesen "CAPWAP HTTP Throughput" für die Fortinet Produktelinie:

[[Datei:Fortinet-1357.jpg]]

Wenn eine FortiGate Device über einen NP6 verfügt, kann dieser grundsätzlich den Traffic beschleunigen (Acceleration). Jedoch ist diese Funktion unter FortiOS 5.2 deaktiviert und nicht in Benutzung. Ab FortiOS 5.4 wird diese Funktion per Standard aktiviert um somit betreffend CAPWAP eine Beschleunigung zu ermöglichen.

=== Wird der CAPWAP Traffic zwischen einem FortiGate Wireless Controller und Forti Access Pointse verschlüsselt? ===

Der Traffic zwischen dem Ethernet "wan" Interface eines Forti Access Point und dem FortiGate Wireless Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei wird dieser Traffic "encapsulated" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen dem FortiGate Wireless Controller und den Forti Access Point kann die DTLS Verschlüsselung ab FortiOS 5.0 Optional aktiviert werden. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

=== Wie werden Forti Access Point über einen FortiGate Wireless Controller verwaltet/konfiguriert (CAPWAP)? ===

Der Standard der benutzt wird um die Forti Access Point über einen Fortigate Wireless Controller zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:

http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol

Die Ports die benutzt werden für CAPWAP sind per Standard:

UDP 5246 und 5247

Ab FortiOS 5.0.3 kann die CAPWAP Funktion auf den jeweiliegen FortiGate Interfaces über die "Administrative Access" Funktion aktiviert und deaktiviert werden.

System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP

Durch die Aktivierung von CAPWAP auf einem FortiGate Interface wird im Hintergrund eine automatische "Local-In" Policy konfiguriert, die den Traffic von CAPWAP vom Segment gemäss der Konfiguration des Interfaces und auf die IPv4 Adresse des FortiGate Interfaces zulässt. Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend dh. Anhand Zertifikate auf dem FortiGate Wireless Controller sowie auf dem Forti Access Point! Per Standard ist der "Data Channel" der durch die Wireless Clients/Hosts benutzen wird um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion auf dem FortiGate Wireless Controller aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

Wenn es betreffend Wireless Clients/Hosts im Zusammenhang mit DTLS Verschlüsselung zu Performance Problemen kommt, die zurück zu führen sind auf Defragmentierung, gibt folgender Artikel Auskunft was getan werden kann:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]

Wenn DTLS Verschlüsselung aktiviert wird so wird empfohlen den oberen Artikel zu berücksichtigen und die Konfiguration zur Verhinderung einer Fragmentierung durchzuführen!

=== Wie konfiguriere ich für ein Forti Access Point WTP Profile eine "Data Channel Encryption" (DTLS)? ===

DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic der Wireless Clients/Hosts, der vom Forti Access Point "wan" Interface zum FortiGate Wireless Controller übermittelt wird, innerhalb CAPWAP als "Data Channel" zu verschlüsseln. Somti wird der "Data Channel" "encapsulated" im CAPWAP. Per Standard wird dieser Traffic nicht verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen, dasd beide Seiten dh. der FortiGate Wireless Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert. Ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate Wireless Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance, die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate Wireless Controller die Funktion gesteuert werden. Wenn auf dem FortiGate Wireless Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funktion "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn die "automatic" Funktion (kein WTP Profile) die ab FortiOS 5.0 zur Verfügung steht benutzt wird, kann nur "clear-text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren führe folgendes durch:

'''Auf dem FortiGate Wireless Controller:'''

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-policy ["dtls-enabled" oder "clear-text"]
# end

'''Auf dem FortiAP:'''

# cfg -a AC_DATA_CHAN_SEC=1
# cfg -c

Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:

• 0 is Clear Text
• 1 is DTLS Enabled
• 2 is Clear T ext or DTLS Enabled (default)

Unter FortiOS 5.4 gibt es für DTLS eine zusätzliche Option um DTLS direkt im Kernel zu aktivieren dh. da DTLS im Kernel direkt aktiviert ist, wird die Funktion Perfomanter resp. schneller da die Funktion für DTLS direkt im Memory über den Kernel durchgeführt wird. Um diese Funktion zu aktivieren benutze folgendes CLI Kommando:

'''Auf dem FortiGate Wireless Controller:'''

# config wireless-controller wtp-profile
# edit [Name des entsprechenden Profils]
# set dtls-in-kernel [enable | disable]
# end

Die Konfiguration auf dem Forti Access Point solle untern normalen Umständen nicht verändert werden da die Standard Konfgiguration "AC_DATA_CHAN_SEC=2" ist was wiederum bedeutet: Der Forti Access Point akzeptiert "clear-text" und/oder "dtls". Dies bedeutet wiederum die Funktion der DTLS Verschlüsselung kann über den FortiGate Wireless Controller gesteuert werden und muss auf dem Forti Access Pont nicht konfiguriert werden da dieser beide Methoden anbietet. Ebenfalls ist es für ein Troubleshooting möglich die Funktion ohne die Konfiguration zu ändern vorübergehend zu deaktivieren. Weitere Informationen dazu siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_die_DTLS_Funktion_f.C3.BCr_ein_Troubleshooting_vor.C3.BCbergehend_deaktivieren.3F]]

=== Wie kann ich für einen Forti Access Point innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern? ===

Die MTU Size auf den meisten Betriebsystemen ist auf max MTU Size 1500 gesetzt. Dieser Wert stellt eher ein suboptimalen Wert dar dh. wenn ein Wireless Client/Host ein grosses Packet über ein Forti Access Point sendet verfügt dieses Packet über eine max. MTU Size von 1500. Da dieses Packet auf dem Forti Access Point verschlüsselt werden muss, um über den CAPWAP Tunnel versendet zu werden, muessen Informationen zum 1500 MTU Size grossen Packet hinzugefügt werden. Geschieht dies, kann dieses Packet nicht mehr in einem Packet versendet werden da die Grösse max MTU Size 1500 übersteigt. Somit müssen in dieser Situation zwei Packete versendet werden. Dies stellt eine Defragmentierung dar und beieinträchtigt die Performance da anstelle eines Packets zwei Packete versendet werden müssen. Unter normalen Umständen geschieht dies nicht auf den Forti Access Point zurück zuführen auf den "overhead" des CAPWAP Tunnels da diese Information sehr klein sind. Wird jedoch DTLS Verschlüsselung aktiviert, muss diese Information auf dem Forti Access Point ebenfalls zu den existierendnen Headers hinzugefügt werden und dabei kommt es mit ziemlich grosser Sicherheit zu einer Fragmentierung. Die DTLS Strucktur sieht folgendermassen aus:

'''DTLS Packet Structure and Fields'''

I’ve been digging into the DTLS packet structure, looking for free bytes for some security related ideas I have been playing with.
This following is the DTLS packet structure:
| Type | Version | Epoch | Sequence Number | Length | IV | Data | MAC | Padding |
Type = (1 byte), Version (2 byte)
Epoch is incremented each rekey (2 byte)
Seq Num incremented per packet (6 byte)
Epoch + sequence number = IV for MAC
Length (2 byte) = IV + MAC + Padding
IV = Initial Vector = randomizer / seed used by encryption
Encrypted section: Data, MAC, Padding
MAC uses epoch and seq number for its sequence number (similar to an IV)
Padding added to get block size for crypto (16 or AES, 8 for DES)

Aus diesem Grund wird empfohlen im Zusammehang mit DTLS Verschlüsselung die nachfolgend Konfiguration durchzuführen. Durch diese nachfolgende Konfiguration wird der Wireless Client/Host angewiesen kleinere Packete zu versenden (max. transmission unit) anstelle der max. MTU Size 1500 um einen Fragementierung durch zusätzlich hinzugefügte TCP Header Informationen zu verhindern. Dabei ist folgendes zu berücksichtigen: Die Grösse der MTU Size hängt von der Punkt zu Punkt Verbindung ab dh. eine MTU Size wird immer über Punkt zu Punkt Verbindung verifiziert dh. Wenn die MTU Size auf zB 1442 gesetzt ist und der CAPWAP Tunnel wird zu einem FortiGate wan1 Interface aufgebaut und dieses ist auf 1462 gesetzt kommt es unweigerlich zur Fragementierung. Dies bedeutet ebenfalls die MTU Size Grösse unterliegt in erster Linie dem kleinsten Wert in einer Punkt zu Punkt Verbindung. Auf dem Forti Access Point dürfen somit nicht grössere Packete als der kleinste Wert in der Punkt zu Punkt Verbindung übermittelt werden. Somit ergiebt sich für den MTU Wert für einen Forti Access Point:

[Kleinster Wert der Punkt zu Punkt Verbindung] Minus [DTLS Crypto Packet Size] = [Wert für "ip-fragment-preventing"]

Für die Option "ip-fragment-preventing" stehen zwei Optionen zur Verfügung dh. "tcp-mss-adjust" oder "icmp-unreachable". Dabei ist folgendes zur berücksichtigen. Die Option "tcp-mss-adjust" ist eine Funktion (1 bit) innerhalb eines TCP Headers. Somit wird durch "tcp-mss-adjust" ausschliesslich TCP unterstützt und nicht UDP. Aus diesem Grund empfehlen wir "icmp-unreachable" da diese Funktion TCP und UDP unterschtützt. Die Funktion "ip-fragment-preventing" kann folgendermassen konfiguriert werden:

# config wireless-controller wtp-profile
# edit [Wähle das entsprechende Profile]
# set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
# set tun-mtu-uplink [0 | 576 | 1500]
# set tun-mtu-downlink [0 | 576 | 1500]
# end
# end

'''tcp-mss-adjust'''
Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS)
zu senden. Der Forti Access Point fügt dem "SYN" TCP Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
und somit kann der Forti Access Point den Overhead des CAPWAP/DTLS hinzufügen und eine Fragmentierung verhindern.

'''icmp-unreachable'''
Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der Forti
Access Point Packete verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
Wenn dies eintrifft, sendet der Forti Access Point ein Packet zum Wireless Controller:

Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"

Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.

