FortiAP:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
(664 dazwischenliegende Versionen von 7 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
FortiAP:FAQ
FortiAP:FAQ
 
[[File:FAQ-FortiAP.png|150px|link=]]
[[Category:Fortinet]]
[[Category:Fortinet]]


Zeile 7: Zeile 7:
== Vorwort ==
== Vorwort ==


Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x.
Diese FAQ's sind für FortiAP Systeme basierend auf OS 6.4 sowie 7.x. Die FortiAPs werden über die FortiGate Controller Funktion konfiguriert.
<br/>
<br/>


Zeile 36: Zeile 36:
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:


        [[Fortinet:ProduktInfo]]
* [[Fortinet:ProduktInfo#Fortinet_Wireless_Produkt-Matrix]]
* [[Fortinet:ProduktInfo#Wireless]]


Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:


        http://community.fortinet.com/
* https://community.fortinet.com/
----
<small>edit 20.03.2024 - 4Tinu</small>
 
===Wo finde ich die Administrations Guides für den FortiAP ? ===
 
* [[Datei:FortiAP-AdminGuide-70.pdf]] [[File:FortiOS_70.svg|20px|link=]] <small>7.0.4</small>
* [[Datei:FortiAP-AdminGuide-72.pdf]] [[File:FortiOS_72.svg|20px|link=]] <small>7.2.5</small>
* [[Datei:FortiAP-AdminGuide-74.pdf]] [[File:FortiOS_74.svg|20px|link=]] <small>7.4.4</small>
* [[Datei:FortiAP-AdminGuide-76.pdf]] [[File:FortiOS_76.svg|20px|link=]] <small>7.6.0</small>
----
<small>edit 18.10.2024 - 4Tinu</small>
 
=== Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind? ===
 
* https://community.fortinet.com/t5/FortiAP/tkb-p/TKB3


Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:
== Firmware ==
=== Wo finde ich die Release Notes für die Version 7.0? ===
[[File:FortiOS_70.svg|35px|link=]]


        http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)
''FortiAP Release Notes''
* [[Datei:FortiAP-ReleaseNote-7.0.0.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.1.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.2.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.3.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.4.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.5.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.6.pdf]]
* [[Datei:FortiAP-ReleaseNote-7.0.7.pdf]]
----
''FortiAP 2W - Release Notes''
* [[Datei:FortiAP-2W-ReleaseNote-7.0.0.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.1.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.2.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.3.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.4.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.5.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.6.pdf]]
* [[Datei:FortiAP-2W-ReleaseNote-7.0.7.pdf]]
----
<small>edit 21.03.2024 - 4Tinu</small>


        '''FortiOS 4 MR3'''
=== Wo finde ich die Release Notes für die Version 7.2? ===
        [[Datei:fortigate-wireless-40-mr3.pdf]]                                         (FortiOS Handbook v3 for FortiOS 4.0 MR3 "Deploying Wireless Networks")
[[File:FortiOS_72.svg|35px|link=]] <br>
       
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.2.x aufgelistet.
        [[Datei:FortiOS_4MR3_Wireless_Controller_Overview_v4.pdf]]                     (FortiOS 4.0 MR3 Wireless Controller Overview)
* [[Datei:FortiAP-ReleaseNotes-7.2.0.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.2.1.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.2.2.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.2.3.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.2.4.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.2.5.pdf]]
Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:
* https://docs.fortinet.com/document/fortiap/7.2.0/fortiap-release-notes/
----
* [[Datei:FortiAP-2W-ReleaseNotes-7.2.0.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.2.1.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.2.2.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.2.3.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.2.4.pdf]]
Die Aktuellen Release Notes für die FortiAP-2W, können jeweils unter folgendem Link heruntergeladen werden:
* https://docs.fortinet.com/document/fortiap/7.2.2/fortiap-w2-release-notes/739095/introduction
----
<small>edit 03.05.2024 - 4Tinu</small>
 
=== Wo finde ich die Release Notes für die Version 7.4? ===
[[File:FortiOS_74.svg|35px|link=]] <br>
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.4.x aufgelistet.
* [[Datei:FortiAP-ReleaseNotes-7.4.0.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.4.1.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.4.2.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.4.3.pdf]]
* [[Datei:FortiAP-ReleaseNotes-7.4.4.pdf]]
Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:
* https://docs.fortinet.com/product/fortiap/7.4
----
* [[Datei:FortiAP-2W-ReleaseNotes-7.4.0.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.4.1.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.4.2.pdf]]
* [[Datei:FortiAP-2W-ReleaseNotes-7.4.3.pdf]]
Die Aktuellen Release Notes für die FortiAP-2W, können jeweils unter folgendem Link heruntergeladen werden:
* https://docs.fortinet.com/product/fortiap/7.4
----
<small>edit 18.10.2024 - 4Tinu</small>
 
=== Wo finde ich die Release Notes für die Version 7.6? ===
[[File:FortiOS_76.svg|35px|link=]] <br>
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.6.x aufgelistet.
* [[Datei:FortiAP-ReleaseNotes-7.6.0.pdf]]
 
Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:
* https://docs.fortinet.com/product/fortiap/7.6
 
----
<small>add 19.08.2024 - 4Tinu</small>
 
=== Von welcher FortiAP Version kann ich auf die Version 7.0 upgraden (Upgradepfad)? ===
[[File:FortiOS_70.svg|35px|link=]] <br>
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.2


        '''FortiOS 5.0'''
'''Upgrade Pfad für FortiAP auf die Version 7.0.7'''  
        [[Datei:fortigate-wireless-50.pdf]]                                            (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.0)
[[Datei:upgradePath-FortiAP-70.jpg|750px|link=https://docs.fortinet.com/document/fortiap/7.0.7/supported-upgrade-paths/109896]]
       
'''Upgrade Pfad für FortiAP-W2 auf die Version 7.0.7'''
        [[Datei:wirless-technical-training-FOS-5.0-update-v2.pptx]]                     (FortiOS 5.0 "Wireless Technical Training")
[[Datei:upgradePath-FortiAP2W-70.jpg|750px|link=https://docs.fortinet.com/document/fortiap/7.0.7/supported-upgrade-paths/109896]]
        [[Datei:FortiAP_Technical_FAQ_-_January_2014.pdf]]                              (FortiAP Technical FAQ)
Den Upgradepfad ist auch in diesem Dokument zu entnehmen:
        [[Datei:Fortinet Secure WLAN FAQ.pdf]]                                         (Secure Wireless LAN (WLAN) Solution)
* [[Datei:FortiAP-UpgradePath-70.pdf]] <small> 7.0.0 - 7.0.7</small>
        [[Datei:Secure WLAN Sales Presentation_R1.pptx]]                                (The Fortinet Secure WLAN Presentation)
----
        [[Datei:Securing Wireless Networks for PCI.pdf]]                               (Securing Wireless Networks for PCI Compliance)
<small>add 17.10.2023 - 4Tinu</small>
        [[Datei:extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf]]  (Extending the range of a wireless network byusing mesh topology)


        '''FortiOS 5.2'''
=== Von welcher FortiAP Version kann ich auf die Version 7.2 upgraden (Upgradepfad)? ===
        [[Datei:fortigate-wireless-52.pdf]]                                             (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.2)
[[File:FortiOS_72.svg|35px|link=]] <br>
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.2


=== Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind? ===
'''Upgrade Pfad für FortiAP auf die Version 7.2.5'''
[[Datei:upgradePath-FortiAP-72.jpg|750px|link=https://docs.fortinet.com/document/fortiap/7.2.5/supported-upgrade-paths/109896]]
'''Upgrade Pfad für FortiAP-W2 auf die Version 7.2.4'''
[[Datei:upgradePath-FortiAP2W-72.jpg|750px|link=https://docs.fortinet.com/document/fortiap/7.2.4/supported-upgrade-paths/109896]]


        http://pub.kb.fortinet.com/index/
Den Upgradepfad ist auch in diesem Dokument zu entnehmen:
* [[Datei:FortiAP-UpgradePath-72.pdf]] <small> 7.2.0 / 7.2.1 / 7.2.2 / 7.2.4 / 7.2.5</small>
----
<small>edit 03.05.2024 - 4Tinu</small>


== Hardware ==
=== Von welcher FortiAP Version kann ich auf die Version 7.4 upgraden (Upgradepfad)? ===
[[File:FortiOS_74.svg|35px|link=]] <br>
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.4
[[Datei:upgradePath-FortiAP74.jpg|750px|link=https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/0c84aa20-a117-11ee-8673-fa163e15d75b/FortiAP-7.4.2-
Supported_Upgrade_Paths.pdf]]
[[Datei:upgradePath-FortiAP74-2.jpg|750px|link=https://docs.fortinet.com/document/fortiap/7.4.4/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-version-7-4-4]]
<!--
*[[Datei:upgradePath-FortiAP74.jpg]]
*[[Datei:upgradePath-FortiAP74-2.jpg]]
-->


=== Wo finde ich eine Uebersicht über die FortiAP Produkte? ===
Den Upgradepfad ist auch in diesem Dokument zu entnehmen:
* [[Datei:FortiAP-UpgradePath-74.pdf]] <small>7.4.3 </small>
----
<small>edit 18.10.2024 - 4Tinu</small>


Die beste Uerbsicht der FortiAP Produkte bietet die folgenden Dokumente/Links:
=== Von welcher FortiAP Version kann ich auf die Version 7.6 upgraden (Upgradepfad)? ===
[[File:FortiOS_76.svg|35px|link=]] <br>


        [[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]]
Den Upgradepfad um einen FortiAP auf das OS 7.6.0 upzugraden findest du in diesem Dokument:
        [[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]]
* [[Datei:FortiAP-UpgradePath-76.pdf]] <small>7.6.0 </small>
----
<small>add 19.08.2024 - 4Tinu</small>


Desweiteren hat Fortinet eine Wireless Brochure Relased die einen grobe Uebersicht bietet:
=== Welche FortiAP Modelle sind vom FortiOS 7.2.x unterstützt?===
       
[[File:FortiOS_72.svg|35px|link=]] <br>
        [[Datei:Wireless_Brochure.pdf]] (Unified Access LayerArchitecture)
Folgende '''FortiAP''' Unterstützen das FortiOS 7.2:<br>
'''<small>Wifi 6 Modelle:</small>'''
* FAP-231F
* FAP 234F
* FAP-23JF
* FAP-431F
* FAP-432F
* FAP-433F
* FAP-831F
'''<small>Wifi 6E Modelle:</small>'''
* FAP-231G <small>--> Build 4789 und 5072</small>
* FAP 233G <small>--> Build 4789 und 5072</small>
* FAP-431G <small>--> Build 4789 und 5072</small>
* FAP-433G <small>--> Build 4789 und 5072</small>


=== Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?  ===
Folgende '''FortiAP-2W''' Unterstützen das FortiOS 7.2:<br>
* FAP-221E
* FAP-222E
* FAP-223E
* FAP-224E
* FAP-231E
----
<small>edit {{REVISIONDAY}}.{{REVISIONMONTH}}.{{REVISIONYEAR}} - 4Tinu</small>


Das Consolen Kabel das für ein FortiAP Consolen Anschluss verwendet wird -sofern vorhanden- ist identisch mit dem Consolen Kabel das für eine Fortigate verwendet wird. Weitere Informationen siehe nachfolgender Artikel
=== Welche FortiAP Modelle sind vom FortiOS 7.4.x unterstützt?===
[[File:FortiOS_74.svg|35px|link=]] <br>
Folgende FortiAP Unterstützen das FortiOS 7.4.3:<br>
'''Wifi 5 Modelle:'''
* [[Fortinet:ProduktInfo#FortiAP_221E|FAP-221E]]
* [[Fortinet:ProduktInfo#FortiAP_222E|FAP-222E]]
* [[Fortinet:ProduktInfo#FortiAP_223E|FAP-223E]]
* [[Fortinet:ProduktInfo#FortiAP_224E|FAP-224E]]
* [[Fortinet:ProduktInfo#FortiAP_231E|FAP-231E]]