'''tun-mtu-uplink'''
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

'''tun-mtu-downlink'''
Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

=== Wie kann ich für einen Forti Access Point die DTLS Funktion für ein Troubleshooting vorübergehend deaktivieren? ===

Die DTLS Funktion dh. "Data Channel Encryption" wird im entsprechenden WTP Profile eines Forti Access Point aktiviert resp. deaktiviert. Da auf dem Forti Access Point die DTLS Funktion auf "clear-text und "DTLS" zur Verfügung steht, kann die Funktion über den FortiGate Wireless Controller gesteuert resp. konfiguriert werden dh. im entsprechenden WTP Profile aktiviert und/oder deaktiviert werden. Wenn aus irgendwelchen Gründen dies nicht möglich ist und die Funktion nur vorübergehend deaktiviert werden soll, kann dies über "diagnose wireless" Funktion für einen entsprechenden Forti Access Point durchgeführt werden. Dazu muss folgendes ausgeführt werden:

'''Liste alle Forti Access Points auf dem FortiGate Wirless Controller auf:'''

# config wireless-controller wtp
# get
== [ FAP14C3X13000543 ]
wtp-id: FAP14C3X13000543
== [ FP221C3X14001296 ]
wtp-id: FP221C3X14001296
== [ FAP21D3U14000144 ]
wtp-id: FAP21D3U14000144
== [ FAP24D3X14000101 ]
wtp-id: FAP24D3X14000101
# end

'''Aktiviere vorübergehend die "plain-ctl" Funktion (DTLS deaktiviert) auf einem entsprechenden Forti Access Point:'''

# diagnose wireless wlac plain-ctl FAP21D3U14000144 1

WTP 0-FAP21D3U14000144 Plain Control: '''enabled'''

Wenn die Option "1" benutzt wird so wird auf dem FortiGate Wireless Controller die Funktion "Plain Control" aktiviert. Wenn nachträglich die Option "0" benutzt wird so wird die "Plain Control" wiederum deaktiviert! Ebenso kann die Funktion "plain-ctl" Lokal auf dem Forti Access Point über "telnet" aktiviert resp. deaktiviert werden. Nachfolgender Artikel gibt Auskunft wie man Zugriff über "telnet" auf einen Forti Access Point erlangt:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

'''Aktiviere dei "plain-ctl" Funktion auf dem Forti Access Point:'''

Nachdem einloggen kann folgendes Kommando Lokal auf dem Forti Access Point eingegeben werden um die "plain-ctl" Funktion zu aktivieren:

# cw_diag plain-ctl 1

'''Nachdem Troubleshooting deaktiviere die "plain-ctl" Funktion (DTL aktiviert) auf einem entsprechenden Forti Access Point:'''

# diagnose wireless wlac plain-ctl FAP21D3U14000144 0

WTP 0-FAP21D3U14000144 Plain Control: '''disabled'''

Ebenfalls muss auf dem entsprechenden Forti Access Point die "plain-ctl" Funktion deaktiviert werden:

# cw_diag plain-ctl 0

Weitere Informationen zur Funktion DTLS siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]

== Channel ==

=== Welche Radio "channel" muss ich auf dem Forti Access Point für verschiedenen Ländern benutzen? ===

Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:

[[Datei:Fortinet-304.jpg]]

Für den 5 GHz "channel" ist dabei der DFS (Dynamic Frequency Selection) Support der einzelnen Forti Access Points zur Verfügung steht zu berücksichtigen! Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

[[Datei:Fortinet-305.jpg]]

[[Datei:Fortinet-306.jpg]]

=== Was bedeutet es wenn ein Forti Access Point über den DFS (Dynamic Frequency Selection) Support verfügt? ===

Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden und zwar so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Dadurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar nur auf spezifischen Fortinet Modellen wie:

• FAP-221B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-222C Ab FortiOS 5.2.3 und nur für "European Union"
• FAP-320B/C Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
• FAP-321C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-323C Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S421E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S423E Ab FortiOS 5.4.2 und nur für "European Union"
• FAP-S422E Ab FortiOS 5.4.2 und nur für "European Union"

[[Datei:Fortinet-843.jpg]]

[[Datei:DFS_Europe.pdf]]

Grundsätzlich gilt folgendes:

'''Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:'''

UNI1 : 4 Kanäle
UNI2 : 4 Kanäle
UNI2e : 7 Kanäle
UNI3 : 4 Kanäle

'''Für die Schweiz gilt:'''

Indoor: Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
Channels: 36 40 44 48 52'''*''' 56'''*''' 60'''*''' 64'''*''' 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''

'''*''' Nur mit DFS Support!

Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
Channels: 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''

'''*''' Nur mit DFS Support!

Somit gilt als komplett Uebersicht im 2.4 GHz und 5 GHz Bereich Folgendes:

• WLAN 2.4 GHz nach dem Standart IEEE 802.11b/g darf auf den Kanälen '''1-13''' mit einer Leistung von
100 mW EIRP '''innerhalb und ausserhalb''' von Gebäuden betrieben werden.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''34-48''' mit einer Sendeleistung
von 200mW EIRP '''nur innerhalb''' von Gebäuden betrieben werden.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''52-64''' mit einer Sendeleistung
von 200mW EIRP (100mW ohne TPC) '''nur innerhalb''' von Gebäuden betrieben werden. DFS muss
aktiviert sein.

• WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''100-140''' mit einer Sendeleistung
von 1W EIRP (500mW ohne TPC) '''innerhalb und ausserhalb''' von Gebäuden betrieben werden. DFS
muss aktiviert sein.

Weitere technische Informationen zum DFS findet man auch unter folgenden Link:

http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
http://en.wikipedia.org/wiki/List_of_WLAN_channels

http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de

=== Was bedeutet "overlapping wifi channels" für einen Radio eines Forti Access Point Konfiguration? ===

Wireless Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channel) genannt. Einer der Gründe, dass eine Verbindung Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird durch andere Forti Access Points oder fremde Access Poinst. Dadurch wird die Verbindung und schlussendlich die Performance beeinträchtigt. Aus diesem Grund sollte man dieses "overlapping" möglichst verhindern. Nachhfolgend eine Abbildung für den 2.4 GHz sowie 5 GHz Bereich der die verschiedenen Kanäle aufzeigt und dadurch entstehendes "overlapping":

[[Datei:Fortinet-330.jpg]]

Um herauszufinden welchen Kanal in der Umgebung verwendet wird durch eigenen Forti Access Point oder fremde Access Points, kann der Monitor auf dem FortiGate Wireless Controller benutzt werden. Siehe auch:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]
[[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]

Dies bedeutet: man setzt einen "radio" auf einem Forti Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Somit muss in erster Stelle die Umgebung kurz analysiert werden um festzustellen welche Kanäle bereits benutzt werden. Danach kann im entsprechednen WTP Profile die entsprechenden Kanäle speziell im 2.4 GHz Bereich ausgewählt werden. Alle Kanäle zB im 2.4 GHz Bereich zu aktivieren und "Radio Resource Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar das "Radio Resource Provisioning" (DARRP) in jedem Fall zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zum "Radio Resource Provisioning" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Desweiteren ist folgendes zu berücksichtigen: Wird eine Umgebung mit mehreren Forti Access Points aufgebaut ist es nicht zu empfehlen für alle Forti Access Points obwohl es sich um die gleichen Modelle handelt das gleiche WTP Profile zu benutzen. Wenn dies dennoch konfiguriert wird und der FortiGate Wireless Controller bemerkt ein "overlapping" wird da alle Forti Access Point das gleiche WTP Profile benutzen für alle den Kanal gewechselt. Damit sollten logisch gesehen für eine Umgebung mit mehreren Forti Access Point diese anhand mehrerer WTP Profiles betrieben werden. Konkret bedeutet dies folgendes: Muss eine Umgebung aufgebaut werden in einem Gebäude zB 3 Stockwerke sollten für jedes Stockwern mind ein WTP Profile konfiguriert werden mit unterschiedlichen Kanälen. Zustätzlich sollte analysiert werden ob die einzelnen Forti Access Points in den einzelnen Stockwerken oder über die einzelnen Stockwerke hinweg sich sehen. Ist dies der Fall sollte auch hier einzelne WTP Profiles konfiguriert werden. Dies kann mit einem einfachen Trick bewerkstelligt werden. Ueber Mgmt. Web Interface oder über CLI konfiguriere ein entsprechendes WTP Profile. Nach der Konfiguration führe auf der CLI folgendes aus:

# show wirless-controller wtp-profile [Name des konfigurierten WTP Profiles]

Danach wird als Beispiel folgendes ausgegeben auf der CLI:

config wireless-controller wtp-profile
edit "FAP-1-Stock-Rechts"
set comment "FortiAccess Point FAP221C Stock 1 Rechts"
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "3" "8" "13"
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end

Nun kopiere den "output" in ein Text File und ändere folgende Position ab:

config wireless-controller wtp-profile
edit '''"FAP-1-Stock-Links"'''
set comment '''"FortiAccess Point FAP221C Stock 1 Links"'''
config platform
set type 221C
end
set ap-country CH
config radio-1
set band 802.11n
set wids-profile "local-default.local"
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel '''"1" "6" "11"'''
end
config radio-2
set band 802.11ac
set darrp enable
set vap-all disable
set vaps "fortinet4guest" "fortinet4intern"
set channel "36" "40" "44" "48" "52" "56" "60" "64"
end
next
end

Führe dies durch führ jedes WTP Profile resp. Forti Access Point. Danach kann der "output" wiederum 1:1 per copy/paste in die CLI des FortiGate Devices reinkopiert werden. Nun als letzten Schritt muss nur noch das entsprechende WTP Profile dem entsprechenden Forti Access Point zugewiesen werden. Somit verfügt jeder Forti Access Point über sein eigenes kontrollierbares und konfigurierbares WTP Profile und kann bei Problemen angepasst werden. Diese granulare Konfiguratin gewährleistet eine optimale Konfiguration und dauert einige Minuten die zu vernachlässigen sind.

=== Wie kann ich auf einem Forti Access Point herausfinden welche "channel" ich benutzen soll um "overlapping" zu verhindern? ===

Wenn ein Forti Access Point eigerichtet wird, müssen die "channel" (Kanäle) speziell im 2.4 GHz Bereich definiert/konfiguriert werden. Dazu stehen in der Schweiz 13 Kanäle für den 2.4 GHz Bereich zur Verfügung. Alle Kanäle zu selektieren sowie "Radio Resource Provisioning" (DARRP) wäre die falsche Vorgehensweise da es so gezwungenermassen zu Problemen kommt sowie zu einem "ovelapping wifi channels"t. Weitere Informationen zu den Länderspezifischen Channels sowie "Radio Resource Provisioning" siehe folgende Artikel:

[[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
[[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Daher benötigt es speziell im 2.4 GHz Bereich eine Analyse der bereits benutzten "channel" in der Umgebung. Dies kann über die "dedicated monitoring" Analysiert werden. Eine weitere Variante wäre auf einem Client/Host die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:

[[FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F]]

Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhelfen dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" aufgelistet. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese "channel" aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden die im WTP Profile konfiguriert werden:

# get wireless-controller rf-analysis
WTP: FAP14C3X13000543 0-193.193.135.70:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 90 7 6 11
2 45 10 0 11
3 127 4 2 11
4 33 10 0 11
5 38 10 3 16
6 19 10 0 10
7 23 10 0 10
8 45 10 0 8
9 192 1 5 16
10 57 9 0 13
11 46 10 0 13
12 63 9 0 13
13 231 1 8 13
14 53 10 0 8

WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2

Controller: FGT60D4613048017-0
channel rssi_total
1 243
2 136
3 397
4 109
5 114
6 52
7 56
8 95
9 406
10 125
11 108
12 152
13 560
14 132
40 216
44 30
48 70

Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen "channel" mindestens 4 freizulassen. Dies wäre Optimal kann jedoch nicht immer speziell im 2.4 GHz Bereich konfiguriert werden. Es kann auch anhand der "wtp-id" (Serien Nummer) nur ein spezifischer Forti Access Point aufgelistet werden:

# get wireless-controller rf-analysis FAP22B3U11011877

WTP: FAP22B3U11011877 0-192.168.3.3:5246
channel rssi-total rf-score overlap-ap interfere-ap
1 153 2 6 12
2 91 7 0 12
3 270 1 3 12
4 76 8 0 12
5 76 8 3 17
6 33 10 0 11
7 33 10 0 11
8 50 10 0 8
9 214 1 5 16
10 68 8 0 13
11 62 9 0 13
12 89 7 0 13
13 329 1 8 13
14 79 7 0 8
40 216 1 9 9
44 30 10 4 4
48 70 8 2 2

Desweiteren kann mit folgenden Befehl alle Fortti Access Point's augelistet werden, die durch den Scan erkannt werden:

# get wireless-controller scan
CMWF VF SSID BSSID CHAN RATE SIGNAL NOISE INT CAPS ACT LIVE AGE WIRED
(dBm) (dBm)
UNNN 0 00:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336613 52253 ? WME VEN VEN ATH
UNNN 0 12:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 22:09:0f:95:30:f0 8 11M -92 -95 100 ESs N 336639 52253 ? WME VEN VEN ATH
UNNN 0 32:09:0f:95:30:f0 8 11M -91 -95 100 ESs N 336763 52252 ? WME VEN VEN ATH
UNNN 0 42:09:0f:95:30:f0 8 11M -90 -95 100 ESs N 336618 52253 ? WME VEN VEN ATH
UNNN 0 4ourguests 58:97:1e:b3:4c:70 9 216M -45 -95 102 ESs Y 343847 203 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:71 9 216M -57 -95 102 ESs N 343847 1146 ? WME VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:72 9 54M -57 -95 102 EPSs N 343847 1144 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:74 9 54M -42 -95 102 EPSs Y 343847 548 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:75 9 54M -59 -95 102 EPSs Y 343847 544 ? RSN VEN VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:76 9 216M -44 -95 102 EPSs Y 343847 203 ? RSN WPA WME VEN VEN VEN
UNNN 0 only4also 58:97:1e:b3:4c:79 48 450M -60 -95 102 EP Y 343830 811 ? RSN WPA WME VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7a 48 54M -60 -95 102 EP N 342030 9211 ? RSN VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7b 48 54M -60 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7d 48 54M -59 -95 102 EP N 343830 1411 ? RSN WPA VEN VEN VEN VEN
UNNN 0 58:97:1e:b3:4c:7e 48 450M -59 -95 102 E Y 340230 811 ? WME VEN VEN VEN VEN

=== Gibt es eine Möglichkeit alle Access Points aufzulisten für die ein "overlapping channel" stattfindet (Interfering AP's)? ===

Wenn Forti Access Points speziell im 2.4 GHz Bereich installiert werden, muss darauf geachtet werden, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfinden. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:

[[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]

Um die Konfiguration der Forti Access Points nachträglich zu kontrollieren, gibt es über folgende Position die Möglichkeit event. "overlapping channel" resp. Interferenzen zu kontrollieren:

WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)

Diese Widget zeigt auf ob durch den FortiGate Wireless Controller event. "overlapping channel" (Interferenze) bestehen. Siehe auch:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Dies wird in den "Widget" unter der folgender Position aufgeführt:

[[Datei:Fortinet-1090.jpg]]

[[Datei:Fortinet-1091.jpg]]

Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:

[[Datei:Fortinet-1092.jpg]]

Wird ein entsprechende Position unter "Interfering AP's" angewählt, sieht man die Details wie "MAC Adresse des AP's, SSID, benutzter Channel und Signalstärke". Dabei ist die Signalstärke korrekt einzuschätzen dh. Auch wenn ein "overlapping channel" stattfindet jedoch die Signalstärke des Access Points schlecht ist, sind die Interferenzen zu vernachlässigen:

[[Datei:Fortinet-1093.jpg]]

Es ist je nach Anzahl der Access Points nicht immer möglich "overlapping channel" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Wireless Clients/Host den 5 GHz Bereich unterstützen, sollte der 2.4 GHz Bereich gemieden werden! Dies wird auf modernen Devices automatisch vollzogen dh. zB ein IPhone unterstützt 2.4 GHz sowie 5 GHz jedoch benützt sofern irgendwie möglich nur 5 GHz!

== Site Survey ==

=== Gibt es eine Möglichkeit anhand eines Forti Access Point ohne FortiGate Wireless Controller die Wireless Abdeckung zu testen? ===

Diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort für einen "Site Survey" einzusetzen und dies ohne FortiGate Wireless Controller. Wenn eine grössere Umgebung mit Forti Access Point ausgerüstet werden soll, muss festgestellt werden wieviele Forti Access Points benötigt werden sowie wo diese installiert werden sollen um eine möglichst gute Abedeckung zu erzielen. Die "Site Survey" Funktion eines Forti Access Point ermöglicht eine definierte SSID auf einem Forti Access Point lokal zu diesem Zweck zu konfigurieren und zu betreiben. Anhand eines Tools auf einem Client/Host zB SSIDer kann nachträglich Vorort die Abedeckung anhand dieser SSID kontrolliert und somit den idealen Standort für den Forti Access Point herausgefunden werden. Diese Funktion des "Site Survey" kann mit jedem Forti Access Point durchgeführt werden, jedoch ist der FAP-221B/FAP-223B sowie FAP-221C/FAP-223C zu empfehlen. Wenn ein Forti Access Point benützt wird für ein "Site Survey" muss berücksichtigt werden, das zB ein FAP-221B/C sowie FAP-223B/C über keinen mitgelieferten Power Adapter verfügt sondern über PoE betrieben werden. Die Power Adapter für diese Modelle können jedoch seperat bestellt werden. Weitere Informationen dazu siehe nachfolgeden Artikel:

[[FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_Forti_Access_Point_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]

Um auf einem Forti Access Point lokal über CLI eine SSID für "Site Survey" zu konfigurieren führe folgendes aus:

1. Verbinde den Forti Access Point mit einem Client/Host über die Ethernet Interface's; Konfiguriere auf der Ethernet
Schnittstelle des Client/Host folgende IPv4 Adresse:

192.168.1.1/24 (Kein Gateway, Kein DNS)

2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface
folgende IPv4 Adresse konfiguriert:

192.168.1.2/24

Weitere Informationen zu "default" IPv4 Adresse eines Forti Access Point siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]

3. Verbinde dich per "telnet" auf die IPv4 Adresse des Forti Access Point:

> telnet 192.168.1.2

4. Aktiviere den entsprechenden "Site Survey" Mode auf dem Forti Access Point anhand folgenden Befehls:

# cfg –a AP_MODE=2
# cfg -c

AP_MODE=2 bedeutet "Site Survey". Per Standard ist konfiguriert 0"Thin AP"! Weitere Informationen findet
man ebenfalls unter folgenden Artikel:

[[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]

5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!

6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann
nun die Abedeckung Vorort mit einem Tool wie zB SSIDer überprüft werden!

7. Soll die SSID oder andere Werte für die SSID im "Survey Mode" angepasst werden stehen folgende Einstellungen
zur Verfügung:

• SURVEY_SSID='FAP_SURVEY' --> Diese Option vergibt den Namen für die SSID im "Site Survey" Mode.
• SURVEY_TX_POWER=30 --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige Forti Access Points gilt ein Maximum von 17dBm.
• SURVEY_CH_24=6 --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
• SURVEY_CH_50=36 --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
• SURVEY_BEACON_INTV --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.

Wenn die Werte für "Site Survey" konfiguriert werden müssen diese folgendermassen konfiguriert werden:

# cfg -a [Entsprechende Option mit deren Wert]
# cfg -c

8. Nach einem "Site Survey" ist es empfohlen den Forti Access Point wieder auf Factory Default zu setzen. Dies
wird folgendermassen durchgeführt:

# cfg -x

oder

# factoryreset
# reboot

== Konfiguration ==

=== Was bedeutet der Konfigurationspunkt "security" (Security Mode) innerhalb einer SSID Konfiguration? ===

Für einen SSID auf einem Forti Access Point können verschiedenen Security Mode benutzt werden dh. zB WPA2 Enterprise. Die üblichen Security Mode's können über das Mgmt. Web Interface konfiguriert werden:

• Open
• Captive Portal
• WPA2 Personal
• WPA2 Personal with Captive Portal
• WPA2 Enterprise

Ueber CLI stehen jedoch weitere Security Mode zur Verfügung:

'''FortiOS 5.0'''
# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
# end

'''FortiOS 5.2/5.4'''
# config wireless-controller vap
# edit [Name des SSID Profile]
# set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
# end

Zusätzlich kann über CLI die Encryption für den Security Mode gesetzt werden sofern WPA benutzt wird. Per Standard wird für WPA die AES Encryption benutzt. Ebenso kann der Key Interface anhand "gtk-rekey-intv" gesetzt werden. Dieser ist per Standard auf 3600 gesetzt:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set encrypt [AES | TKIP | TKIP-AES]
# set gtk-rekey-intv [Intervall in Sekunden von 60 bis 864000; Standard 3600]
# end

Wenn zB für WEP ein Key definiert werden muss dh. das Passwort ist in den meisten Fällen 1 Passwort zu setzen. Einige Wireless Clients/Hosts dh. Treiber und Software unterstützen die Defintion von mehreren Key's. Wenn dies der Fall ist können mehrer Passwörter definiert werden und somit muss der "keyindex" erweitert werden mit der Anzahl zu definierenden Passwörter:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# keyindex [1 | 2 | 3 | 4]
# end

=== Was bedeutet der Konfigurationspunkt "schedule" innerhalb einer SSID Konfiguration? ===

Bis anhin unter FortiOS 5.0 sowie 5.2 war es nicht möglich eine SSID Zeitgesteuert zu aktivieren/deaktivieren. Neu unter FortiOS 5.4 ist dies nun möglich. Per Standard stehen alle konfigurierten SSID auf dem "schedule" Objekt "always". Möchte man Zeitgesteuert eine SSID aktivieren/deaktivieren, muss vorgängig ein "Schedule" Objekt erstellt werden, dass nachträglich unter der SSID konfiguriert werden kann. Ein "Schedule" Objekt wird unter folgender Position konfiguriert:

Policy & Objects > Schedules > Create New > Schedule

Danach kann anhand "Recurring" (Wiederholend), "Days" (Tagen) sowie einer "Start Time" und "Stop Time" ein "Schedule" Objekt erstellt werden. Ein zeitgesteuertes Objekt basierend auf "Schedule Group" kann nicht innerhalb einer SSID konfiguriert werden. Nachträglich kann das "Schedule" Objekt innerhalb der SSID konfiguriert werden. Dazu wähle im Mgmt. Web Interface folgendes:

WiFi Controller > SSID > Schedule > [Wähle das entsprechende "Schedule" Objekt]

Wenn ein "Schedule" Objekt auf CLI konfiguriert werden soll und dieses nachträglich ebenfalls auf CLI für die entsprechende SSID konfiguriert werden soll führe folgendes aus:

# config firewall schedule [recurring | onetime]
# edit [Name des entsprechenden "Schedule" Objekt zB "daily-0800-1700-business-hour"]
# set start [Gebe die Start Zeit ein zB "08:00"]
# set end [Gebe die End Zeit ein zB "17:30"]
# set day [Gebe die entsprechenden Tage ein für den "Schedule"; monday | tuesday | wednesday | thursday | friday | saturday | sunday]
# end

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set schedule [Wähle das entsprechende "schedule" Objekt; Standard "always"]
# end

=== Was bedeutet der Konfigurationspunkt "Override Settings/Automatic" innerhalb einer Forti Acces Point Konfiguration? ===

Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes WTP Profile zu zuweisen. Dies bedeutet: In diesem WTP Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses WTP Profile, das auf den entsprechenden Forti Access Point abgestimmt is, wird nach dessen Erstellung dem Forti Access Point über "Managed FortiAPs" zugewiesen. Ab FortiOS 5.0 ist es möglich anstelle dieses WTP Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende WTP Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:

[[Datei:Fortinet-333.jpg]]

Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt:

# config wireless-controller wtp
# edit [Name/Serien Nr. des entsprechenden Profiles]
# set override-profile enable
# end
# end

Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:

[[Datei:Fortinet-1291.jpg]]

=== Was bedeutet der Konfigurationspunkt "Scan Outgoing Connections to Botnet Sites" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt unter FortiOS 5.4 ist nicht Wireless Spezifisch sondern steht jedem FortiGate Interface zur Verfügung. Weitere Informationen zu dieser Funktion siehe nachfolgender Artikel:

[[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_Verbindungen_zu_.22botnet.22_Servern_blocken_oder_.C3.BCberwachen.3F]]

=== Was bedeutet der Konfigurationspunkt "Active Scanning" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt steht im Zusammenhang mit "Network Devices" resp. "Device Detection" und steht nur unter FortiOS 5.4 zur verfügung. Wenn "Device Detection" aktiviert wird und diese Funktion der "Device Detection" kann einen entsprechenden Device nicht identifizieren, wird dieser anhand "Active Scanning" Passive gescannt. Dabei wird die gleiche Technik angewandt wie in einem "vulnaribility scan". Diese Funktion wird auf allen Devices die "vulnerability scan" unterstützen per Standard aktiviert. Wir empfehlen im Wireless Bereich zwar die "Device Detection" zu aktivieren jedoch das "Active Scanning" per Standard zu deaktvieren sowie diese Funktion nur punktuell zu benutzen. Um die Funktion "Active Scanning" zu benutze muss "Device Detection" zuerst aktiviert werden. Dies kann im Mgmt. Web Interface durchgeführt werden für die entsprechende SSID oder über CLI:

WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Active Scanning

# config system interface
# edit [Gebe das entsprechende Interface an zB "dmz"]
# set device-identification [enable | disable]
# set device-identification-active-scan [enable | disable]
# end

=== Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic" innerhalb einer SSID Konfiguration? ===

Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind, können die User sofern "Block Intra-SSID Traffic" deaktiviert ist, nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke, von einem Device im selben Segment/IP Range (SSID). Dies gilt bis 5.4.0 ausschliesslich für "Tunnel To Wireless Controller" basierende SSID und nicht für "Local bridge with FortiAP's Interface". Ab FortiGate/FortiAP FortiOS 5.4.1 gilt dies für beide Modes dh. auch für "Local bridge with FortiAP's Interface". Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Forti Access Point resp. SSID komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:

'''Block Intra-SSID Traffic Aktiviert'''

# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy enable
# set local-switching disable
# end

'''Block Intra-SSID Traffic Deaktiviert'''

# config wireless-controller vaps
# edit [Name der SSID]
# set intra-vap-privacy disable
# set local-switching enable
# end

=== Was bedeutet der Konfigurationspunkt "Broadcast SSID" innerhalb einer SSID Konfiguration? ===

Wenn auf einem Forti Access Point eine SSID konfiguriert wird so wird diese per Standard über Broadcast mitgeteilt. Dies erlaubt dem Wireless Host/Client diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn der Broadcast der SSID unterbunden werden soll, kann dies für FortiOS 5.4 über Mgmt. Web Interface konfiguriert werden oder für FortiOS 5.0 sowie 5.2 in der CLI:

WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Broadcast SSID

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set broadcast-ssid [enable | disable]
# end

Die ebenfalls existierende Option "broadcast-suppress" unter der SSID resp. "wireless-controller vap" steht nicht im Zusammenhang mit der Option "broadcast-ssid". Die Option "broadcast-suppress" verhindert das ARP und/oder DHCP Broadcassts nicht zu den Forti Access Point's versendet werden die über die gleiche SSID verfügen resp. konfiguriert haben! Weitere Informationen zu "broadcast-suppress" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]

=== Was bedeutet der Konfigurationspunkt "fast-roaming" innerhalb einer SSID Konfiguration? ===

Wenn Wireless Clients/Hosts sich in einem Wireless Netzwerk befinden/verbunden sind speziell zB mit Mobile Devices, kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen sich in Reichweite befindenden Forti Access Point wieder verbunden. Dadurch wird eine erneute Authentifizierung ausgelöst. Möchte man diese erneute Authentifikation verhindern so muss "fast-roaming" aktiviert werden was auf jeder SSID eines Forti Access Point der Fall ist. "fast-roaming" benützt 2 Unterschiedliche Techniken:

'''• Pairwise Master Key (PMK) Caching'''
Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im Cache abgelegt wird der mit dem ersten Access Point mit dem sich der
User zu Beginn verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch bekannt als "fast roam back"!

'''• Pre-authentication oder "fast-associate in advance"'''
Aktiviert einen 802.11 Access Point der mit einem Client/Host verbunden ist um den verbundenen Client/Host auf eventuell weiteren Access Points
zu authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen weiteren Access Points auf dem sich der Client/Host verbinden könnte
dh. es veranlasst den Access Point auf dem der Client verbunden ist, diesen PMK abzulegen um zukünftige Authentifizierung für den Client/Host
durchzuführen ohne das dieser eine Authentifizierung selber/manuell erneut durchführen muss.

# config wireless-controller vap
# edit [Name der SSID]
# set fast-roaming enable
# end

=== Was bedeutet der Konfigurationspunkt "multicast-enhance" (Frame Acknoledgement) innerhalb einer SSID Konfiguration? ===

Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" durchgeführt. Dieser Umstand kann Multicast" Uebermittlungen über die Forti Access Point's verlangsamen und somit die Performance im Multicast Bereich beeinträchtigen. Um diesen Umstand entgegenzutreten, kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine optimale Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:

# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set multicast-enhance [enable | disable]
# end

Dieses Kommando "multicast-enhance" aktiviert die Konvertierung von Multicast zu Unicast jedoch muss ein "threshold" konfiguriert werden dh. der Zeitpunkt ab dem Multicats zu Unicast umkonvertiert wird. Dies wird anhand "me-disable-thresh" konfiguriert. Dieser "thresold" konfiguriert eine obere Grenze für die Multicast Erweiterung dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (Anzahl Forti Access Point's).

# config wirless-controller vap
# edit [Name der entsprechenden SSID]
# set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
# end

=== Was bedeutet der Konfigurationspunkt "probe-resp-suppression" (Probe Respond Suppression) innerhalb einer SSID Konfiguration? ===

Um dem Wireless Client/Host eine Verbindung auf einen Forti Access Point zu ermöglichen, sendet der Forti Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22beacon-interval.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

Auf der Wireless Client/Host Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln den "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel: Werden diese "probe request" Frame vom Wireless Client/Host an den Forti Access Point gesendet um über den "probe response" Informationen über einen Wireless Client/Host im gleichen Wireless Netzwerk zu erhalten. Ebenfalls wird zB diese Funktion von Sniffer Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Forti Access Point über die folgende Option gesteuert:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set probe-resp-suppression [enable | disable]
# set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
# next
# end

Per Standard ist "probe-resp-suppression" deaktiviert dh. Die Funktion selber kann nicht komplett deaktiviert werden durch "enable". Jedoch kann durch den Werte "dBm" der Wert gesetzt werden in welchem Range ein "prope response" gesendet werden soll. "probe request" ausserhalb des Ranges werden nicht mehr beantwortet mit einem "probe response". Ebenfalls ist zu berücksichtigen, dass viele Mobile Wireless Clients/Hosts diese Funktion sobald eine Verbindung zu einem Forti Access Point etabliert wurde deaktivieren um deren Akkus zu schonen!

=== Was bedeutet der Konfigurationspunkt "broadcastsuppression" (Broadcast Suppression) innerhalb einer SSID Konfiguration? ===

Innerhalb einer SSID kann die Option "broadcastsuppression" mit verschiedenen Werten gesetzt werden. Dabei können verschiedenen Werte gleichzeitig gesetzt werden und der Fokus der Option liegt darin Broadcast Informationen im Zusammenhang mit ARP zu unterdrücken. Weitere detaillierte Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]

=== Was bedeutet der Konfigurationspunkt "pmf" (Protected Management Frames) innerhalb einer SSID Konfiguration? ===

Protected Management Frames schützen einige Management Frames wie zB "deauthorization", "disassociation" sowie "action" Frames for Angriffen. Dieses Feature wurde zwingend Notwendig für den Standard 802.11ac um zu verhindern, dass Angreifer "deauthorization/disassociation" Frames sendet um Verbindungen zu unterbrechen oder gänzlich zu verhindern. Diese Funktion PMF wurde spezifiziert in IEE 802.11w. Per Standard ist jedoch diese Funktion nicht aktiviert sollte jedoch aktiviert werden für Fortinet Access Points die über den 802.11ac Standard verfügung wie zB FAP-221C. Die Funktion wird folgendermasse aktiviert:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set pmf [disable | enable | optional]
# set pmf-assoc-comeback-timeout [1 - 20 Sekunden; Standard 1]
# set pmf-sa-query-retry-timeout [1 - 5 = 100ms - 500ms]
# next
# end

Die Option "pmf optional" Bedeutet folgendes: Optional wird PMF aktiviert und Clients/Workstations ohne PMF werden erlaubt.