        [[Fortigate:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F]]
'''Wifi 6 Modelle:'''
* [[Fortinet:ProduktInfo#FortiAP_231F|FAP-231F]]
* [[Fortinet:ProduktInfo#FortiAP_234F|FAP 234F]]
* [[Fortinet:ProduktInfo#FortiAP_C24JF|FAP-23JF]]
* [[Fortinet:ProduktInfo#FortiAP_431F|FAP-431F]]
* [[Fortinet:ProduktInfo#FortiAP_432F|FAP-432F]]
* [[Fortinet:ProduktInfo#FortiAP_4312FR|FAP-432FR]]
* [[Fortinet:ProduktInfo#FortiAP_433F|FAP-433F]]
* [[Fortinet:ProduktInfo#FortiAP_831F|FAP-831F]]
'''Wifi 6E Modelle:'''
* [[Fortinet:ProduktInfo#FortiAP_231G|FAP-231G]]
* [[Fortinet:ProduktInfo#FortiAP_233G|FAP 233G]]
* [[Fortinet:ProduktInfo#FortiAP_234G|FAP-234G]]
* [[Fortinet:ProduktInfo#FortiAP_431G|FAP-431G]]
* [[Fortinet:ProduktInfo#FortiAP_433G|FAP-433G]]
'''Wifi 7 Modelle:'''
* [[Fortinet:ProduktInfo#FortiAP_441K|FAP-441K]] <small>Build 6405</small>
* [[Fortinet:ProduktInfo#FortiAP_443K|FAP 443K]] <small>Build 6405</small>
----
<small>edit 19.08.2024 - 4Tinu</small>


=== Verfügen alle FortiGate Devices über einen Wireless Controller? ===
=== Welche FortiAP Modelle sind vom FortiOS 7.6.x unterstützt?===
[[File:FortiOS_76.svg|35px|link=]] <br>
Folgende FortiAP Unterstützen das FortiOS 7.6.0:<br>
'''Wifi 6 Modelle:'''
* [[Fortinet:ProduktInfo#FortiAP_231F|FAP-231F]]
* [[Fortinet:ProduktInfo#FortiAP_234F|FAP 234F]]
* [[Fortinet:ProduktInfo#FortiAP_C24JF|FAP-23JF]]
* [[Fortinet:ProduktInfo#FortiAP_431F|FAP-431F]]
* [[Fortinet:ProduktInfo#FortiAP_432F|FAP-432F]]
* [[Fortinet:ProduktInfo#FortiAP_4312FR|FAP-432FR]]
* [[Fortinet:ProduktInfo#FortiAP_433F|FAP-433F]]
* [[Fortinet:ProduktInfo#FortiAP_831F|FAP-831F]]
'''Wifi 6E Modelle:'''
* [[Fortinet:ProduktInfo#FortiAP_231G|FAP-231G]]
* [[Fortinet:ProduktInfo#FortiAP_233G|FAP 233G]]
* [[Fortinet:ProduktInfo#FortiAP_234G|FAP-234G]]
* [[Fortinet:ProduktInfo#FortiAP_431G|FAP-431G]]
* [[Fortinet:ProduktInfo#FortiAP_433G|FAP-433G]]
----
<small>add 19.08.2024 - 4Tinu</small>


Grundsätzlich verfügen alle FortiGate Geräte über einen Wireless Controller mit Aussnahme von:
=== Welche FortiAP OS Version verwende ich mit welchem FortiOS? ===
[[Datei:FortiOS_6x.svg||35px|link=]] [[Datei:FortiOS_7x.svg||35px|link=]]


        FortiGate 20C
Fortinet empfiehlt die FortiAP-Firmware-Version mit der entsprechenden FortiOS-Version abzustimmen, sofern diese Verfügbar ist. Andere Varianten von FortiOS- und FortiAP-Versionen können technisch gesehen für den niedrigsten gemeinsamen Funktionssatz funktionieren. Sollten jedoch Probleme auftreten, wird der Fortinet-Support darum bitten, die Versionen wie empfohlen abzugleichen, bevor eine Fehlerbehebung erfolgt.
        FortiGate 30D
       
        '''NOTE''' Ab FortiOS 5.0.6 / 5.2 wurde der 30D die Möglichkeit gegeben den Wirless Controller zu verwenden.
            Ebenfalls kann die 30D ab dieser Version 2 FortiAP's managen! Weitere Informationen betreffend der
            Verwendung einer 30D siehe nachfolgender Artikel:
           
            [[Fortigate:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_beim_Betrieb_einer_FortiGate_30D.3F]]


Diese FortiGate's die über einen Wireless Controller verfügen können für eine bestimmte Anzahl FortiAP's benützt werden. Folgender Artikel gibt Auskunft über die Anzahl FortiAP's die mit einem entsprechenden FortiGate Devices konfiguriert werden können sowie was zu berücksichtigen ist:
Die fogenden Modelle unterstützen keine strong chiphers. Damit die Verbindung mit der FortiGate funktioniert muss auf der FortiGate folgendes Kommando konfiguriert werden:
* FAP-C24JE
* FAP-221C
* FAP-320C
* FAP-321C


        [[FortiAP:FAQ#Wieviele_FortiAP_k.C3.B6nnen_.C3.BCber_eine_FortiGate_konfiguriert_werden.3F]]
{| class="wikitable" style="width:850px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
Für das '''FortiOS 7.0.0:'''
<pre style="background-color:#252269;color: #FFFFFF">
config system global
set ssl-static-key-ciphers enable
set strong-crypto disable
end
</pre>
Ab dem '''FortiOS 7.0.1:'''
<pre style="background-color:#252269;color: #FFFFFF">
config wireless-controller global
set tunnel-mode compatible
end
</pre>
|}
In den folgenden Dokumenten findest du die FortiAP und FortiOS Kompatibilitäts Matrixen. In diesen Matrixen wird beschrieben, welches FortiOS der FortiGate mit welchem FortiOS auf den APs funktionieren. Diese Liste immer vor einem Upgrade der FortiGate hinzuziehen, damit es keine Überraschungen gibt.
{| class="wikitable" style="width:850px"
|-
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span>
| style="background-color: #A9C5F9"|
'''FortiOS 7.x''' [[Datei:FortiOS_7x.svg||20px|link=]]
[[Datei:FortiAP-FortiOS-7.x-FirmwareCompatibilityMatrix.pdf]]
[https://docs.fortinet.com/document/fortiap/7.6.0/fortiap-and-fortios-compatibility-matrix/495193/fortiap-and-fortios-7-x-compatibility-matrix |Link zu den Docs]
'''FortiOS 6.x''' [[Datei:FortiOS_6x.svg||20px|link=]]
[[Datei:FortiAP-FortiOS-6.x-FirmwareCompatibilityMatrix.pdf]]
[https://docs.fortinet.com/document/fortiap/6.4.0/fortiap-and-fortios-compatibility-matrix/495193/fortiap-and-fortios-6-x-compatibility-matrix |Link zu den Docs]
|}
----
<small>edit 19.08.2024 - 4Tinu</small>


=== Wieso kann ein FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten? ===
== Design ==
=== Auf was muss ich beim Aufbau eines WLAN Netzes achten? ===


Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:
Bereit, die Geheimnisse der drahtlosen Welt zu ergründen? Wir zeigen dir heute einige Regeln für die Einrichtung von WLAN-Netzwerken,
damit du in dieser technischen Achterbahnfahrt den Durchblick behältst.


        [[FortiAP:FAQ#Was_ist_mit_802.11AC_MU-MiMo_gemeint.3F]])
'''Schritt 1: Die passive Standortuntersuchung:'''


In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:
Okay, du willst also ein drahtloses Netzwerk aufbauen.
Aber halt! Bevor du loslegst, müssen wir sicherstellen, dass deine Access Points an den richtigen Orten stehen.
Stell dir vor, du bist ein WLAN-Detektiv auf der Suche nach dem perfekten Versteck. Du sammelst Infos über andere Access Points, ihre Signalstärke, SNR und ob sie Störsignale aussenden.  
Mit einer speziellen Spektrumanalyse enttarntst du die Übeltäter – Wi-Fi-Störungen haben keine Chance!


        # cw_diag -c radio-cfg
'''Schritt 2: Die aktive Standortuntersuchung:'''
       
 
        Radio 0: AP
Jetzt geht's ans Eingemachte! Dein drahtloses Netzwerk ist live, aber die Dinge können sich ändern.
          country        : cfg=CH oper=CH
Möbel werden verschoben, Wände werden gebaut, und dein Netzwerk verändert sich. Du musst es während und nach den Geschäftszeiten überwachen,
          radio type    : 11N_2.4G
um sicherzustellen, dass alles rund läuft. Manchmal musst du vielleicht ein paar FortiAPs verschieben oder sogar neue in die Schlacht werfen!
          beacon intv    : 100
 
          tx power      : 15
'''Schritt 3: Die prädiktive Standortbestimmung:'''
          HT param      : '''mcs=23 gi=disabled bw=20MHz'''
 
          ack timeout    : 64
Jetzt wird es richtig magisch! Wir tauchen ein in die Welt der WLAN-Zauberei.
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
Mit speziellen Tools simulierst du die Ausbreitung von WLAN-Signalen in deinem Raum.
          r_ac chan      : num=6 age=25011
Du lädst Karten mit Wänden, Möbeln und Decken, als wärst du ein digitaler Innenarchitekt.
          channel        : num=6
Das Ergebnis? Eine magische Vorhersage, wie viele Access Points du brauchst und wo sie stehen sollten.
          oper_chan      : 6
Aber merk dir: Das ist keine 100%ige Prophezeiung. Manchmal gibt es geheime Wi-Fi-Interferenzen, die die Zukunft beeinflussen.
          r_ac md_cap    : 2, 6, 10,  
Du bist jetzt bereit, die Welt der WLAN-Einrichtung zu erobern! Schnapp dir deinen FortiAP und mach dich bereit für ein technisches Abenteuer!
          r_ac chan list : 2, 6, 10,  
 
                chan list : 2, 6, 10,
Folgende Fragen und Punkte helfen dir sicher weiter für ein optimales WLAN Netzwerk:
          hw_chan list  : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,  
 
                            56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,  
* Wie viele Nutzer werden das 2,4-GHz-Band verwenden?
          nol list      :  
* Wie viele Benutzer werden das 5-GHz-Band verwenden?
          ap scan        : background regular scan,  
* Kann ich das 2,4-GHz-Band deaktivieren, um Leistungseinbussen zu vermeiden?
          ap scan period : 600s
* Prüfen wir die Anforderungen, die unsere Anwendung bei der Verwendung einer Wi-Fi-Verbindung erfüllen muss, z.B. Sprache, Video, RTLS und Daten.
          ap scan intv  : 1s
* Welche Art von Client-Geräten haben wir in unserer Umgebung?
          ap scan dur    : 20ms
* Lass uns mindestens 3 SSIDs beibehalten, um eine Überlastung der Verwaltungsrahmen zu vermeiden.
          ap scan idle  : 0ms
* Die von unseren Geräten unterstützten Datenübertragungsraten können variieren, da wir uns nach der schwächsten Wireless-Karte des Benutzers richten.
          ap scan rpt tmr: 30s
* Lass uns ein sekundäres FortiAP mit der gleichen Abdeckung wie das primäre FortiAP validieren; das ist eine gute Backup-Methode für Anwendungen wie Sprache und Video.
          sta scan      : enabled
* Wir sollten den RSSI (Receive Signal Strength Indicator) von -65 dBm oder -67 dBm mit einem eigenen SNR von 25-30 dBm für Sprachanwendungen im Auge behalten, um die Sendezeit pro Benutzer zu minimieren und höhere Datenraten zu erzielen.
          arrp          : enabled --info only
* Beachten wir, dass einige spezielle Wireless-Karten unterschiedliche Funktionen wie Kanäle, Authentifizierungs- und Verschlüsselungsmethoden und Empfangsempfindlichkeit aufweisen.
          spect analysis : disabled
* Lass uns das drahtlose Netzwerk für zukünftiges Wachstum entwerfen. Die aktuelle Anforderung beträgt vielleicht 50 Clients, aber wir sollten mögliche Unterbrechungen im Netzwerk und mehrere Wartungsfenster vermeiden.
          wids          : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
* Schauen wir, wie wir Sendezeit sparen können, wenn eine Anwendung verwendet wird, unter Berücksichtigung des verwendeten Bands, der Geräteleistung und der Kanalbreite. Geräte, die mit höheren Geschwindigkeiten übertragen, können das Medium freigeben und anderen Geräten ermöglichen, so schnell wie möglich mit der Übertragung zu beginnen.
                long-dur-thresh: 8200
* Nutzen wir eine Kanalbreite von 20 MHz, um Interferenzen in dicht besiedelten Umgebungen zu vermeiden, im Vergleich zu 40 oder 80 MHz.
                    auth-flood: time=10, thresh=30
* Versuchen wir, niedrigere Datenraten wie 802.11b zu isolieren, um eine geringe Leistung im drahtlosen Netzwerk zu vermeiden.
                    assoc-flood: time=10, thresh=30
* Manchmal benötigen wir möglicherweise mehr FortiAPs, wenn unser Unternehmen wächst und der Datenverkehr zunimmt. Bevor wir jedoch weitere FortiAPs hinzufügen, sollten wir Faktoren wie CCI, Sendeleistung, Datenraten und Frequenzbänder berücksichtigen.
        Radio 1: AP
* Überprüfen wir die Gebäudestruktur und berücksichtigen wir die Dämpfungsfaktoren auf den verschiedenen Etagen.
          country        : cfg=CH oper=CH
* Stellen wir sicher, dass wir die richtigen Regelungsbereiche und Kanäle verwenden.
          radio type    : 11AC
* Denken wir daran, dass ein Design für die Kapazität und ein anderes für die Abdeckung nicht dasselbe ist.
          beacon intv    : 100
* Berücksichtigen wir einige Dämpfungsfaktoren aus der folgenden Tabelle:
          tx power      : 31
{| class="wikitable" style="width:850px"
          VHT param      : '''mcs=9 gi=disabled bw=80MHz'''
|- style="background:#89E871"
          ack timeout    : 25
| '''Material'''
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
| '''Dämpfung bei 2,4 GHz'''
          r_ac chan      : num=0 age=68299
| '''Dämpfung bei 5 GHz'''
          channel        : num=0
|-
          oper_chan      : 36
| Glas/Fenster
          r_ac md_cap    : 36, 40, 44, 48,  
| 2-3 dB
          r_ac chan list : 36, 40, 44, 48,  
| 6-8 dB
                chan list : 36, 40, 44, 48,  
|-
          hw_chan list  : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,  
| Stoff, Jalousien, Deckenplatten
                            128, 132, 136, 140,
| 1 dB
          nol list      :  
| 1,5 dB
          ap scan        : disabled,  
|-
          sta scan      : disabled
| Kabinenwand
          arrp          : disabled --info only
| 2-5 dB
          spect analysis : disabled
| 4-9 dB
          wids          : disabled
|-
| Trockenbauwände innen
| 3-4 dB
| 3-5 dB
|-
| Stahl-/Fluchttür
| 13-19 dB
| 25-32 dB
|-
| Holztür (hohl - massiv)
| 3-4 dB
| 6-7 dB
|-
| Beschichtetes Doppelscheibenglas
| 13 dB
| 20 dB
|-
| Ziegel-/Betonwand
| 6-18 dB
| 10-30 dB
|-
|}
 