=== Was bedeutet der Konfigurationspunkt "okc" (Opportunistic Key Caching) innerhalb einer SSID Konfiguration? ===

Die Option "okc" innerhalb einer SSID bedeutet: Opportunistic Key Caching und hat folgende Funktion: Wenn ein Client im Zusammenhang mit WPA/WPA2-Enterprise Authentifizierung eine Authentifizerung durchführt und diese Erfolgreich abgeschlossen wird so wird der PMK Identifier auf diesem Fortinet Access Point gespeichert und zu allen anderen Fortinet Access Point Distribuiert resp. in den Cache aller Fortinet Access Points geschrieben. Wenn ein Authentifizierter Client somit den Fortinet Access Point im Fast-Roaming/Roaming Verfahren wechselt, muss kein vollständiger EAP Exchange Voragang mehr ausgeführt werden da die Information für den Client bereits auf den Fortinet Access Points im Cache zur Verfügung steht. Diese Funktion kann innerhalb eine SSID folgendermassen aktiviert werden:

# config wireless-controller vap
# edit [Name der entsprechenden SSID]
# set okc [disable | enable]
# next
# end

=== Was bedeutet der Konfigurationspunkt "Rogue AP’s" innerhalb einer WIDS Konfiguration? ===

"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: Illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der FortiGate Wireless Controller in dem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken, werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Ab FortiOS 5.2 ist diese Funktion WTP Profile basierend und wird über ein WIDS Profile konfiguriert und dem entsprechenden WTP Profile zugewiesen! Desweiteren muss berücksichtigt werden, dass auf einem "radio" für 802.11ac kein "Roque AP" Scan benützt werden kann (Stand FortiOS 5.2.5 Bug ID 225550). Um den FortiGate Wireless Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Rogue AP Settings

[[Datei:Fortinet-1268.jpg]]

# config wireless-controller setting
# set ap-scan enable
# set on-wire-scan enable
# end

'''FortiOS 5.2/5.4'''

[[Datei:Fortinet-1269.jpg]]

# config wireless-controller wids-profile
# set ap-scan enable
# set rogue-scan enable
# end

Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden WTP Profile's folgendes konfiguriert werden:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Custom AP Profiles

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-1
# set ap-bgscan enable
# set rogue-scan enable
# set ap-bgscan-period 300
# set ap-bgscan-intv 1
# set ap-bgscan-duration 20
# set ap-bgscan-idle 100
# end
# end

'''FortiOS 5.2/5.4'''

WiFi Controller > WiFi Network > WIDS Profiles

# config wireless-controller wids-profile
# edit [Name des entsprechenden WIDS Profil]
# set ap-scan [enable | disable]
# set ap-scan-passive [enable | disable]
# set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
# set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
# set ap-bgscan-period [Interval in Sekunden; Standard 600]
# set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
# set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
# set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
# end

Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration ab FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:

WiFi Controller > WiFi Network > WIDS Profiles

[[Datei:Fortinet-1270.jpg]]

Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:Wenn ein Forti Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Forti Access Points im gleichen IPv4 Adress Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und Wireless Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung" muss mindestens ein Wireless Client/Host vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die Wireless MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:

# config wireless-controller global
# set rogue-scan-mac-adjacency [0 - 7; Standard 7]
# end

=== Was bedeutet der Konfigurationspunkt "Band" (IEEE_802.11 Standard) innerhalb einer WTP Profile Konfiguration? ===

Wenn ein WTP Profile innerhalb des Mgmt. Web Interface einer FortiGate konfiguriert wird, stehen unter der Position "Band" folgende Möglichkeiten zur Verfügung:

'''2.4 GHz Band'''

[[Datei:Fortinet-1740.jpg]]

'''5 GHz Band'''

[[Datei:Fortinet-1741.jpg]]

In der CLI sieht diese mögliche Konfiguration folgendermassen aus:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set band [802.11a | 802.11b | 802.11g | 802.11n | 802.11n-5G | 802.11ac | 802.11n,g-only | 802.11g-only | 802.11n-only | 802.11n-5G-only | 802.11ac,n-only | 802.11ac-only]
# end
# end

Weitere Informationen zu den einzelnen IEEE_802.11 Möglichkeiten siehe nachfolgender Link:

https://en.wikipedia.org/wiki/IEEE_802.11

=== Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP) innerhalb einer WTP Profile Konfiguration? ===

ARRP "Automatic Radio Resource Provisioning" oder DARRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "channels" (Kanäle) für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung (overlapping) der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet: Wenn diese Position aktiviert ist, sucht sich der FortiGate Wireless Controller den oder die besten "channels" raus, die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 1800 Sekunden (Standard) evaluiert und falls notwendig dem FortiGate Wireless Client/Host mitgeteilt damit dieser auf den neuen "channel" wechseln kann. Dieser Standard Wert 1800 Sekunden kann unter folgendem Kommando Konfiguriert werden:

# config wireless-controller timers
# set darrp-optimize [0 - 86400 Sekunden; Standard 1800 Sekunden]
# end

Ab FortiOS 5.4 kann die DARRP resp. Radiu Resource Provisioning ebenfalls Zeitbasierend aktiviert werden dh. Wenn die Option "darrp-optimize auf "0" gesetzt wird so wird die Zeitgesteuerte DARRP Funktion aktiviert und es kann folgendes Konfiguriert werden:

# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
# set darrp-time [Zeitangabe im Format hour:minute]
# end

Für die Optionen "darrp-day" sowie "darrp-time" können mehrer Angeben Konfiguriert werden dh. zB :

# config wireless-controller timers
# set darrp-optimize 0
# set darrp-day monday | tuesday | wednesday | thursday | friday
# set darrp-time 06:00 12:00 18:00
# end

Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung zu wissen welche "channels" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]

Wenn nun feststeht welche "channels" in der Umgebung bereits benutzt werden, kann ein entsprechendes Forti Access Point WTP Profil erstellt werden unter berücksichtigung der zu wählenden "channels" speziell für den 2.4 GHz Bereich. Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
[[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
[[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]

Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrere Access Points in Reichweite sind um diese Kollisionen unter den "channels" zu verhindern. DARRP wird in den entsprechenden WTP Profil "radios" des Forti Access Point für 2.4 GHz sowie 5 GHz konfiguriert. Im Mgmt. Web Interface findet man diese Position im WTP Profile unter:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Radio Resource Provision"]

Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set darrp enable
# end
# end

Um nach der Konfiguration festzustellen ob eine Kollidierung (overlapping) unter den "channels" exisitiert, kann über "Wireless Health Monitor" die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]

aB FortiOS 5.2 wurde innerhalb des Forti Access Point wtp Profile's unter Radio-1 und/oder 2 die Position "Background Scan" (ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse" innerhalb einer WTP Profile Konfiguration? ===

Unter FortiOS 5.0 existiert in den Forti Access Point WTP Profile unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health Monitor" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health Monitor" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]

Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's" (overlapping channel). "Background Scan" sowie "Spectrum Analyse" sollte unter normalen Umständen deaktiviert werden da diese Funktion enorm Performance Intensiv sind. Diese Funktion sollte nur vorübergehend aktiviert werden um "troubleshooting" oder "Analysen" durchzuführen! Desweiteren ist zu beachten, dass für die Forti Access Point FAP-221B, FAP-223B und FAP-221C im Zusammenhang mit FortiOS 5.2.4/5 diese Funktion nicht benutzt werden sollte (Bug 245323) da durch die Funktion "Spectrum Analyse" auf den Forti Access Point ein "high cpu" produziert wird! Ueber Mgmt. Web Interface findet man diesen Konfigurationspunkt unter:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Background Scan/Spectrum Analyse"]

[[Datei:Fortinet-1271.jpg]]

Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:

# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set ap-bgscan eanble
# end
# end

[[Datei:Fortinet-1272.jpg]]

# config wirless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set spectrum-analysis eanble
# end
# end

Wenn die Funktion "Background Scan/Spectrum Analyse" aktiviert wird, können die entsprechenden Informationen auch über Kommandozeile abgeruft werden anhand folgenden Befehls:

# diagnose wireless wlac -c rf-sa [Name des FAP zB "FP221B3X13843475"] 1

Weitere Informationen betreffend dem Troubleshooting Kommando "diagnose wireless" siehe nachfolgenden Artikel:

[[FortiAP:FAQ#Welche_Troubleshooting_Kommandos_.28diagnose.29_stehen_auf_dem_Wireless_Controller_einer_FortiGate_zur_Verf.C3.BCgung.3F]]

=== Was bedeutet der Konfigurationspunkt "short guard intervall" innerhalb einer WTP Profile Konfiguration? ===

"Guard Intervalle" auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen gegen die digitale Daten die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei wie störanfällig eine Übertragung ist. Je länger ein solcher Intervall ist, desto besser schützt es gegen Störungen sowie geringer wird allerdings auch die Kanaleffektivität (Performance).

'''802.11 Guard Interval'''

Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
"short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
könnte entwickelt werden, um herauszufinden ob ein "short guard intervall" von Vorteil wäre. Um die Komplexität
zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
zu erhöhen.

Wie beschrieben dient diese Konfiguration der Performance resp. um diese zu erhöhen. Jedoch kann die Aktivierung des "short guard intervall" auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser diese Funktion "short guard intervall" in der ersten Phase nicht zu benutzen resp. zu deaktivieren! "short guard intervall" kann für den 5 GHz Bereich für 40/80 MHz aktiviert/deaktiviert werden:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]

[[Datei:Fortinet-1273.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 oder 2]
# set short-guard-interval enable
# end
# end

=== Was bedeutet der Konfigurationspunkt "channel-bonding" (Channel Width) innerhalb einer WTP Profile Konfiguration? ===

Die Funktion "channel-bonding" (40/20 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat, ist der Einsatz dieser Funktion kontraproduktiv sowie störanfällig und sollte deshalb nicht benutzt werden. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" für 2.4 GHz nicht im 40 MHz Bereich zu empfehlen! Da die einzelnen Kanäle breiter werden aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr das sich WLANs gegenseitig stören wenn sie auf angrenzenden Kanälen (channel) funken. Die Standard Werte für das "channel-bonding" im 2.4 GHz und 5 GHz Bereich ist 20 MHz. Das "channel-bonding" im 5 GHz Bereich kann unter FortiOS 5.0/5.2 innerhalb der Forti Access Point WTP Profile konfiguriert werden. Unter FortiOS 5.4 steht diese Funktion nur über CLI zur Verfügung.:

'''FortiOS 5.0'''

WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]

[[Datei:Fortinet-1274.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [enable | disable]
# end

'''FortiOS 5.2'''

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]

[[Datei:Fortinet-1275.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set channel-bonding [20MHz | 40MHz]
# end

Damit "channel-bonding" aktiviert werden kann für 40 MHz im 2.4 GHz Bereich obwohl dies nicht zu empfehlen ist, müssen zuerst im entsprechende WTP Profile für die "channel" ein "unset" durchgeführt werden:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-1
# unset channel
# set channel-bonding 40MHz
# end

Diese Funktion steht ebenfalls im Zusammenhang mit der Funktion "coexistence". Weitere Informationen dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22coexistence.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Access Point Hand-off" innerhalb einer WTP Profile Konfiguration? ===

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende: Ein "Hand-off" wird durch den Forti Access Point ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem Forti Access Point den gesetzten "threshold" übersteigt, wird der Wireless Client/Host angewiesen auf den nächsten Forti Access Point und/oder "radio" zu wechseln. Für diesen Wechsel des "Hand-off" ist die Signalstärke des Client/Host entscheidend (RSSI threshold). Dieser Wert erhält der Client/Host vom zuständigen Forti Access Point. Um zu verhindern das der Zugriff auf den Client/Host durch einen Forit Access Point verhindert wird, werden wiederholende Anfragen zum Forti Access Point durch den Wirless Client/Host der auf dem Forti Access Point verbunden ist akzeptiert. Dieser Vorgang nennt man "soft-limit":

[[Datei:Fortinet-340.jpg]]

Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden WTP Profil ein- oder auszuschalten sowie den "threshold" zu setzen:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
# config [radio-1 oder 2]
# set ap-handoff {disable | enable}
# end
# end

"handoff-sta-thresh" bedeutet: Der Durchschnitt verbundener Wireless Clients/Host der erreicht werden soll auf einem Forti Access Point, bevor diese Wireless Clients/Hosts durch den Forti Access Point angewiesen werden sich auf dem nächsten Forti Access Point zu verbinden! Die Funktion des "ap-handhoff" kann wie hier gezeigt über Mgmt. Web Interface durchgeführt werden. Jedoch ist die Konfiguration "handoff-sta-thresh" nur über CLI möglich! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "AP Handoff"]

=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Hand-off" innerhalb einer WTP Profile Konfiguration? ===

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Access Point Frequenzy Hand-off" ist die folgende: Der FortiGate Wireless Controller überprüft in gewissen Abständen die Wireless Clients/Hosts betreffend Ihrer Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den FortiGate Wireless Controller betreffend dem Wireless Client/Host die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer Wireless Client/Host sich verbinden will, überprüft der FortiGate Wireless Controller die MAC Adresse des Wireless Client/Host und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen abgelegt sind, wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiGate Wireless Controller entscheiden ob der Device über "dual band" (2.4 GHz / 5 GHz verfügt oder nicht:

[[Datei:Fortinet-341.jpg]]

• Wenn der Wireless Client/Host über "kein" Dual-Band verfügt: Wird dem Wireless Client/Host erlaubt sich mit dem Access Point
(2.4 GHz) zu verbinden!