Zusammen gefasst können wir folgendes über ein WLAN Netz schreiben: Das WLAN ist nicht wie das Verlegen von Kabeln – es ist eine ganz eigene Herausforderung. Und weisst du was? Die Arbeit hört nach der Einrichtung nicht auf. Es ist ein ständiger Prozess, denn unser Netzwerk braucht Pflege, wie eine Pflanze Wasser.
Wir müssen regelmässig nachschauen, ob alles in Ordnung ist. Glaub mir, du willst keine Abdeckungsprobleme haben. Stell dir vor, du verlierst deine WLAN-Verbindung, wenn du dich nur einen Schritt zu weit bewegst – das wollen wir nicht! Und dann sind da noch die Kapazitätsprobleme. Wenn zu viele Leute gleichzeitig im Netzwerk unterwegs sind, kann es ziemlich chaotisch werden.
Und last but not least: Sicherheit. Das ist ein Dauerbrenner. Wir müssen unser Netzwerk ständig auf Bedrohungen überprüfen, wie ein digitaler Superheld, der die Bösewichte in Schach hält.
 
Letztendlich ist der Aufbau eines drahtlosen Netzes nicht dasselbe wie der eines kabelgebundenen Netzes,
es ist eine andere Herausforderung, und nach der Einrichtung geht die Arbeit weiter, denn es muss ständig
gewartet werden. Es muss regelmässig überprüft werden, um Abdeckungsprobleme, Kapazitätsprobleme und Sicherheitsbedrohungen zu vermeiden.
----
<small>add 10.10.2023 - 4Tinu</small>
<!-- Referenz: https://community.fortinet.com/t5/FortiAP/Technical-Tip-RF-Design-for-Wireless-networks/ta-p/278122 -->
=== Was ist der Unterschied zwischen dem Bridge-Modus und dem Tunnel-Modus?===
Heute machen wir eine kleine Reise durch die Welt der Netzwerkmodi! Ich stelle euch den Bridge- und den Tunnel-Modus vor und wir schauen uns an,
was sie draufhaben - die coolen Eigenschaften und die kleinen Eigenheiten, die sie mitbringen
 
<Big>'''Bridge Modus'''</big><br>
''So funktioniert es: ''
 
Im Bridge-Modus agiert die SSID wie eine technologische Brücke zwischen den drahtlosen und verkabelten Netzwerken.
Diese intelligente Verbindung ermöglicht es drahtlosen Geräten, nahtlos an demselben Netzwerk teilzunehmen, zu dem auch kabelgebundene
Geräte gehören.
 
''Was funktioniert:''
* Alle Geräte, ob verkabelt oder drahtlos, befinden sich im gleichen heimeligen Netzwerk.
* Die Geräte können miteinander plaudern, als würden sie sich auf einer Cocktailparty treffen.
* Diese Methode ist ideal für einfache Netzwerkstrukturaufgaben, bei denen die Dinge flach und unkompliziert sein sollen.
 
''Was nicht funktioniert: ''
* Der drahtlose Datenverkehr muss immer noch seinen Weg durch den Router des lokalen Netzwerks finden.
* Du hast nur eingeschränkte Kontrolle über den drahtlosen Datenverkehr, was wie wildes Tanzen auf einer Party sein kann - manchmal macht es Spaß, aber es kann auch chaotisch werden.
* Wenn dein Netzwerk so groß und komplex ist wie eine Gala, ist der Bridge-Modus nicht die beste Wahl.
* Beim Debuggen von Clients auf dem FortiGate (Verwenden von 'diagnose wireless-controller wlac sta_filter <mac> 255') zeigt die Ausgabe nur den Authentifizierungsprozess an, während die DHCP-Nachrichten ein bisschen schüchtern bleiben.
 
''Leistung:''
* In kleinen Netzwerken fühlt sich der Bridge-Modus wie ein gemütliches Zuhause an, aber wenn die Gästeliste wächst, könnte es zu einer unangenehmen Überlastung kommen.
 
Jetzt, wo wir den Bridge-Modus ausgelotet haben, werfen wir einen Blick auf den faszinierenden "Tunnel-Modus":
 
<Big>'''Tunnel Modus'''</big>
 
Wie er funktioniert:  
 
Im Tunnel-Modus erstellt die SSID sozusagen einen geheimen Tunnel, durch den alle drahtlosen Daten flitzen. Dieser Datenstrom wird dann zur zentralen Instanz,  
der FortiGate, gesendet, wo ein neues Interface mit dem Namen der SSID erstellt wird. Dieses Interface verhält sich dann wie ein Superheld, der die Regeln des
FortiGate-VLANs befolgt.
 
''Was funktioniert:''
* Höhere Sicherheit: Die FortiGate überwacht und kontrolliert den gesamten Datenverkehr - so sicher wie ein Banktresor.
* Bessere Isolierung: Drahtlose Geräte werden von den Kabelgebundenen getrennt, als wären sie auf einer einsamen Insel.
* Einfachere Verwaltung: Du kannst den Datenverkehr und die Richtlinien so genau steuern wie ein Dirigent ein Orchester leitet.
* Ideal für riesige, komplexe Netzwerke, bei denen die Dinge so groß sind wie ein Musikfestival.
 
''Was nicht funktioniert:''
* Geräte im drahtlosen Netzwerk können nicht einfach mit ihren Kabelverwandten plaudern, ohne über die Firewall zu gehen - wie VIPs, die durch die VIP-Tür müssen.
 
''Leistung:''
* Im Allgemeinen bietet der Tunnel-Modus für große und sicherheitsbewusste Netzwerke eine Top-Leistung und Top-Sicherheit.


Der eingesetzte MCS Index bestimmt wiederum den max. Durchsatz gemäss unteren Tabelle:
''Empfehlung:''


        '''NOTE''' Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer
* Wenn dein Netzwerk so groß ist wie ein Rockkonzert und strenge Sicherheits- und Verkehrsregeln benötigt, dann ist der Tunnel-Modus die richtige Wahl.  
            Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche
* Wenn du jedoch die Einfachheit bevorzugst und alle Geräte friedlich in derselben Netzwerk-Nachbarschaft leben, kann der Bridge-Modus für kleinere Netzwerke eine Party sein. Aber denke daran, dass er bei zu vielen Gästen vielleicht die Musik leiser drehen muss.
            Umgebungsvariablen 100% stimmen!
----
<small>add 17.10.2023 - 4tinu</small>
=== Wie platziere ich einen Accesspoint optimal? ===


        [[Datei:Fortinet-718.jpg]]
Um eine optimale Leistung zu erreichen, ist es wichtig, einige Grundregeln für die Platzierung von Access Points zu beachten.
Es macht nicht immer Sinn, die Access Points dort zu platzieren, wo sie im Plan des Architekten oder Bauplaners eingezeichnet
sind.


=== Was ist die max. Anzahl User die auf einem FortiAP verbunden werden können? ===
Um einen Access Point optimal zu platzieren, solltest du folgende technische Aspekte beachten:
# '''Vermeidung von Interferenzen:''' Platziere den Access Point fern von anderen Geräten, die im 2,4-GHz- oder 5-GHz-Frequenzband arbeiten, um Interferenzen zu minimieren. Beispiel: Vermeide die Nähe zu Mikrowellenherden oder Bluetooth-Geräten.
# '''Abstand zu Metallstrukturen:''' Halte einen Abstand von mindestens 1,8 Metern zu Metallstrukturen ein, da diese das Abstrahlverhalten beeinträchtigen können. Beispiel: Vermeide die Platzierung in der Nähe von Metallregalen oder großen Metallmöbeln.
# '''Zentrale Positionierung:''' Platziere den Access Point möglichst zentral im Raum, um eine gleichmäßige Abdeckung zu gewährleisten und Signalstörungen durch Wände zu minimieren. Beispiel: Montiere den Access Point an der Decke in der Mitte des Raumes.
# '''Vermeidung von Reflexionen:''' Achte darauf, dass der Access Point nicht in der Nähe von reflektierenden Oberflächen wie Glas oder Spiegeln platziert wird, um Signalreflexionen zu vermeiden. Beispiel: Vermeide die Platzierung in der Nähe von großen Fenstern oder Glastüren.
# '''Höhe der Montage:''' Montiere den Access Point in einer Höhe, die eine optimale Signalabdeckung im gesamten Raum ermöglicht. Beispiel: Montiere den Access Point etwa 2 bis 3 Meter über dem Boden, um eine gute vertikale Abdeckung zu gewährleisten.
# '''Berücksichtigung von Hindernissen:''' Achte darauf, dass der Access Point nicht durch dicke Wände oder andere bauliche Hindernisse blockiert wird, um die Reichweite des Signals nicht zu beeinträchtigen. Beispiel: Vermeide die Platzierung hinter dicken Betonwänden oder großen Möbelstücken.


Nun die FortiAP's unterliegen keinem Limit! Eine Limitation betreffend User kann über die jeweilige SSID im Web Mgmt. Interface über folgende Position konfiguriert werden:
Indem du diese technischen Überlegungen berücksichtigst und den Access Point entsprechend positionierst, kannst du eine optimale WLAN-Abdeckung und -Leistung in deinem Umfeld sicherstellen.


        WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients
Denke auch daran, wie der Endnutzer auf die Access Points zugreifen kann. In öffentlichen Einrichtungen ist es üblich,
dass externe Antennen entfernt werden (Schulen, Hotels usw.). Daher ist es sinnvoll, die Access Points so zu platzieren,
dass sie nicht direkt von Hand ohne grosse Probleme erreicht werden können.


Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen (Quelle: [[Datei:FortiAP Technical FAQ - January 2014.pdf]]):
<big>'''Beispiele von nicht optimal platzierten Accesspoints:'''</big>


        3-- For a direct wire replacement.
{| class="wikitable" style="width:850px"
        8-15 - In high VoIP environment, high performance enterprise, significant video, etc.
|- style="background:#89E871"
        16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
| '''Beispiel 1: '''
        26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
|-  
        >50  - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.
|
[[Datei:Fortinet-0003.png|550px|link=]]
* Stahl und Metall Konstruktionen können die Abstrahlung massiv beeinträchtigen.
* Montage nahe einer Wand beeinträchtig auch die Abstrahlung
* Antennen sollten dahin ausgerichtet sein, wohin man abstrahlen kann. In diesem Beispiel sind sie gegen die Decke gerichtet.  
|- style="background:#89E871"
| '''Beispiel 2: '''
|-  
|
  [[Datei:Fortinet-0004.png|550px|link=]]
* Antennen sollten dahin ausgerichtet sein, wohin das Signal gehen soll.
* Die beste Performance bekommt man, wenn man die Antennen sehen kann.
* Accesspoints in Zwischenböden sind Problematisch. In diesem Beispiel wird sehr viel Signal durch die Metallplatte vernichtet.  
|- style="background:#89E871"
| '''Beispiel 3: '''
|-  
|
[[Datei:Fortinet-0005.png|550px|link=]]
* Accesspoint auf Metallplatten ist nicht optimal.
* Accesspoint sollten nicht zu nahe an vertikalen Wänden montiert werden.
* Metall ist kein Freund von Accesspoints
|-
|}


=== Wieviele FortiAP können über eine FortiGate konfiguriert werden? ===
Kurz zusammengefasst:
Um optimale Leistung zu gewährleisten, beachte grundlegende Regeln für die Platzierung von Access Points. Achte darauf, Metallstrukturen zu meiden, und platziere Access Points idealerweise zentral im Raum, um Signalstörungen zu minimieren.
----
<small>add 15.03.2024 - 4Tinu </small>


Bis FortiOS 5.0.2 gab nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAP's die über eine FortiGate konfiguriert werden konnte:
== Hardware ==


        [[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix |Produkte Matrix]]
=== Welche Forti Access Point Produkte Linien existieren und was sind die Unterschiede? ===


Ab FortiOS 5.0.3 gibt es eine Aenderung dh. die Anzahl der FortiAP's wurden je Device verdoppelt. Dies bedeutet es wird unterschieden zwischen FortiAP die "tunneling" (SSID = Tunnel to Wireless Controller) konfiguriert werden und solche die über ein "local bridging" (SSID = Local bridge with FortiAP's Interface) verfügen (set wtp-mode remote). Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID versieht die auf "local bridging" konfiguriert ist, zählt dieser FortiAP nicht "tunneling" FortiAP'. Dies gilt jedoch "nur" wenn ausschliesslich nur diese SSID auf dem entsprechenden FortiAP benützt wird. Wird auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als lokaler FortiAP. Wenn man einen FortiAP konfiguriert mit einer "local bridging" SSID und dieser deklariert werden soll als "NICHT" "tunneling" FortiAP kann man die entsprechenden Serien Nummer dieses FortiAP auf "set wtp-mode remote" setzen. Dies geschieht folgendermassen:
Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:


         # config wireless-controller wtp
         • Light Forti Access Point
        # edit [Gebe die entsprechende Serial Nummer des FAP an]
         
        # set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
          Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.
        # end
          Diese Access Points müssen zwingen mit einem FortiGate Wireless Controller oder FortiCloud
       
          Wireless Controller betrieben werden. Diese Forti Access Points verfügen über keine UTM 
        '''NOTE''' Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging enable" gesetzt
          Features lokal auf den Forti Access Points sondern die UTM Features werden über die FortiGate
            erscheint folgende Meldung:
          betrieben resp. bereitgestellt und verwaltet.
           
            Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'


Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FAP's sowie "local bridging":
        • Thick Forti Access Point
         
          Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Dies bedeutet:
          FortiGate Devices mit integriertem Radio (2.4 GHz / 5 GHz). Zusätzlich können diese Devices
          (Thick Forti Access Points) mit Light Forti Access Points erweitert werden. Die UTM Features
          werden wie bei den Light Forti Access Points über die FortiGate (FWF) zur Verfügung gestellt
          sowie verwaltet.


         [[Datei:Fortinet-844.jpg]]
         • Smart Forti Access Point
       
         
        '''NOTE''' Die offizielle Information betreffend "tunneling/local bridging" möglichen FAP's auf einer FortiGate
          Smart Forti Access Point verfügen über lokale UTM Features auf den Smart Forti Access Point
            findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:
          (FortiAP-S) und können nur über FortiCloud Wirless Controller verwaltet werden sofern diese
           
          mit UTM Features eingesetzt werden. Werden Smart Forti Access Point resp. FortiAP-S ohne UTM
            [[Fortigate:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]
          Features eingesetzt, können diese auch über einen FortiGate Wireless Controller verwaltet
          werden! Weiter Infos siehe nachfolgender Artikel:
                                 
          [[FortiAP-S:FAQ#Was_ist_unter_einem_.22Forti_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]


Fortinet hat ein Dokument herausgegeben in dem der Umstand dieser Aenderung erklärt wird:
Nachfolgende Kurzübersicht zeigt ebenfalls welcher Forti Access Point über welche Platform eingesetzt werden kann:


         [[Datei:Maximum_Number_of_Managed_FortiAPs_in_FortiOS_5_0_3_FAQ_-_August_2013_v1_r5.pdf]]
         [[Datei:Fortinet-2147.jpg]]


=== Wo finde ich eine Uebersicht ob ein FortiAP mit PowerAdapter geliefert wird oder PoE unterstützt? ===
Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:


FortiAP's werden teilweise mit -jedoch teilweise auch ohne- PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAP's mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter -die für fast alle FortiAP's erhältlich sind- aufgeführt:
        [[Datei:Fortinet-2133.jpg]]


        [[Datei:Fortient-714.jpg]]
=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP Hardware und Produkte? ===


Nachfolgend eine weitere Uebersicht:
Die beste Uerbsicht für FortiAP Produkte bieten die folgenden Dokumente sowie Links:


        [[Datei:Fortient-1079.jpg]]
* [[Fortinet:ProduktInfo#Fortinet_Produkt-Guide]]
* [[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix]]


=== Meine Fortinet Access Points haben nicht die übliche gewohnte MAC Adresse 00:09:0F? ===
Desweiteren hat Fortinet eine Wireless Brochure Released, die eine generelle Uebersicht bietet:
       
        [[Datei:Wireless_Brochure.pdf]] (Unified Access LayerArchitecture)
        [[Datei:FortiOS_Wireless.pdf]]  (FortiOS 5 Wireless LAN Controller)


Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht näheren Gründen werden neu Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann -muss jedoch nicht- zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist/sind. Um diese Probleme zu verhindern ist zu beachten, dass man mind. FortiOS 5.0.3 oder höher auf den Access Points einsetzt da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn Dem nicht Rechnung getragen wird, kann durch den Umstand der neue MAC Adresse im Zusammenhang mit FortiOS 5.0.2 zu Problemen kommen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:
Weitere Informationen betreffend technischem Aufbau eines FortiAP Produktes siehe nachfolgender Artikel:


         [[Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf]]
         [[FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_Forti_Access_Point_Produkts_aus.3F]]


=== Wie kann ich die Switch Port'ss eines FAP 11C/14C/28C benutzen/konfigurieren? ===
Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt:
[[Datei:Fortinet-1362.jpg|750px|link=]]
----
<small>edit 18.12.2023 - 4Tinu</small>


Die FortiAP's 11C, 14C sowie 28C werden mit einem kleinen Switch ausgeliefert! Bis anhin (Stand FortiGate FortiOS 5.0.4 sowie FortiAP FortiOS 5.0.5) waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:
=== Wo finde ich eine Uebersicht über die verschiedenen FortiAP-S Hardware und Produkte? ===


            '''Fuer die LAN Port Konfiguration gelten folgende Restriktionen:'''
Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über einen FortiGate Wireless Controller verwaltet werden können wenn UTM Features auf den "Smart Forti Access Point" resp. "FortiAP-S" eingesetzt werden, sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" (FortiAP-S) nur dann anwendbar wenn diese "ohne" UTM Features betrieben werden. Nur ohne UTM Features können "Smart Forti Access Point" über einen FortiGate Wireless Controller verwaltet und betrieben werden. In so einer Situation sind diese hier gezeigten Konfigurationen anwendbar. Siehe auch folgender Artikel:
           
            • Beim FortiAP-14C können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration!
             
            • Jeder Node/Host der sich über die LAN Ports verbindet gilt als "Authentifiziert"!
             
            • Dynamische V-Lan Konfiguration für Node/Host verbunden über die LAN Ports wird nicht unterstützt. Weitere Informationen dazu siehe nachfolgender Artikel:
             
              [[FortiAP:FAQ#Was_sind_Dynamische_VLAN.27s_und_wie_konfiguriere_ich_diese.3F]]
             
            • RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
             
            • Wenn der/die LAN Port'ss auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden (FortiOS 5.0.6 und FortiAP FortiOS 5.0.7)!


Die LAN Ports können komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden AP-Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:
        [[FortiAP:FAQ#Welche_Forti_Access_Point_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F]]
     
      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
      # end


      '''NOTE''' Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende
Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" (FortiAP-S) siehe nachfolgender Artikel:
            Bedeutung:
           
            offline              Der Port wird komplett deaktiviert!
            bridge-to-wan        Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
            bridge-to-ssid      Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
            nat-to-wan          Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!
           
            '''Bridge to SSID'''
            Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
            Client über die LAN Ports, wird dem Client über den DHCP Server, der für die SSID konfiguriert wurde, eine IP zugewiesen. Der Traffic
            des Clients, der sich am LAN Port verbindet, wird zum Wireless Controller gesendet. Ein "local bridging" ist nicht möglich! WiFi
            Clients die diese SSID benutzen -die für das Bridging der LAN Ports benutzt wurde- sowie die Clients die über den Switch Port verbunden
            sind, können untereinander uneingeschränkt komunizieren. Es findet keine Authentication auf den LAN Ports statt! Die Clients, die über
            die LAN Ports in diesem Modus verbinden, sind über den folgenden Menpunkt ersichtlich:
           
            WiFi Controller > Monitor > Client Monitor
           
            Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen! Auf dem FortiAP steht
            die DTLS Verschlüsselung per Standard auf "Clear Text or DTLS Enabled" dh. der FortiAP bietet beides an. Somit steuert der Wireless
            Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
           
            [[FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F]]
           
            '''Bridge to WAN'''
            Es wird ein "bridge-to-wan" auf das WAN Interface durchgeführt was folgendes bedeutet: Verbindet sich ein Client über die LAN Ports,
            wird dem Client über den DHCP Server sofern dieser existiert- im WAN Segment eine IP zugewiesen. WiFi Clients die über eine SSID auf
            dem FortiAP verbunden sind und Clients die über die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn
            eine entsprechende Firewall Policy auf der FortiGate implementiert wird! Somit wenn dies der Fall ist, wird der Traffic über die FortiGate
            abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!
           
            '''NAT to WAN'''
            Es wird ein "nat-to-wan" auf dem WAN Port durchgeführt dh. die Source des Traffic vom LAN Port wird translated anhand der IP die auf
            dem WAN Port existiert.


Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter folgender Position sofern es sich um ein Profile handelt für eine FAP, der über einen internen Switch verfügt:
        [[FortiAP-S:FAQ]]


      WiFi Controller > WiFi Network > Forti/Custom AP Profiles
=== Verfügen alle FortiGate Devices über einen Wireless Controller für Forti Access Points? ===
     
      [[Datei:Fortinet-964.jpg]]


Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:
Grundsätzlich verfügen alle FortiGate Devices über einen Wireless Controller mit Aussnahme von:


      # config wireless-controller wtp-profile
        FortiGate 20C
      # edit [Name des entsprechenden Profile]
        FortiGate 30D
      # config lan
      # set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port-ssid [Name der gewünschten SSID]
      # set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # end
      # set dtls-policy [ dtls-enabled | clear-text]
      # end


=== Kann ich einen FortiAP für die "Authorization" auf dem Wireless Controller vorbereiten? ===
Ab FortiOS 5.0.6 / 5.2 wurde der FG-30D die Möglichkeit gegeben den FortiGate Wirless Controller zu verwenden. Ebenfalls kann die 30D ab dieser Version 2 FortiAPs managen! Somit ist jeder FortiGate Device limitiert in der Anzahl der FortiAPs die verwaltet resp. konfiguriert werden können. Folgender Artikel gibt Auskunft über die Anzahl FortiAPs die mit einem entsprechenden FortiGate Devices verwaltet/konfiguriert werden können sowie was dabei zu berücksichtigen ist:


Ab FortiOS 5.0.5 ist es möglich einen FortiAP zu Pre-Authentifizieren! Dies bedeutet folgendes: Normalerweise meldet sich ein FortiAP über CAPWAP (UDP 5246) beim Wireless Controller. Danach wird manuell der FortiAP mit "Authorization" Authorisiert. Neu ab FortiOS 5.0.5 / 5.2 ist es möglich diesen Schritt zu automatisieren dh. den FortiAP für eine "Authorization" anhand seiner Serien Nummer so vorzubereiten, dass dieser durch diesen Schritt automatisch Authorisiert wird. Dies wird folgendermassen durchgeführt:
        [[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]


      WiFiw Controller > Managed Access Points > Managed FortiAPs > Create New
=== Wieviele Forti Access Points können über eine FortiGate Wireless Controller konfiguriert werden? ===
     
      [[Datei:Fortinet-967.jpg]]
     
      '''NOTE''' Unter FortiOS 5.2 kann die komplette Konfiguration eines FortiAP durchgeführt werden dh. inkl.
            des entsprechenden WTP Profile!


== FortiCare ==
Ab FortiOS 5.0 gibt nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAPs die über eine FortiGate konfiguriert werden können:


=== Muss ich für die "Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen? ===
        [[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix |Produkte Matrix]]


Nicht in jedem Fall! Die Fortinet hat im März 2014 folgendes Dokument released:
Ab FortiOS 5.0.3 wurde die Anzahl der FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden könnnen erweitert. Dies bedeutet: es wird unterschieden zwischen folgenden Mode:


         [[Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf]]
         • SSID im "tunneling" Mode
        • SSID im "local bridging" Mode


Dieses Dokument besagt folgendes:
Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID konfiguriert auf "local bridging", zählt dieser FortiAP als "remote" (wtp-mode). Dies gilt jedoch nur wenn ausschliesslich nur diese Art einer SSID auf dem entsprechenden FortiAP benützt wird. Werden auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als "normal" (wtp-mode). Somit, wenn man einen FortiAP konfiguriert mit SSID im "local bridging" Mode kann dieser FortiAP explizit als "wtp-mode remote" gesetzt werden. Dies kann auf der CLI durchgeführt werden:


         '''Jeder FortiAP der NACH 1. November 2013 gekauft/registriert wurde (purchased after November'''
         # config wireless-controller wtp
         '''1st 2013) benötigt KEIN FortiCare mehr und hat LifeTime Waranty (Lebenslängliche Garantie).'''
         # edit [Gebe die entsprechende Serial Nummer des FAP an]
         '''LifeTime Waranty bedeutet wiederum 5 Jahre nach EOL (End Of Life Announcement).'''
         # set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
 
        # end
Alle Geräte "vor" dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden.
          
 
Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging" gesetzt, erscheint folgende Meldung:
         '''NOTE''' Was zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im
            Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich NICHT auf:
              
              
            - Firmware Upgrade
        Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'
            - Technischer Support (Ticketing)
              
              
            Um "FIrmware Upgrade's" durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt
Die Produkt Matrix gibt somit Auskunft über die möglichen "normal" Mode sowie "remote" Mode. Die Anzahl der möglichen FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden können wird folgendermassen angegeben in der Produkt Matrix:
            man weiterhin "FortiCare" dh. ohne FortiCare sind Firmware Upgrades nicht abgedeckt sowie können
            keine technischen Support Tickets eröffnet werden!


== Antenna ==
        FG-60D  10/5  (Total/Tunnel)
 
Somit stehet zB für eine FG-60D folgendes zur Verfügung:
 
      • 5 FortiAPs mit SSID im "tunneling" und/oder "local bridging" gemischt! (wtp-mode normal)
      • 5 FortiAPs mit SSID im "local bridging" Mode (wtp-mode remote)
     
      = 10 Total möglich wobei 5 im "local bridging" only! (10/5)
 
Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FortiAPs sowie "local bridging":
 
        [[Datei:Fortinet-844.jpg]]
       
Die offizielle Information betreffend "tunneling" und/oder local bridging" möglichen FortiAPs auf einem FortiGate Device findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:
           
            [[FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]


=== Kann man die FortiAP mit externen Antenna's nach-/ausrüsten? ===
Fortinet hat ein Dokument herausgegeben, in dem der Umstand dieser Aenderung erklärt wird und wieso dem so ist:


Grunsätzlich ist dies möglich dh. das FortiAP Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datashhet eruiert werden:
        [[Datei:Maximum_Number_of_Managed_FortiAPs_in_FortiOS_5_0_3_FAQ_-_August_2013_v1_r5.pdf]]


        [[Fortinet:ProduktInfo#FortiWiFi]]
=== Kann ich einen Forti Access Point Device ohne FortiGate Wireless Controller konfigurieren und betreiben? ===
        [[Fortinet:ProduktInfo#FortiAP]]


Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:
Ein Forti Access Point hat zwar ein Mgmt. Web Interface über dieses bestimmte einfache Konfigurationen durchgeführt werden können wie zB die Vergabe einer fixen IPv4 Adresse jedoch benötigt ein Forti Access Point für den Betrieb und dessen Grundkonfiguration einen FortiGate Wireless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem Forti Acces Point vom FortiGate Wireless Controller übermittelt/zugewiesen und somit kann ein Forti Access Point nicht ohne FortiGate Wirless Controller betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein Forti Access Point auch ohne FortiGate Wireless Controller betrieben werden da Fortinet neu einen entsprechenden Wireless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:


         [[Fortinet:ProduktInfo#FortiAntenna]]
         [[FortiCloud:FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F]]


=== Was ist zu beachten wenn ein FortiAP mit einer externen Antenne ausgerüstet wird? ===
=== Was ist die max. Anzahl User die auf einem Forti Access Point verbunden werden können? ===


Eine externe Antenne "verteilt" das Signal nur dh. es verstärkt dieses nicht! Die Antennen "verteilen" das Signal in Ihrer speziellen Art und Weise. Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:
Nun die FortiAPs unterliegen keinem Hardlimit! Wenn eine Limitierung konfiguriert werden möchte, kann dies über die jeweilige SSID im Mgmt. Web Interface über folgende Position konfiguriert werden:


         http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de
         WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients


=== Welchen Anschluss benützt eine FortiWifi/FortiAP für den externe Antenna Anschluss? ===
Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen:


Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:
        3-7  - For a direct wire replacement.
        8-15  - In high VoIP environment, high performance enterprise, significant video, etc.
        16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
        26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
        >50  - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.
 
Diese Angaben stammen aus folgendem Dokument:


         [[Fortinet:ProduktInfo#FortiWiFi]]
         [[Datei:FortiAP Technical FAQ - January 2014.pdf]])
        [[Fortinet:ProduktInfo#FortiAP]]


Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:
=== Was ist die max. Anzahl SSID's die ich auf einem Forti Access Point konfigurieren und betreiben kann? ===


        https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder
Grundsätzlich gelten die "maximum values" für das entsprechende FortiOS. Weitere Informationen betreffend "maximum values" siehe nachfolgenden Link:


=== Gibt es von Fortinet eine "omnidirect" externe Antenne? ===
        [[Datei:Fortigate-max-values-50.pdf]]
        [[Datei:Fortigate-max-values-52.pdf]]
        [http://help.fortinet.com/fgt/54/max-values/5-4-0/max-values.html Datei:Fortigate-Max-Values-54.pdf]


"Omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antenna gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:
In diesen "maximum values" sind zwei Werte gelistet:


         [[Fortinet:ProduktInfo#FortiAntenna]]
         • SSIDs                        Dieser Wert stellt das Maximum dar der SSID's die konfiguriert werden können!
        • SSID lists per FortiAP      Dieser Wert stellt das Maximum dar der SSID's die für einen Forti Access Point konfiguriert werden können!


== FortiAP-OS ==
Dabei ist folgendes zu beachten: Wenn auf einem Forti Access Point die volle Anzahl der SSID's konfiguriert wird so entsteht durch den Traffic der SSID's selber eine hohe Belastung (zusätzliche Broadcast Frames). Aus diesem Grund ist es nicht empfehlenswert mehr als 7 SSID's auf einem Forti Access Point zu konfigurieren da durch mehr SSID's die Performance durch die zusätzlichen Broadcast Frames beeinträchtigt wird. Die empfohlen Anzahl seitens Fortinet ist 4 SSID's!


=== Wo wird die "Standard" Konfiguration eines FortiAP OS manipuliert und gestartet? ===
=== Wie sieht der Hardware-Technische Aufbau (block diagram) eines Forti Access Point Produkts aus? ===


Ein FortiAP OS ist basierend auf einem  "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0) Dies bedeutet Prozesse und/oder Deamons werden über die zuständigen RC Level (Start Scripts) abgewickelt. Diese RC Level -die wiederum einfach Scripts darstellen- lesen konfigurations Dateien aus um die nötige Konfiguration durchzuführen. Die RC Leves befinden sich im Verzeichnis:
In der nachfolgenden Abbildung resp. "block diagram" wird anhand eines FortiAP-28C gezeigt, wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:


         /etc/rc.d/
         [[Datei:Fortinet-1347.jpg]]


Die Konfigurations Dateien befinden sich im folgenden Verzeichnis:
Wie aus dem "block diagram" ersichtlich ist, wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:


         /etc/ath
         http://en.wikipedia.org/wiki/Qualcomm_Atheros


In diesem Verzeichnis existieren folgende Files die für folgende Konfiguration zuständig sind:
Desweiteren eine "Schematische" Uebersicht betreffend FAP-221C, FAP-320C sowie FAP-321C:


         '''<big>dflt.cfg (Standard Konfiguration)</big>'''
         '''FAP-221C'''
          
          
         # more /etc/ath/dflt.cfg
         [[Datei:Fortinet-1359.jpg]]
 
        '''FAP-320C'''
          
          
         --------------- output dflt.cfg ---------------  
         [[Datei:Fortinet-1360.jpg]]
 
        '''FAP-321C'''
          
          
         ## Default values of FAP cfg variables
         [[Datei:Fortinet-1361.jpg]]
         ## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
 
        ## Add an entry like:  CFG_VAR_NAME_DFLT=DFLT_VALUE
Weitere Modelle betreffend Forti Access Point Hardware Schematics findet man unter folgenden Link:
         ## Don't include "" in DFLT_VALUE
 
        [[Fortinet:ProduktInfo#Fortinet_Hardware_Schematics]]
 
=== Wieso kann die Hardware eines Forti Access Point FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten? ===
 
Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:
 
         [[FortiAP:FAQ#Wo_finde_ich_detailliert_Informationen_.C3.BCber_Wireless_.22802.11AC_MU-MiMo.22_Funktion.3F]]
 
In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:
 
         # cw_diag -c radio-cfg
          
          
         BAUD_RATE_DFLT=9600
         Radio 0: AP
        FIRMWARE_UPGRADE_DFLT=0
          country        : cfg=CH oper=CH
        ADMIN_TIMEOUT_DFLT=5
          radio type    : 11N_2.4G
          
          beacon intv    : 100
        ADDR_MODE_DFLT=DHCP
          tx power      : 15
        STP_MODE_DFLT=0
          HT param      : '''mcs=23 gi=disabled bw=20MHz'''
        AP_IPADDR_DFLT=192.168.1.2
          ack timeout    : 64
         AP_NETMASK_DFLT=255.255.255.0
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
        IPGW_DFLT=192.168.1.1
          r_ac chan      : num=6 age=25011
        DNS_SERVER_DFLT=208.91.112.53
          channel        : num=6
        AP_MGMT_VLAN_ID_DFLT=0
          oper_chan      : 6
        WAN_MODE_DFLT=bridged
          r_ac md_cap    : 2, 6, 10,
        WAN_IPADDR_DFLT=192.168.2.1
          r_ac chan list : 2, 6, 10,
        WAN_NETMASK_DFLT=255.255.255.0
                chan list : 2, 6, 10,
        TELNET_ALLOW_DFLT=0
          hw_chan list  : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52,
         HTTP_ALLOW_DFLT=1
                            56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140,
          
          nol list      :
        AC_DISCOVERY_TYPE_DFLT=0
          ap scan        : background regular scan,
        AC_IPADDR_1_DFLT=192.168.1.1
          ap scan period : 600s
        AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
          ap scan intv  : 1s
        AC_CTL_PORT_DFLT=5246
          ap scan dur    : 20ms
         AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
          ap scan idle  : 0ms
         AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
          ap scan rpt tmr: 30s
        AC_PLAIN_CTL_DFLT=0
          sta scan      : enabled
        AC_DATA_CHAN_SEC_DFLT=2
          arrp          : enabled --info only
       
          spect analysis : disabled
        MESH_AP_TYPE_DFLT=0
          wids          : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol
        MESH_AP_MODE_DFLT=0
                long-dur-thresh: 8200
        MESH_AP_SSID_DFLT=fortinet.mesh.root
                    auth-flood: time=10, thresh=30
        MESH_AP_BSSID_DFLT=
                    assoc-flood: time=10, thresh=30
         MESH_AP_PASSWD_DFLT=fortinet.mesh.root
         Radio 1: AP
        MESH_ETH_BRIDGE_DFLT=0
          country        : cfg=CH oper=CH
        MESH_MAX_HOPS_DFLT=4
          radio type    : 11AC
        MESH_SCORE_HOP_WEIGHT_DFLT=50
          beacon intv    : 100
        MESH_SCORE_CHAN_WEIGHT_DFLT=1
          tx power      : 31
        MESH_SCORE_RATE_WEIGHT_DFLT=1
          VHT param      : '''mcs=9 gi=disabled bw=80MHz'''
        MESH_SCORE_BAND_WEIGHT_DFLT=100
          ack timeout    : 25
        MESH_SCORE_RSSI_WEIGHT_DFLT=100
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25
          r_ac chan      : num=0 age=68299
          channel        : num=0
          oper_chan      : 36
          r_ac md_cap    : 36, 40, 44, 48,
          r_ac chan list : 36, 40, 44, 48,
                chan list : 36, 40, 44, 48,
          hw_chan list  : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124,
                            128, 132, 136, 140,
          nol list      :
          ap scan        : disabled,
          sta scan      : disabled
          arrp          : disabled --info only
          spect analysis : disabled
          wids          : disabled
 
Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche Umgebungsvariablen 100% stimmen was wiederum bedeutet: Der Host/Client muss für die Verbindung zB ebenfalls den entsprechenden "MCS Index" unterstützen! Somit wenn die Umgebungs Variablen 100% stimmen bestimmt der MCS Index den max. Durchsatz gemäss unteren Tabelle:
 
         [[Datei:Fortinet-718.jpg]]
 
=== Welches FortiOS soll im Zusammenhang mit FortiGate Devices und/oder Forti Access Points eingesetzt werden? ===
 
Grundsätzlich ist es empfohlen die jeweiligen Release Notes für das entsprechenden FortiOS für einen Forti Access Point zu konsultieren um zu verifizieren welche Version für welchen FortiGate Patch Level unterstützt wird. In einem Upgrade Scenario muss ebenfalls verifiziert werden, wie ein Upgrade zu erfolgen hat dh. von welcher FortiOS Version für die Forti Access Points. Teilweise ist es möglich für Forti Access Points höhere Versionen einzusetzen dh. Zb FortiGate Device 5.0 und auf den Forti Access Point 5.2. Dabei ist jedoch zu berücksichtigen: Features die für FortiOS 5.2 grundsätzlich zur Verfügung stehen, können obwohl der Forti Access Points basierend auf FortiOS 5.2 betrieben wird, nicht zugewiesen werden da der FortiGate Wireless Controller FortiOS 5.0 basierend ist. Da die Konfiguration eines Forti Access Point über den FortiGate Wireless Controller einem Forti Access Point zugewiesen wird kann in so einer Konstellation der FortiGate Wireless Controller einem Forti Access Point nicht 5.2 basierend Features zuweisen da der FortiGate Wireless Controller diese nicht kennt da dieser auf FortiOS 5.0 basiert. Je nach FortiOS Version ist es nicht möglich ein durchgeführtes Upgrade durch ein Downgrade zu ersetzen. Auch hier gibt die Release Notes des entsprechenden FortiOS für die Forti Access Points Auskunft ob ein nachträgliches Downgrade durchführbar ist. Weitere Auskunft über diese Problematik betreffend Downgrade von 5.2 auf 5.0 gibt nachfolgender Artikel:
 
         [[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_einer_Firmware_5.0_ein_.22Downgrade.22_durchf.C3.BChren.3F]]
         [[FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.4_anhand_einer_Firmware_5.2_ein_.22Downgrade.22_durchf.C3.BChren.3F]]
 
Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet: ein Upgrade für den FAP-320C ist folgendermassen durchzuführen:
                 
         Schritt 1:    FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out
         Schritt 2:    Danach Upgrade mit regulärem Image auf 5.2.2
 
Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Patch Level sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss, die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:
 
         https://support.fortinet.com/Download/FirmwareImages.aspx
          
          
         --------------- output dflt.cfg ---------------
         / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/


         '''<big>apcfg (Benutzerspezifische Konfiguration)</big>'''
Nachträglich eine kurze Uebersicht über die möglichen Konstellation:
 
         FortiGate 5.2.x                            --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)
        FortiGate 5.0.x                            --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)
        FortiGate 5.0.x (Special Support Build)    --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (Zwingend für Modelle FAP-221C/222C/223C/321C damit diese erkannt werden)
 
Bei dieser Aufstellung der Möglichkeiten ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D sind in der Version Forti Access Point 5.0.x nicht erhältlich. Somit müssen die Forti Access Point basierend auf Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu achten immmer den neusten Patch Level für Forti Access Points einzusetzen unter berücksichtigung der Release Notes.
 
=== Wie kann ich das lokale Passwort auf einem Forti Access Point zurücksetzen? ===
 
Wenn ein Forti Access Point in Betrieb genommen wird so ist das Standard Password wie bei allen Fortinet Geräten für den User "admin" nicht gesetzt dh. kein Passwort. Wenn nun dennoch in einer weiteren Konfiguration auf einem Forti Access Point ein Passwort gesetzt wird und später für ein Login dieses nicht mehr zur Verfügung steht kann Grundsätzlich folgendes durchgeführt werden:
 
        "Forti Access Point ist nicht mit einem FortiGate Wireless Controller verbunden"
       
        Wenn ein Forti Access Point nicht mit einem FortiGate Wireless Controller verbunden ist dh. das entsprechende
        Passwort benötigt wird um Lokal auf den Forti Access Point zu verbinden bleibt einem nichts anderes übrig als
        einen "Factory Reset" auszuführen auf dem Forti Access Point. Zu diesem Zweck verfügen alle Forti Access Points
        über einen "Hardware Reset" Button anhand diesem ein Factory Reset ausgeführt werden kann. Weitere Informationen
        dazu siehe nachfolgender Artikel:
          
          
         # more /etc/ath/apcfg
         [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]
 
        "Forti Access Point ist mit einer FortiGate Wireless Controller verbunden"
          
          
         --------------- output dflt.cfg ---------------
         Wenn der Forti Access Point über eine FortiGate Wireless Controller verbunden ist kann das Passwort auf einem
               
         Forti Access Point über den "FortiGate Wireless Controller" der FortiGate zurück gesetzt werden. Dies wird
        ###################################################################################
         folgendermassen ausgeführt:
        ##  apcfg
        ##
        ##  Configuration file for Atheros AP.
         ##  This file will "predefine" default configuration data for the AP. This
        ##  will first read all configuration data from flash (cfg -E), then fill in any
        ##  defaults that are missing.  Thus the defaults will appear on the web pages
        ##  even if the configuration store has been cleared.
        ##
        ###################################################################################
        ##
        ## Get the current settings from flash/cache area
         ##
          
          
         cfg -E > /tmp/vars.$$
         '''FortiOS 5.0/5.2'''
        . /tmp/vars.$$
        rm /tmp/vars.$$
          
          
         source /etc/ath/dflt.cfg
         # config wireless-controller wtp
        # edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
        # set login-passwd-change default
        # end
        # end
          
          
         ##
         '''FortiOS 5.4'''
        ## Set Network configuration
        ##
        ## AP_IPADDR  = IP address of the bridge
          
          
         ## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
         # config wireless-controller wtp
         ## WAN_MODE  = bridged for attached to bridged, Get address if dhcp, fixed address
        # edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
         ##              if static
         # set override-login-passwd-change enable
         ##
         # set login-passwd-change default
         ###################################################################################
         # end
         # end
          
          
         if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
         Sofern der Forti Access Point ein WTP Profile benutzt kann das Passwort ebenfalls über dieses WTP Profile
            cfg -a FIRMWARE_UPGRADE=0
         zurück gesetzt werden:
            cfg -c
            if [ ${LOGIN_PASSWD_ENC} ]; then
                cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
            fi
         fi
          
          
         cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
         # config wireless-controller wtp-profile
        # edit [Gebe das entsprechende WTP Profile des Forti Access Point an]
        # set login-passwd-change default
        # end
        # end
          
          
         cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
         Durch dieses Kommando wird das Passwort eines Forti Access Point auf "default" zurück gesetzt dh. es gilt User
        cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
        "admin" und kein Passwort.
        cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
 
        cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
=== Wie kann ich für eine Forti Access Point Hardware einen Factory Reset durchführen? ===
         cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
 
         cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
Wenn für eine Forti Access Point Hardware ein Factory Reset durchgeführt werden soll so kann das Lokal über die CLI auf einem Forti Access Point durchgeführt werden. Einerseits wenn dies durchgeführt werden möchte, ist es möglich per "telnet" über den Forti Gate Wireless Controller Zugriff auf die CLI eines Forti Access Point zu erhalten. Ebenso kann der Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden werden um danach ebenso über "telnet" Zugriff auf die CLI des Forti Access Point zu erhalten.
        cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
 
         cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
         [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
         cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
         [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
 
Wenn ein Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden ist muss "telnet" Zugriff über das Mgmt. Web Interface des Forti Access Point aktiviert werden. Um auf der CLI danach ein Factory Reset auszuführen gebe folgendes ein:
 
         # cfg -x
         # reboot
          
          
         cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
         oder auch
        cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
        cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
          
          
         ##
         # factoryreset
         ## Set WTP configuration
 
         ##
Durch den Befehl "cfg -x" wird der Forti Access Point zurückgesetzt und zware ohne Neustart des Forti Access Point im Gegensatz zu "factoryreset"! Aus diesem Grund muss nach "cfg -x" ein manueller Neustart durchgeführt werden. Die Forti Access Points können ebenfalls auch manuell anhand eines "Hardware Reset" Buttons auf Factory Reset zurückgestellt werden. Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:
         cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
 
         cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
        '''FAP-210B and FAP-220B'''
         cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
        Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
         cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
        der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.
        cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
 
         cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
        '''FAP-221B, FAP 221C and FAP-223B'''
         cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
        Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
          
         Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
         ##
         Es wird automatisch ein Neustart ausgeführt.
         ## Set MESH configuration
 
         ##
         '''FAP-320B and FAP320C'''
         cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
        Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
         cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
         Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
         cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
        ein Neustart ausgeführt.
         cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
 
         if test ${MESH_AP_PASSWD+defined}
         '''FAP-222B'''
         then
        Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
         cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
        werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.
         else
 
        cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
         '''FAP-11C'''
        fi
        Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
        cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
        auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.
        cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
 
       
Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:
        cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
 
        _DFLT}}                    T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
      [[Fortinet:ProduktInfo#FortiAP]]
                cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
 
                cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
=== Was bedeuten die verschiedenen Regionen Codes im Zusammenhang mit der Forti Access Point Hardware resp. SKU? ===
        #
 
        # Account for S26 peculiarity
Wenn man einen Forti Access Point beim Distributor bestellt, wird die korrekte Fortinet Hardware mit der SKU indiziert dh. eine Fortinet SKU zB für einen FortiAccess Point FAP-221C hat folgende SKU:
        #
 
        export WAN_IF=eth1
         FAP-221C-E
        export LAN_IF=eth0
 
       
Der Zusatz "-E" indiziert den "Regionen Code". Dies bedeutet: Durch den entsprechenden Regionen Code werden Regulatorien resp. Richtlinien der einzelnen Ländern bestätigt. Dies bedeutet wiederum: Muss für ein Projekt zB ein Forti Access Point nach Japan gesendet werden ist es nicht korrket ein "-E" Modell nach Japan zu senden da sich dieser Forti Access Point dh. "-E" unterscheidet von "-J" und somit die Richtlinien für das entsprechende Land nicht eingehalten werden. Somit muss bei einer Bestellung dies mitgeteilt werden zB:
        #
 
        # Indicate if you want the WLAN to be activated on boot up.
         FAP-221C-J
        #
 
          
Um den richtigen Forti Access Point mit dem korrekten "Region Code" bestellt werden kann muss das Installations Land bekannt sein damit der korrekte "Region Code" verifiziert werden kann. Nachfolgend einen Ueberblick ober die verschiedenen "Region Code":
         cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
 
          
         '''-A'''      CANADA
         #
                GUAM
         # AP Start Mode
                PUERTO RICO
         # This can be overridded by environmental variables
                ARGENTINA
         # Modes can be
                UNITED STATES
         #    standard := standard single AP start mode
 
        #     rootap := WDS root AP for WDS modes
         '''-E'''      ARUBA
        #reptater-ind := WDS repeater station independent mode
                AUSTRIA
        #      client := WDS "virtual wire" client
                BELGIUM
         #      multi := Multiple BSSID with all encryption types
                BOSNIA AND HERZEGOVINA
        #        dual := Dual concurrent, automatically configure interface
                BULGARIA
        #      stafwd := Station mode with address forwarding enabled
                CAMBODIA
         #
                CROATIA
         #
                CYPRUS
       
                CZECH REPUBLIC
         cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
                DENMARK
        cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
                ESTONIA
        cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
                FINLAND
       