• Wenn der Wireless Client/Host über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiGate Wireless Controller
nicht auf die Anfrage betreffend 2.4 GHz sondern der Wireless Client/Host wird angewiesen sich mit 5 GHz auf den Forti Access
Point zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Forti
Access Point durch den Wireless Client/Host auf dem Forti Access Point auf dem sich der Wireless Client/Host verbinden will
akzeptiert (soft-limit).

Einige Wireless Clients/Hosts unterstützen diesen Vorgang dh. diese Wireless Client/Host unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 5 GHz benutzt. Auf den Wireless Clients/Hosts wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices. Das "frequency-off" respektive der "threshold" wird unter der CLI folgendermassen konfiguriert:

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# set handoff-rssi [Grenzwert des handoff; Standard 25]
# config [radio-1 oder 2]
# set frequenciy-handoff {disable | enable}
# end
# end

"handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Wireless Client/Host bevor der Wireless Client/Host auf den 5 GHz Bereich verschoben wird! Die Konfiguration des "frequenciy-handoff kann ebenfalls im Mgmt. Web Interface durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Frequency Handoff"]

=== Was bedeutet der Konfigurationspunkt "Auto TX Power Control" innerhalb einer WTP Profile Konfiguration? ===

Bei "Auto TX Power Control" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Auto TX Power Control" aktiviert und somit herabgesetzt werden. AB FortiOS 5.0 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:

• Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!

• Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!

Die Informationen über die Signalstärke wird durch den FortiGate Wireless Controller im Hintergrund gesammelt und ausgewertet. Aus diesem Grund erkennt der FortiGate Wireless Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der über dessen FortiGate Wireless Controller verwaltet wird. Desweiteren ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das wenn 50% TX Power benützt wird folgendes gilt:

50% of 100mW = 50mW was wiederum 17dBm entspricht

0 dBm = 1 mW
3 dBm = 2 mW
6 dBm = 4 mW
9 dBm = 7.9 mW
12 dBm = 15.8 mW
15 dBm = 31.6 mW
18 dBm = 61.1 mW
21 dBm = 125.9 mW
24 dBm = 251.2 mW

Dieser Konfigurationspunkt kann im entsprechenden Forti Access Point WTP Profil konfiguriert werden:

WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control"]

[[Datei:Fortinet-1278.jpg]]

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio-1 oder 2]
# set auto-power-level [enable | disable]
# set power-level [Setze den entsprechenden Wert in % dh. 1 - 100; Standard 100]
# end

=== Was bedeutet der Konfigurationspunkt "protection-mode" (802.11g Protection Mode) innerhalb einer WTP Profile Konfiguration? ===

Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:

http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination

Ab FortiGate 5.06 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert für "protection-mode" auf "disable":

# config wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config [radio für 5 GHz]
# set protection-mode [ctsonly | disable | rtscts]
# end
# end
# end

Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder 802.11b Wireless Clients/Hosts verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt. Aus diesen Informtionen stellt sich die Frage wann dieser Protection Mode aktiviert werden soll und wenn nicht. Die Antwort ist nicht Generell zu beantworten! Jedoch kann man Grundsätzlich von Folgendem ausgehen:

• Wenn der Forti Access Point sowie die Wireles Clients/Hosts ausschliesslich 802.11g und/oder 802.11n benutzen, kann der
Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:

protection-mode disabled = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt

• Wenn der Forti Access Point sowie die Wireless Clients/Hosts zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten und diese
"vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:

protection-mode ctsonly oder rtscts = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b

=== Was bedeutet der Konfigurationspunkt "beacon-interval" innerhalb einer WTP Profile Konfiguration? ===

Ein Forti Access Point sendet in einstellbaren Intervallen (beacon-intervall) kleine Datenpakete, sogenannte "beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die "beacons" enthalten unter anderem folgende Informationen:

• Netzwerkname ("Service Set Identifier", SSID)
• Liste unterstützter Übertragungsraten
• Art der Verschlüsselung

Dieses "Leuchtfeuer" (beacons) erleichtert den Verbindungsaufbau ganz erheblich, da die Wireless Clients/Hosts lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität und zwar auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. "beacons" werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet um somit ein erfolgreiche Empfang des "Leuchtfeuers" garantiert wird. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate im WTP Profile steht dieser Wet auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch, bedeutet dies eine hohe Kapazität auf dem Forti Access Point sprich viele Wireless Clients/Hosts können sich auf dem Forti Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Wireless Clients/Hosts benötigen eine sehr lange Zeit bis die Verbindung zustande kommt, da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert, werden die passiven Scan's der Wireless Clients/Hosts schneller beantwortet. Also ist die Verbindung schneller jedoch sinkt die Kapazität des Forti Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen (overlapping channel) sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Wireless Clients/Hosts sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:

# config system wireless-controller wtp-profile
# edit [Name des entsprechendend WTP Profile]
# config radio-[1 | 2]
# set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
# end

Der Standard Wert 100 für "beacon's" sollte unter normalen Umständen nicht manipuliert werden! Kommt es zu Problemen, sollte bevor der Interval der "beacon's" manipuliert wird eventuell die Option "probe-resp-suppresion" konsultiert werden, Dazu siehe nachfolgender Artikel:

[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22probe-resp-suppression.22_.28Probe_Respond_Suppression.29_innerhalb_einer_SSID_Konfiguration.3F]]

=== Was bedeutet der Konfigurationspunkt "ekahau-blink-mode" innerhalb einer WTP Profile Konfiguration? ===

Die Option "ekahau-blink-mode" stellt einen Service dar für das "Real-Time Location System" von Ekahau Vision. Diese Funktion erlaubt es Informationen basierend auf dem Ekahau Vision zum diesem Dienst von Ekahau Vision zu senden um das "Real-Time Location System" zu benützen. Dies bedeutet: Diese Option steht nur im Zusammenhang mit diesem Dienst und muss auch nur dann aktiviert werden wenn dieser Dienst genutzt wird:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config lbs
# set ekahau-blink-mode [enalbe | disable]
# set ekahau-tag [ Mac Adresse xx:xx:xx:xx:xx:xx]
# set erc-server-ip [IPv4 Adresse]
# set erc-server-port [Port Nummer]
# end
# end

=== Was bedeutet der Konfigurationspunkt "coexistence" innerhalb einer WTP Profile Konfiguration? ===

Wenn man ein WTP Profile konfiguriert existiert in den "radio-1 oder 2" settings eine Option mit dem Namen "coexistence". Diese Option steht im Zusammenhang mit den Modi "802.11n und 802.11ac" und somit für 2.4GHz und 5GHz. Die Konfiguration für "coexistence" kann nur über CLI durchgeführt werden und zwar folgendermassen:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profils]
# config radio-[1 | 2]
# set channel-bonding [20MHz | 40MHz | 80MHz]
# set coexistence [enable | disable]
# end
# end

Die Option steht im direkten Zusammenhang mit dem "channel-bonding". Dies bedeutet: ist das "channel-bonding" auf 20MHz gesetzt steht die Option "coexistence" nicht zur Verfügung da der 40MHz Bereich nicht aktiviert ist. Wenn das "channel-bounding" auf 40MHz gesetzt ist kann die "coexsistence" aktiviert werden was wiederum bedeutet: 20MHz und 40MHz koesistierten resp. beide sind erlaubt. Die Option "coexistence" definiert den HT20 resp. HT40 Mode was wiederum bedeutet:

HT20 = Einzelner 20MHz Channel
HT40 = 2 X 20Mhz Channels und Autoselektierung des Sekundären höherer und tieferen Channels

Wenn somit ein "channel-bounding" aktiviert wird auf 40MHz jedoch die "coexistence" deaktiviert ist so wird 20MHz als Sekundärer Channel ausgeschlossen. Aus kompatibilitäts Gründen sollte dies nicht konfiguriert werden, kann jedoch in Ausnahmen Sinn machen wenn die Performance ausschlaggeben ist jedoch klar damit gerechnet wird das Geräte im 20MHz Bereich damit ausgeschlossen werden.

=== Was bedeutet der Konfigurationspunkt "max-distance" (ACK timeout) innerhalb einer WTP Profile Konfiguration? ===

Das "ACK timeout" auf einem Forti Access Point wird über die Option "max-distance" innerhalb eines WTP Profiles gesteuert. Dies wird in der CLI wie folgt beschrieben:

Setzt das erwartete Maximum in Meter zwischen dem Forti Access Point und den Wireless Clients. Dieser Wert verändert
"ACK timeout" auf dem Forti Access Point um einen maximalen throughput für die maximale definierte Distanz zwischen
Forti Access Point und Wireless Client zu erreichen. Mögliche Werte sind zwischen 0 und 20'000 Meter (Standard 0).