                FRANCE
       
                GERMANY
        #################################################################################
                GREECE
        ## Default Parameters
                GREENLAND
        ## If these are not set explictly by exporting environmental variables, the following
                HAITI
        ## Defaults will be applied
                HUNGARY
        #################################################################################
                ICELAND
        #
                IRAQ
        # AP_PRIMARY_CH could be
                IRELAND
        #                11na (which means auto-scan in 11na mode) or
                ITALY
        #                11ng (which means auto-scan in 11ng mode)
                LATVIA
       
                LEBANON
        cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
                LIECHTENSTEIN
        cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
                LITHUANIA
       
                LUXEMBOURG
        ##
                MACEDONIA
        ## Set up the channel for dual mode
                MALTA
        ##
                NETHERLANDS
       
                NETHERLANDS ANTILLES
        cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
                NORWAY
        cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
                POLAND
       
                PORTUGAL
        ##
                ROMANIA
        ## This is for pure G or pure N operations. Hmmmm...
                SAUDIA ARABIA
         ##
                SERBIA & MONTENEGRO
       
                SLOVAK REPUBLIC
        cfg -a PUREG=${PUREG:=0}
                SLOVENIA
         cfg -a PUREN=${PUREN:=0}
                SOUTH AFRICA
       
                SPAIN
         ##
                SWEDEN
         ## Channel Configuration Section
                SWITZERLAND
         ##
                TURKEY
                UNITED ARAB EMIRATES
                UNITED KINGDOM
                BELARUS
                KENYA
                MOZAMBIQUE
                ANGOLA
                SUDAN
                MAURITANIA
 
         '''-I'''      ARMENIA
                AZERBAIJAN
                GEORGIA
                ISRAEL
                KUWAIT
                Morocco
                TUNISIA
                UZBEKISTAN
                MONACO
 
         '''-J'''      JAPAN
 
         '''-K'''      KOREA REPUBLIC
 
         '''-N'''      AUSTRALIA
                BARBADOS
                BOLIVIA
                BRAZIL
                CHILE
                COLOMBIA
                COSTA RICA
                DOMINICAN REPUBLIC
                GUATEMALA
                ECUADOR
                EL SALVADOR
                FIJI
                HONG KONG
                JAMAICA
                MACAU
                MEXICO
                NEW ZEALAND
                OMAN
                PANAMA
                PAPUA NEW GUINEA
                PARAGUAY
                PERU
                PHILIPPINES
                QATAR
                TRINIDAD & TOBAGO
                VENEZUELA
 
         '''-V'''      VIETNAM
                BAHRAIN
                SRI LANKA
 
         '''-S'''      BRUNEI DARUSSALAM
                INDIA
                SINGAPORE
                THAILAND
                GRENADA
                HONDURAS
                BELIZE
                CHINA
                IRAN
                NEPAL
                MALAYSIA
                PAKISTAN
                URUGUAY
                EGYPT
 
         '''-T'''      TAIWAN
 
         '''-U'''      UKRAINE
 
         '''-P'''      RUSSIA
 
         '''-W'''      ALBANIA
                TANZANIA
                YEMEN
                ZIMBABWE
                ALGERIA
                BANGLADESH
                INDONESIA
                KAZAKHSTAN
                SYRIA
 
Folgendes Dokument kann gerne benutzt werden um die richtigen Ländercodes zu ermitteln:<br>
Als Exel Datei mit Filterfunktion:
[[Datei:FortiAP_LaenderCode-Tabelle-version1.xlsx]]
Als PDF Datei:
[[Datei:FortiAP_LaenderCode-Tabelle-version1.pdf]]
 
== FortiAP und 5.0 GHZ ==
 
=== Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ? ===
 
Gemäss ''IEEE 802.11'' haben '''WLANS''' mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist '''2.4 GHZ''' der am meisten verwendete Frequenzbereich, gefolgt von '''5.0 GHZ'''. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.
 
Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (''Radio 1-3 Capabilities''):
FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE
FAP-U231F, FAP-U431F, FAP-U433F
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV
 
 
=== Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ? ===
 
Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):
 
https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799
 
Dabei ist u.a. wichtig, dass unter '''''FortiAP Profiles''''' zunächst '''''Frequency Handoff''''' und '''''AP Handoff''''' aktiviert werden. Bei '''''TX power control''''' (sowohl ''Radio 1 & 2'') wählt man die Option '''''Auto''''', und  stellt anschliessend die entsprechenden '''Transmit Power Ranges''' ein:
 
2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB
 
Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.
 
== Power Adapter ==
 
=== Welcher Power Adapter oder PoE Injektor brauche ich für meinen Forti Accesspoint? ===
 
FortiAPs werden teilweise mit jedoch teilweise auch ohne PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAPs mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter die für fast alle FortiAPs erhältlich sind aufgeführt:<br>
'''FortiAP Netzteile:'''
[[Datei:Fortinet-2814.jpg|750px|link=]]
[[Datei:Fortinet-2815.jpg|750px|link=]]
[[Datei:Fortinet-2816.jpg|750px|link=]]
----
'''FortiAP S-Serie Netzteile:'''
[[Datei:Fortinet-2817.jpg|750px|link=]] 
----
'''FortiAP U-Serie Netzteile:'''
[[Datei:Fortinet-2818.jpg|750px|link=]] 
----
'''FortiAP C-Serie Netzteile:'''
[[Datei:Fortinet-2819.jpg|750px|link=]] 
----
In der Folgenden Datei findet man eine Zusammenfassung welcher Poweradapter zu welchem FortiAP genutzt werden kann:
[[Datei:FAP-PowerAdapter.pdf]]
----
Betreffend dieser Informationen im Zusammenhang mit FortiAP-S siehe nachfolgender Artikel:
           
[[FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]
 
----       
         2692514              GPI-115                GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
         2700323              GPI-130                GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W
 
== FortiCare ==
 
=== Muss ich für die "Lifetime Warranty" eines Forti Access Point ein FortiCare (Maitenance) beziehen? ===
 
"Lifetime Waranty" muss für einen Forti Access Point nicht in jedem Fall bezogen werden! Die Fortinet hat im März 2014 folgendes Dokument released:
 
         [[Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf]]
         [[Datei:Fortinet_Limited_Lifetime_Warranty_FAQ_-_January_2015.pdf]]
 
Dieses Dokument besagt folgendes:
 
         Jeder FortiAP der nach 1. November 2013 gekauft/registriert wurde (purchased after November 1st 2013) benötigt kein FortiCare mehr und hat
         "LifeTime Waranty" betreffend RMA. "LifeTime Waranty" bedeutet: 5 Jahre nach EOL (End Of Life Announcement).
 
Alle Geräte vor dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden! Alle FortiAP die über kein FortiCare verfügen und nach dem 1. November 2013 gekauft wurden, werden über Fortinet EMEA (Sophia Antipolis) bei Defekt ausgetauscht. Was jedoch zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich nicht auf:
 
         • Firmware Upgrade
         • Technischer Support (Ticketing)
 
Somit muss für die Aussage im Zusammenhang mit "Lieftime Warranty" folgendes berücksichtigt werden: Um ein Firmware Upgrade auf einem Forti Access Point durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt man weiterhin FortiCare dh. ohne FortiCare können keine regulären Firmware Upgrades für Forti Access Point durchgeführt werden und können keine technischen Support Tickets eröffnet werden! Somit muss für einen Forti Access Point Maintenance resp. mit FortiCare bezogen werden!
 
== Antenna ==
 
=== Kann man Forti Access Points mit externen Antennen Nach-/Ausrüsten? ===
 
Grunsätzlich ist es möglich Forti Access Points mit externen Antenen Nach-/Auszurüsten dh. das eingesetzte Forti Access Point Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Dies bedeutet: ob der vorhanden Anschluss für eine externe Antenne zur Verfügung steht oder nicht. Ob dies der Fall ist, kann über das jeweiligen Quickstart und/oder Datasheet verifiziert werden:
* [[Fortinet:ProduktInfo#FortiAP]]
 
Fortinet bietet eigene externe Antennen an in der Forti Access Point Produktlinie. Der Wirkungsgrad dieser Antennen etc. kann im jeweiligen Datasheet nachgelesen werden:
* [[Fortinet:ProduktInfo#Antennen]]
----
<small>edit 03.05.2024 - 4Tinu</small>
 
=== Was ist zu beachten wenn Forti Access Points mit einer externen Antenne ausgerüstet wird? ===
 
Eine externe Antenne verteilt das Signal nur dh. es verstärkt dieses nicht! Die Antennen verteilen das Signal in Ihrer speziellen Art und Weise (Wirkungsgrad). Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:
 
         http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de
 
=== Welchen Anschluss benützt eine Forti Access Point für den externen Antenna Anschluss? ===
 
Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:
 
         [[Fortinet:ProduktInfo#FortiWiFi]]
         [[Fortinet:ProduktInfo#FortiAP]]
 
Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:
 
         https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder
 
=== Gibt es von Fortinet für Forti Access Point eine externe "omnidirect" Antenne? ===
 
Omnidirect bedeutet: 360° was wiederum bedeutet, dass Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet externen Antennen gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung (Wirkungsgrad):
* [[Fortinet:ProduktInfo#Antennen]]
----
<small>edit 03.05.2024 - 4Tinu</small>
 
== FortiAP-OS ==
 
=== Wo finde ich den Upgrade Pfad für das FortiAP OS? ===
Beim Upgraden eines FortiAP ist es wie auf der FortiGate selber wichtig, den Upgrade Pfad einzuhalten. Wir emfpehlen, auf dem Accesspoint möglichst die gleiche OS Version zu installieren, wie die FortiOS Version auf der FortiGate welche als Kontroller eingerichtet ist.
[FortiAP:FAQ#Welche_FortiAP_OS_Version_verwende_ich_mit_welchem_FortiOS.3F]
 
Wie auf einer FortiGate ist es auch mit dem Accesspoint wichtig, beim upgraden den UPGRADE PFAD einzuhalten.
Den Upgradepfad ist in den Release Notes zu finden oder beim speziellen Upgradepfad Dokument auf den docs.fortinet.com zu entnehmen:
 
Aktuelle Liste (FortiOS 6.4.7):<br>
[[File:Fortinet-2823.jpg|750px]]
PDF Dateien mit den Upgrade Pfaden:
* [[Datei:FortiAP-6.0.6-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_60.svg||20px|link=]]
* [[Datei:FortiAP-6.2.6-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_62.svg||20px|link=]]
* [[Datei:FortiAP-6.4.7-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_64.svg||20px|link=]]
* [[Datei:FortiAP-7.0.0-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_70.svg||20px|link=]]
* [[Datei:FortiAP-7.0.1-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_70.svg||20px|link=]]
* [[Datei:FortiAP-7.0.2-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_70.svg||20px|link=]]
* [[Datei:FortiAP-7.0.3-SupportedUpgradePaths.pdf]] [[Datei:FortiOS_70.svg||20px|link=]]
----
Aktuelle Upgradepfade auf den Docs:
* [https://docs.fortinet.com/document/fortiap/5.6.0/supported-upgrade-paths-to-the-latest-fortiap-firmware/275151/supported-upgrade-paths-for-fortiap-fortiap-s-and-fortiap-w2 FortiAP-Upgradepath auf 5.6.x] [[Datei:FortiOS_56.svg||20px|link=]]
* [https://docs.fortinet.com/document/fortiap/6.0.6/supported-upgrade-paths/996685/supported-upgrade-paths-for-fortiap-fortiap-s-and-fortiap-w2-version-6-0-6 FortiAP-Upgradepath auf 6.0.x] [[Datei:FortiOS_60.svg||20px|link=]]
* [https://docs.fortinet.com/document/fortiap/6.2.6/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-s-and-fortiap-w2-version-6-2-6 FortiAP-Upgradepath auf 6.2.x] [[Datei:FortiOS_62.svg||20px|link=]]
* [https://docs.fortinet.com/document/fortiap/6.4.7/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-fortiap-s-and-fortiap-w2-version-6-4-7 FortiAP-Upgradepath auf 6.4.x] [[Datei:FortiOS_64.svg||20px|link=]]
* [https://docs.fortinet.com/document/fortiap/7.0.3/supported-upgrade-paths/109896/supported-upgrade-paths-for-fortiap-and-fortiap-w2-version-7-0-3 FortiAP-Upgradepath auf 7.0.x] [[Datei:FortiOS_70.svg||20px|link=]]
----
<small>''edit 18.03.2022 - 4Tinu''</small>
 
=== Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet? ===
 
Beim FortiOS eines Forti Access Point handelt es sich um ein "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0). Dies bedeutet: Prozesse und / oder Deamons werden über die zuständigen RC-Level (Start Scripts) abgewickelt. Diese RC-Level welche wiederum einfach Scripts darstellen, lesen Konfigurations-Dateien aus um die notwendige Konfiguration durchzuführen. Die RC-Levels befinden sich im folgenden Verzeichnis:
 