Unter normalen Umständen sollte dieser Wert dh. "0" belassen werden. Wird jedoch eine Punkt zu Punkt Verbindung konfiguriert/etabliert über lange Distanzen zB eine Bridge, kann dieser Wert angepasst werden um ein grosszügiges "ACK timeout" zu erlauben. Für ein Troubleshooting kann dieses Timeout auf dem Forti Access Point angepasst werden. Folgender Befehl Lokal auf dem Forti Access Point gibt den momentanen Wert aus für "ACK timeout" aus:

# iwpriv wifi0 get_acktimeout
wifi0 get_acktimout:64 (0x40)

Um den das "ACK timeout" auf dem FortiAP anzupassen führe folgendes durch:

# Iwpriv wifi-acktimeout [ Wert zB "120"]

Wie Lokaler Zugriff erlangt wird auf einen Forti Access Point beschreibt nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Was bedeutet der Konfigurationspunkt "transmit-optimize / powersave-optimize" (PowerSave) innerhalb einer WTP Profile Konfiguration? ===

Die Optionen "transmit-optimize / powersave-optimize" die in einem WTP Profile innerhalb von "radio-1" gesetzt werden können stehen im Zusammenhang mit der "Strom-Spar / Power-Saving" Funktion und 2.4 GHz. Diese Funktion kommt vor allem in mobilen und damit Akku-betriebenen Geräten zu Zuge. Zum Beispiel: Smartphones, Tablets und Notebooks. Um die Akku-Laufzeit dieser Geräte zu verlängern gibt es spezielle Strom-Spar- und Power-Management-Funktionen. Die Traffic-Indicator-MAP (TIM) ist eine Liste, die der Access Point erstellt, um dort alle Wireless-Stationen zu speichern. Um diese Liste aktuell zu halten, schickt der Access Point regelmäßig TIM-Signale (Beacons), die die Wireless-Stationen aufwecken. Die Delivery-Traffic-Indicator-MAP (DTIM) ist auch eine Liste, die vom Access Point gepflegt wird. Der DTIM-Beacon ist ein Broadcast-Signal, das mit einem größeren zeitlichen Abstand gesendet wird, als der TIM-Beacon. Im Regelfall werden WLAN-Netzwerkkarten nur mit dem DTIM-Beacon aufgeweckt um die Laufzeit mobiler Geräte noch weiter zu erhöhen. Unter normalen Umständen sollte die standard Konfiguration nicht verändert werden. Ist dies denoch nötig stehen unter den Optionen folgende Möglichkeiten zur Verfügung:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set transmit-optimize [disable | power-save | aggr-limit | retry-limit | sendbar]
# end
# end

Die möglichen Optionen haben folgende Bedeutung:

• disable: Disable transmit optimization.
• power-save: Mark a client as power save mode if excessive transmit retries happen.
• aggr-limit: Set aggregation limit to a lower value when data rate is low.
• retry-limit: Set software retry limit to a lower value when data rate is low.
• send-bar: Do not send BAR frame too often.

Per Standard steht die Option "transmit-optimize" auf folgende Werte:

# set transmit-optimize power-save aggr-limit retry-limit sendbar

Zusätzlich gibt es die Möglichkeit im 2.4 GHz Bereich den nicht mehr unterstützten 802.11b Bereich komplett zu deaktivieren. Dies wird erreicht in dem die Sendetzeit heruntergesetzt wird für die "beacons" der Management Frames. Damit wird das Signal mit Minimum 6Mbps gesendet anstellt 1Mbps und somit wird 802.11b ausgeschlossen:

# config wireless-controller wtp-profile
# edit [Name des entsprechenden WTP Profil]
# config [radio-1]
# set powersave-optimize no-11b-rate
# end
# end

Unter "powersave-optimize" stehen weitere Optionen zur Verfügung die jedoch nur in speziellen Situationen benutzt werden sollten:

• tim TIM bit for client in power save mode.
• ac-vo Use AC VO priority to send out packets in the power save queue.
• no-obss-scan Do not put OBSS scan IE into beacon and probe response frame.
• no-11b-rate Do not send frame using 11b data rate.
• client-rate-follow Adapt transmitting PHY rate with receiving PHY rate from a client.

== CLI ==

=== Welche Kommandos können Lokal auf einem Forti Access Point über die CLI eingegeben werden? ===

Grundsätzlich wird eine Konfiguration eine Forti Access Points über den FortiGate Wireless Controller durchgeführt. Nichts desto trotz verfügt ein Forti Access Point Lokal über Befehlsatz der es erlaubt zB eine statische IPv4 Konfiguration durchzuführen oder ein Troubleshooting. Um Lokal auf einem Forti Access Point per "telnet" zu verbinden muss dieser Zugriff aktiviert werden. Danach kann über den FortiGate Wireless Controller per "telnet" eine Verbindung zu einem entsprechenden Forti Access Point erstellt werden um Lokal auf dem Forti Access Point die Kommandos einzugeben. Weitere Informationen wie dieser Zugriff aktiviert wird siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Unter FortiOS 5.0/5.2/5.4 stehen folgende Kommandos zur Verfügung:

<big>'''FortiOS 5.0'''</big>

'''# fap-get-status'''
Version: FortiAP-220B v5.0,build064,140117 (GA)
Serial-Number: FAP22B3U11011877
BIOS version: 04000010
Regcode: E
Hostname: FAP22B3U11011877
Branch point: 064
Release Version Information:GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool

'''# brctl -h'''
brctl: invalid argument '-h' to 'brctl'

BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary

Usage: brctl COMMAND [BRIDGE [INTERFACE]]

Manage ethernet bridges.

Commands:
show Show a list of bridges
showmacs BRIDGE Show a list of mac addrs
addbr BRIDGE Create BRIDGE
delbr BRIDGE Delete BRIDGE
addif BRIDGE IFACE Add IFACE to BRIDGE
delif BRIDGE IFACE Delete IFACE from BRIDGE
setageing BRIDGE TIME Set ageing time
setfd BRIDGE TIME Set bridge forward delay
sethello BRIDGE TIME Set hello time
setmaxage BRIDGE TIME Set max message age
setpathcost BRIDGE COST Set path cost
setportprio BRIDGE PRIO Set port priority
setbridgeprio BRIDGE PRIO Set bridge priority
stp BRIDGE [1|0] STP on/off

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOG IN_PASSWD
ADM IN_TIMEOUT
Telnet and GUI session admin timeout in minutes
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV

'''# cw_diag help'''
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

<big>'''FortiOS 5.2'''</big>

'''# get system status'''
Version: FortiAP-221C v5.2,build490,140616 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 212
Release Version Information: GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
fap-get-status, fap-set-hostname, restore, radartool

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
AP_MGMT_VLAN_ID
TELNET_ALLOW
HTTP_ALLOW
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV

'''# cw_diag help'''
cw_diag usage:
cw_diag help --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

<big>'''FortiOS 5.4'''</big>

'''# get system status'''
Version: FortiAP-221C v5.4,build0327,160107 (GA)
Serial-Number: FP221C3X14001296
BIOS version: 04000003
System Part-Number: P15285-01
Regcode: E
Base MAC: 08:5b:0e:5d:f7:0c
Hostname: FP221C3X14001296
Branch point: 327
Release Version Information: GA

'''# help'''
FortiAP commands:
-----------------
brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
diag_console_debug, diag_debug_crashlog, diag_sniffer
dmesg, factoryreset, fap-get-status, fap-set-hostname
ft_rate_config, restore, radartool, reboot

'''# cw_test_radio -h'''
/sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]

'''# diag_console_debug -h'''
Usage:

diag_console_debug <on|off> --turn on/off console log message

'''# diag_debug_crashlog'''
Usage:

diag_debug_crashlog clear --clear crash log
diag_debug_crashlog read --read crash log and print

'''# cw_test_led'''
/sbin/cw_test_led <all|power|status|wifi1|wifi2> <all|0|1|2|3|4> [interval]
lan is controlled by hardware, we don't test it here
0: Off
1: On-Amber
2: On-Green
3: On-Flashing Amber
4: On-Flashing Green
interval: Period in each state when all is selected for state

'''# dmesg'''

'''# ft_rate_config'''
ft_rate_config usage:
command and options:
-n <dev_name> -p
-n <dev_name> -m [11bg|11a|11n|11ac] -s <string_256>
-n <dev_name> -a
-n <dev_name> -r
-p print out current rate configuration
-m radio mode
-s configure rate set
11a string format is (6|6-basic,9|9-basic,12|12-basic,18|18-basic,24|24-basic,36|36-basic,48|48-basic,54|54-basic)
11bg string format includes 11a string format and also (1|1-basic,2|2-basic,5.5|5.5-basic)
11n string format is (mcs0/1,mcs1/1,...,mcs6/1,mcs7/1,mcs8/2,mcs9/2,...,mcs15/2,mcs16/3,mcs17/3,...,mcs31/4)
11ac string format is (mcs0/1,mcs1/1,mcs2/1,...,mcs8/1,mcs9/1,mcs0/2,mcs1/2,...,mcs9/4)
-a apply the current configuration to radio
-r reset the user configuration from the ssid

'''# cfg -h'''
cfg -h - output this help
cfg -r var - remove variables
cfg -e - export variables
cfg -s - list variables
cfg -x - resetting to factory defaults
cfg -c - commit the change to flash
cfg -a var=value - add or change variables

Supported Variable Names:
BAUD_RATE
9600, 19200, 38400, 57600, 115200
WTP_NAME
WTP_LOCATION
FIRMWARE_UPGRADE
LOGIN_PASSWD
ADMIN_TIMEOUT
Telnet and GUI session admin timeout in minutes [0-480]
ADDR_MODE
DHCP, STATIC
AP_IPADDR
AP_NETMASK
IPGW
AP_MODE
0(Thin AP), 2(Site Survey)
DNS_SERVER
STP_MODE
0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
AP_MGMT_VLAN_ID
ALLOW_TELNET
0(Telnet disable), 1(Telnet enable), 2(controlled by AC)
ALLOW_HTTP
0(Http disable), 1(Http enable), 2(controlled by AC)
DDNS_ENABLE
DDNS_PORT
DDNS_SERVER
0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
DDNS_UNIQUE_LOCATION
AC_DISCOVERY_TYPE
0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
AC_IPADDR_1
AC_IPADDR_2
AC_IPADDR_3
AC_HOSTNAME_1
AC_HOSTNAME_2
AC_HOSTNAME_3
AC_DISCOVERY_MC_ADDR
AC_DISCOVERY_DHCP_OPTION_CODE
AC_DISCOVERY_FCLD_APCTRL
AC_DISCOVERY_FCLD_ID
AC_DISCOVERY_FCLD_PASSWD
AC_CTL_PORT
AC_DATA_CHAN_SEC
0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
MESH_AP_TYPE
0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
MESH_AP_SSID
MESH_AP_BSSID
MESH_AP_PASSWD
MESH_ETH_BRIDGE
Only take effect with MESH_AP_TYPE 1(mesh) AP
MESH_MAX_HOPS
MESH_SCORE_HOP_WEIGHT
MESH_SCORE_CHAN_WEIGHT
MESH_SCORE_RATE_WEIGHT
MESH_SCORE_BAND_WEIGHT
MESH_SCORE_RSSI_WEIGHT
SURVEY_SSID
SURVEY_TX_POWER
SURVEY_CH_24
SURVEY_CH_50
SURVEY_BEACON_INTV
LED_STATE
0(LED on), 1(LED off), 2(controlled by AC)

'''# cw_diag help'''
cw_diag usage:
cw_diag help [module [mod name]] --show this usage
cw_diag uptime --show daemon uptime
cw_diag --tlog <on|off> --turn on/off telnet log message.
cw_diag --clog <on|off> --turn on/off console log message.
cw_diag --flog <size in MB> --turn on/off log message to /tmp/var_log_wtpd.
cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash
cw_diag kernel-panic clear --clear saved kernel panic log from flash
cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug
cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting
cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port
cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf
cw_diag stats wl_intf --show wl_intf status
cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf
cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf
cw_diag ksta [HHHH] --show clients on the FortiAP
cw_diag wl-log --get wlan's beacon/probe related info
cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
cw_diag pkt-pattern [rId] --show traffic packet length info.
cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval
cw_diag sys-performance --show CPU load and memory usage
cw_diag clear debug --clear all debug settings
cw_diag show debug --show all debug settings
cw_diag show control --show all -c settings
cw_diag show all --show all debug and -c settings
cw_diag -c wtp-cfg --show current wtp config params in control plane
cw_diag -c fcld-cfg --show current forticloud client config
cw_diag -c radio-cfg --show current radio config params in control plane
cw_diag -c ssid --show current configrued SSIDs
cw_diag -c vap-cfg --show current vaps in control plane
cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan
cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan
cw_diag -c arp-req --show scanned arp requests
cw_diag -c ap-scan --show scanned APs
cw_diag -c sta-scan --show scanned STAs
cw_diag -c sta-cap --show scanned STA capabilities
cw_diag -c sta-locate --show scanned STA locate data
cw_diag -c sta-locate-reset [level] --reset scanned STA locate data
cw_diag -c wids --show scanned WIDS detections
cw_diag -c mesh --show mesh status
cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type
cw_diag -c mesh-veth-vap --show mesh veth vap
cw_diag -c mesh-veth-host --show mesh veth host
cw_diag -c mesh-ap --show mesh ap candidates
cw_diag -c vlan --show current vlan info in daemon
cw_diag -c sta --show current station info in daemon
cw_diag -c sys-vbr --show WTP Vlan Bridges
cw_diag -c net-topo --show interface topology
cw_diag -c wev --show queued wireless events to report
cw_diag -c k-vap --show WTP Kernel local-bridge VAPs
cw_diag -c k-host --show WTP Kernel local-bridge Hosts
cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans
cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges
cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs
cw_diag -c ap-suppress --show suppressed APs
cw_diag -c sta-deauth --de-authenticate an STA

Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:

[[FortiAP:FAQ#Welche_Linux_Befehle_k.C3.B6nnen_auf_einem_FortiOS_f.C3.BCr_einen_Forti_Access_Point_ben.C3.BCtzt_werden.3F]]

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Uptime eines Forti Access Point herauszufinden? ===

Wenn vermutet wird, dass ein Forti Access Point selbständig einen Neustart ausführt, kann folgender Befehl Lokal auf der CLI des Forti Access Point ausgeführt werden um die Uptime des entsprechenden Forti Access Point zu eruieren:

# cw_diag uptime
Current uptime : 574652
WTP daemon start uptime : 18
WTP daemon RUN uptime : 74
Time since WTP daemon started : 574634
Time since WTP daemon connected : 574578

Watchdog timer triggered : 0
Watchdog timer action : 1
Watchdog timer time : 22

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um über die CLI die Netzwerk Konfiguration auszulesen? ===

Die Netzwerk Konfiguration eines Forti Access Point kann über das Forti Access Point Mgmt. Web Interface ausgelesen werden. Wenn dies jedoch nicht möglich ist, kann die momentane Netzwerk Konfiguration über CLi Lokal auf dem Forti Access Point ausgelesen werden. Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

Nachdem der Zugriff gewährleistet ist, kann folgendes Kommando ausgeführt werden um die Netzwerk Konfiguration Lokal auf dem Forti Access Point auszulsen:

# cfg -s
AP_IPADDR:=192.168.1.2
AP_NETMASK:=255.255.255.0
IPGW:=192.168.1.1
ADDR_MODE:=DHCP
TELNET_ALLOW:=0
AC_DISCOVERY_TYPE:=0
AC_IPADDR_1:=192.168.1.1
AC_CTL_PORT:=5246
AC_DISCOVERY_MC_ADDR:=224.0.1.140
AC_DISCOVERY_DHCP_OPTION_CODE:=138

=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Firmware Version eines Forti Access Points herauszufinden? ===

Die Firmware eines Forti Access Points ist über das Mgmt. Web Interface der Fortigate unter "Managed FortiAPs" ersichtlich. Zusätzlich kann Lokal auf dem Forti Access Point nachfolgender Befehl durchgeführt werden um die Firmware Version resp. FortiOS zu verifizieren:

# fap-get-status
Version: FortiAP-220B v4.0,build222,120109 (MR3)
Serial-Number: FAP22B1234567890
BIOS version: 04000010
Regcode: N
Hostname: FAP22B1234567890
Branch point: 222
Release Version Information:MR3

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

[[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]

== Troubleshooting ==

=== Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten? ===

Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Wireless Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:

• Als Erstes führe Tests durch mit den Wireless Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher
nicht besetzt oder beeinträchtigt durch "fremde" andere Wireless Infrastrukturen). Nach Möglichkeit ist der 5 Ghz
zu bevorzugen vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch
Interferenzen das Resultat negativ beeinflusst. In diesen Test's sollten vers. Wireless Client's/Workstation benutzt
werden um festzustellen ob das Problem basierend auf einer spezifischen Gruppe von Wireless Client's/Workstation ist.
Ebenfalls sollte für die Wireless Client's/Workstations nur die neusten Wireless Treiber verwendet werden. Ziel ist
es zu versuchen das Problem einzugrenzen auf spezifische Wireless Client's/Workstation oder Bereich wie 5 GHz und
oder 2.4 GHz usw.

• Stelle fest/sicher das der Wireless Client/Workstation mit der max. Rate verbunden ist:

130Mbps für 2Ghz 2x2
300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)

• Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:

http://www.metageek.net/support/downloads (inSSIDer für Windows / Mac / Android)
http://www.nirsoft.net/network_tools.html (WifiInfoView für Windows)
http://www.ekahau.com/products/heatmapper/overview.html (HeatMapper für Windows XP / Windows Vista / Windows 7)

• Vergewissere dich, dass zwischen den Forti Access Point, FortiGate Wireless Controller und Server 1000Mbit benutzt wird. Sofern
nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.

• Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen
auf den CPU und/oder Memory herauszufinden/zu Monitoren:

# get sys perf status
# diagnose sys top

• Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete
"aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete
verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr
aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).

• Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)

[[Datei:Jperf-how-to.pdf]]

• Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol
ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:

http://en.wikipedia.org/wiki/CCMP

CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.

• Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):

[[Datei:Fortinet-332.jpg]]

• Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.

• Ueberprüfe ob zuviele Broadcast sowie Multicast über das Wireless Netz gelangen/transportiert werden.

• Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. deaktivieren)

• Ueberprüfe ob auf den End Devices der User die neusten Treiber sowie Wireless Software installiert ist und überprüfe deren Datenrate.

=== Wie kann vorgegangen werden wenn auf einem Forti Access Point für Performance Probleme Messungen durchgeführt werden sollen? ===

Um in einem Netzwerk sei es Wireless oder Ethernet Messungen durchzuführen, ist es ratsam eine kleine Client to Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:

http://www.ars.de/ars/ars.nsf/docs/netio

Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab, die danach ausgewertet werden. Ein Scenario wäre zB:

'''Windows Client --> Windows Server'''

Windows Server:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):

C:\netio131>win32-i386.exe -s

Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein
anderer Port definiert werden.

Windows Client:
Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):

C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]

Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls
angegeben werden mit -b. Weitere Optionen sind:

Usage: netio [options] [<server>]

-s run server side of benchmark (o
-b <size>[k] use this block size (otherwise
-B -K -M -G force number formatting to Byte

-t use TCP protocol for benchmark
-u use UDP protocol for benchmark
-h <addr> bind TCP and UDP servers to thi
(default is to bind to all loca
-p <port> bind TCP and UDP servers to thi

<server> If the client side of the bench
a server name or address is req

The server side can run either TCP (-t) or UDP
(default, if neither -t or -u is specified). Th
these protocols only (must specify -t or -u).

'''Windows Client --> Linux Server'''

Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:

#./linux-i386 -s

NETIO - Network Throughput Benchmark, Version 1.30
(C) 1997-2008 Kai Uwe Rommel

UDP server listening.
TCP server listening.
TCP connection established ...
Receiving from client, packet size 1k ... 1364.51 KByte/s
Sending to client, packet size 1k ... 803.63 KByte/s
Receiving from client, packet size 2k ... 1473.31 KByte/s
Sending to client, packet size 2k ... 645.55 KByte/s
Receiving from client, packet size 4k ... 1452.13 KByte/s
Sending to client, packet size 4k ... 640.69 KByte/s
Receiving from client, packet size 8k ... 1120.63 KByte/s
Sending to client, packet size 8k ... 716.57 KByte/s
Receiving from client, packet size 16k ... 1506.04 KByte/s
Sending to client, packet size 16k ... 658.24 KByte/s
Receiving from client, packet size 32k ... 1433.88 KByte/s
Sending to client, packet size 32k ... 855.72 KByte/s
Done.
TCP server listening.

C:\netio131>win32-i386.exe -t [Linux Server / IP]

NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel

TCP connection established.
Packet size 1k bytes: 1381.22 KByte/s Tx, 780.68 KByte/s Rx.
Packet size 2k bytes: 1486.13 KByte/s Tx, 567.92 KByte/s Rx.
Packet size 4k bytes: 1466.74 KByte/s Tx, 612.15 KByte/s Rx.
Packet size 8k bytes: 1129.70 KByte/s Tx, 702.39 KByte/s Rx.
Packet size 16k bytes: 1541.18 KByte/s Tx, 617.14 KByte/s Rx.
Packet size 32k bytes: 1472.19 KByte/s Tx, 796.44 KByte/s Rx.
Done.
=== Was muss ich in Zusammenhang mit meinem WLAN beachten, wenn ich die FortiGate auf 6.4.2 uprade? ===
[[File:FortiOS64.png|50px|link=]] 
Wir haben von Partnern Rückmeldungen erhalten, dass nach dem updaten der FortiGate, welche als WLAN-Kontroller funktionieren, die CPU-Auslastung auf der FortiGate immens hoch wird ( <90% )
Wenn der CLI-Befehl ''diagnose sys top'' ausgeführt wird um die CPU Auslastung auf der FortiGate anzuzeigen, kann man erkennen dass der Prozess '''cwWtpd''' über 90% der Ressourcen nutzt.

[[File:Fortinet-2821.jpg|800px|link=]]

'''Workaround:''' 
Man kann auf der FortiGate für die AP den Spectrum-SCAN bis zum nächsten Reboot oder die nächste Rekonfiguration mit folgendem Befehl deaktivieren:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre>
diagnose wireless-controller wlac spectral-scan [SERIENUMMER_FAP] [RADIO] disable
</pre>
----
'''Beispiel:'''
<pre>
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 0 disable
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 1 disable
</pre>
|}

[[File:Fortinet-2822.jpg|750px|link=]]

----
''Vielen Dank an Stefan von UCC Pro''