         /etc/rc.d/
 
Die Konfigurations-Dateien befinden sich im folgenden Verzeichnis:
 
         /etc/ath
 
In diesem Verzeichnis existieren folgende Files welche für folgende Konfiguration zuständig sind:
 
         '''<big>dflt.cfg (Standard Konfiguration)</big>'''
          
         # more /etc/ath/dflt.cfg
          
          
         cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
         --------------- output dflt.cfg ---------------
        cfg -a SHORTGI=${SHORTGI:=1}
        cfg -a SHORTGI_2=${SHORTGI_2:=1}
          
          
         #
         ## Default values of FAP cfg variables
         # Aggregation.  First parameter enables/disables,
         ## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
         # second parameter sets the size limit
         ## Add an entry like:  CFG_VAR_NAME_DFLT=DFLT_VALUE
         #
         ## Don't include "" in DFLT_VALUE
          
          
         cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
         BAUD_RATE_DFLT=9600
        cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
         FIRMWARE_UPGRADE_DFLT=0
        cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
         ADMIN_TIMEOUT_DFLT=5
        cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
        cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
        cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
         cfg -a AMPDUMIN=${AMPDUMIN:=32768}
         cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
        cfg -a CWMMODE=${CWMMODE:=1}
        cfg -a CWMMODE_2=${CWMMODE_2:=1}
        cfg -a RATECTL=${RATECTL:="auto"}
        cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
        cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
        cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
        cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
        cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
          
          
         ##
         ADDR_MODE_DFLT=DHCP
         ## AP Identification Section
         STP_MODE_DFLT=0
         ##
         AP_IPADDR_DFLT=192.168.1.2
        AP_NETMASK_DFLT=255.255.255.0
        IPGW_DFLT=192.168.1.1
        DNS_SERVER_DFLT=208.91.112.53
        AP_MGMT_VLAN_ID_DFLT=0
        WAN_MODE_DFLT=bridged
        WAN_IPADDR_DFLT=192.168.2.1
        WAN_NETMASK_DFLT=255.255.255.0
        TELNET_ALLOW_DFLT=0
        HTTP_ALLOW_DFLT=1
          
          
         cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
         AC_DISCOVERY_TYPE_DFLT=0
          
        AC_IPADDR_1_DFLT=192.168.1.1
         if [ "${AP_STARTMODE}" = "dual" ]; then
        AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
            cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
        AC_CTL_PORT_DFLT=5246
         fi
        AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
         AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
         AC_PLAIN_CTL_DFLT=0
        AC_DATA_CHAN_SEC_DFLT=2
       
        MESH_AP_TYPE_DFLT=0
        MESH_AP_MODE_DFLT=0
        MESH_AP_SSID_DFLT=fortinet.mesh.root
        MESH_AP_BSSID_DFLT=
        MESH_AP_PASSWD_DFLT=fortinet.mesh.root
        MESH_ETH_BRIDGE_DFLT=0
        MESH_MAX_HOPS_DFLT=4
        MESH_SCORE_HOP_WEIGHT_DFLT=50
        MESH_SCORE_CHAN_WEIGHT_DFLT=1
        MESH_SCORE_RATE_WEIGHT_DFLT=1
        MESH_SCORE_BAND_WEIGHT_DFLT=100
         MESH_SCORE_RSSI_WEIGHT_DFLT=100
          
          
         ##
         --------------- output dflt.cfg ---------------
        ## Set the default modes for multi configuration
 
         ## Set default security modes
         '''<big>apcfg (Benutzerspezifische Konfiguration)</big>'''
        ## Set default secfile to PSK, only valid in WPA mode
        ## Default keys are Decimal (NOT hex)
        ##
        export MAX_VAPS_PER_RADIO=4
          
          
        _1
         # more /etc/ath/apcfg
         ## trailer - it's not a VAP number, it's the number of the key.  This is done for-More-- (73% of 8884 bytes)
        ## both radios.
        ##
       
        my_wep_keys="_1 _2 _3 _4"
        for i in $my_wep_keys;
        do
            if [ "${i}" = "''" ]; then
                i=""
            fi
            ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
            ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
            eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
            eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
            cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
            cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
        done
          
          
        --------------- output dflt.cfg ---------------
               
        ###################################################################################
        ##  apcfg
        ##
        ##  Configuration file for Atheros AP.
        ##  This file will "predefine" default configuration data for the AP.  This
        ##  will first read all configuration data from flash (cfg -E), then fill in any
        ##  defaults that are missing.  Thus the defaults will appear on the web pages
        ##  even if the configuration store has been cleared.
        ##
        ###################################################################################
         ##
         ##
         ## Now, for each radio, set the primary key and the mode value
         ## Get the current settings from flash/cache area
         ##
         ##
        cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
        cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
        cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
        cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
          
          
        cfg -E > /tmp/vars.$$
        . /tmp/vars.$$
        rm /tmp/vars.$$
       
        source /etc/ath/dflt.cfg
          
          
        my_vaps="'' _2 _3 _4 _5 _6 _7 _8"
        for i in $my_vaps;
        do
            if [ "${i}" = "''" ]; then
                i=""
            fi
        ITER_AP_MODE="AP_MODE$i"
        ITER_AP_SECMODE="AP_SECMODE$i"
        ITER_AP_SECFILE="AP_SECFILE$i"
        ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
        eval ITER_MODE=\$$ITER_AP_MODE
        eval ITER_SECMODE=\$$ITER_AP_SECMODE
        eval ITER_SECFILE=\$$ITER_AP_SECFILE
        eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
        cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
        cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
        cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
        done                        LE=${ITER_WPS_ENABLE:="0"}
       
        ##
        ## Export the variables again to catch the defaults
         ##
         ##
        ## Set Network configuration
        ##
        ## AP_IPADDR  = IP address of the bridge
          
          
        cfg -E > /tmp/vars.$$
         ## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
        . /tmp/vars.$$
         ## WAN_MODE  = bridged for attached to bridged, Get address if dhcp, fixed address
        rm /tmp/vars.$$
         ##             if static
       
         ##
        ## Set the proper radio parameter values depending on the
         ## interface selected.  These are exported vice included
        ## in cache. These should really be in apup vice here,
         ## but this works OK.
         ##
         ##
        ###################################################################################
          
          
         for i in $my_vaps;
         if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
        do
            cfg -a FIRMWARE_UPGRADE=0
             if [ "${i}" = "''" ]; then
            cfg -c
                 i=""
             if [ ${LOGIN_PASSWD_ENC} ]; then
                 cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
            fi
         fi
         fi
            ITER_RADIO_ID="AP_RADIO_ID$i"
            eval ITER_RADIO_ID=\$$ITER_RADIO_ID
            if [ "${ITER_RADIO_ID}" = "1" ]; then
                export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
        else
                export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
        fi
        done
          
          
         #####################################################################################
         cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
         ## The following parameters are board specific, and should not be modified
          
         #####################################################################################
         cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
        cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
        cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
        cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
        cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
        cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
        cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
        cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
        cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
          
          
         export ATH_use_eeprom=0
         cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
        cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
        cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
          
          
         --------------- output dflt.cfg ---------------
         ##
 
        ## Set WTP configuration
=== Wo befinden sich die Standard Certificate eines FortiAP OS? ===
        ##
 
        cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
Die Zertifikate auf einem FortiAP sind wichtig und sollten NIE manipuliert werden! Dies bedeutet: anhand dieser Zertifikate wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS Verschlüsselung etabliert. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgenden Artikel:
        cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
 
        cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
         [[FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F]]
        cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
 
        cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
Die Zertifikate befinden sich im folgenden Verzeichnis:
         cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
 
         cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
         /etc/cert
          
          
         /etc/fgt.crt
         ##
         /etc/fgt.key
         ## Set MESH configuration
 
        ##
=== Wo befindet sich das "root" des WebServers auf einem FortiAP-OS? ===
        cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
 
        cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
Bei FortiOS 5.0 / 5.2 wird ein Web Mgmt. Interface auf dem FortiAP zur Verfügung gestellt. Dieses ermöglicht einem Administrator einige der FAP Konfiguration über dieses Web Mgmt. Interface einzugeben. Das Web "root" dieses WebInterface befindet sich auf dem FortAP-OS im folgenden Verzeichnis:
        cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
 
        cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
         /usr/www
        if test ${MESH_AP_PASSWD+defined}
 
        then
=== Welche Befehle können auf einem FortiAP OS benützt werden? ===
        cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
 
        else
Ein FortiAP basiert auf einem  "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Bei FortiOS 4.3.x basierenden Systemen war der Zugriff auf Linux Kommandos nicht möglich und nur die "build-in" Kommandos (cfg -a) standen zur Verfügung. Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Kommandos abgesetzt werden wie zB
         cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
 
        fi
         ifconfig
        cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
         more
        cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
         cd
       
 
        cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:
        _DFLT}}                    T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
 
                cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
         /bin
                cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
         /sbin
        #
 
         # Account for S26 peculiarity
         # ls -la /bin
         #
         export WAN_IF=eth1
        export LAN_IF=eth0
       
         #
         # Indicate if you want the WLAN to be activated on boot up.
         #
          
          
         --------------- output /bin ---------------
         cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
          
          
         drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
         #
         drwxr-xr-x  15 admin    root            0 Jan  1  1970 ..
         # AP Start Mode
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ash -> busybox
         # This can be overridded by environmental variables
         -rwxr-xr-x    1 admin    root      1143436 Dec 11 00:54 busybox
         # Modes can be
         lrwxrwxrwx    1 admin   root            7 Dec 11 00:54 cat -> busybox
         #   standard := standard single AP start mode
         lrwxrwxrwx    1 admin    root           24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
         #      rootap := WDS root AP for WDS modes
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 chmod -> busybox
         #reptater-ind := WDS repeater station independent mode
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cp -> busybox
         #      client := WDS "virtual wire" client
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 date -> busybox
         #      multi := Multiple BSSID with all encryption types
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 df -> busybox
         #        dual := Dual concurrent, automatically configure interface
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 dmesg -> busybox
         #      stafwd := Station mode with address forwarding enabled
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 echo -> busybox
         #
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 egrep -> busybox
         #
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 factoryreset -> busybox
          
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 fgrep -> busybox
         cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 grep -> busybox
         cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ip -> busybox
         cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 iproute -> busybox
          
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 kill -> busybox
          
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ln -> busybox
         #################################################################################
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 login -> busybox
         ## Default Parameters
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ls -> busybox
         ## If these are not set explictly by exporting environmental variables, the following
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mkdir -> busybox
         ## Defaults will be applied
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 more -> busybox
         #################################################################################
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mount -> busybox
         #
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mv -> busybox
         # AP_PRIMARY_CH could be
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ping -> busybox
         #                11na (which means auto-scan in 11na mode) or
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ps -> busybox
         #                11ng (which means auto-scan in 11ng mode)
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 pwd -> busybox
          
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rm -> busybox
         cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rmdir -> busybox
         cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sh -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sleep -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sync -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 touch -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 umount -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 uname -> busybox
          
          
         --------------- output /bin ---------------
         ##
 
        ## Set up the channel for dual mode
         # ls -al /sbin
         ##
          
          
         --------------- output /sbin ---------------
         cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
        cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
          
          
         drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
         ##
         drwxr-xr-x  15 admin    root            0 Jan 1  1970 ..
         ## This is for pure G or pure N operations. Hmmmm...
        -rw-r--r--    1 admin    root            0 Dec 11 00:35 .dummy
         ##
         -rwxr-xr-x    1 admin    root        12128 Dec 11 00:54 apstart
          
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 arp -> ../bin/busybox
         cfg -a PUREG=${PUREG:=0}
         -rwxr-xr-x    1 admin    root      1348400 Dec 11 00:54 cwWtpd
         cfg -a PUREN=${PUREN:=0}
         -rwxr-xr-x    1 admin    root        6096 Dec 11 00:54 cw_debug
          
         lrwxrwxrwx    1 admin    root            6 Dec 11 00:54 cw_diag -> cwWtpd
         ##
         -rwxr-xr-x    1 admin    root         2534 Dec 11 00:46 cw_test_led
         ## Channel Configuration Section
         -rwxr-xr-x    1 admin    root         3727 Dec 11 00:46 cw_test_radio
         ##
         -rwxr-xr-x    1 admin    root        4652 Dec 11 00:54 diag_console_debug
          
         -rwxr-xr-x    1 admin    root        5084 Dec 11 00:54 diag_debug_crashlog
         cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
         -rwxr-xr-x    1 admin    root         3932 Dec 11 00:54 ebtables
         cfg -a SHORTGI=${SHORTGI:=1}
         -rwxr-xr-x    1 admin    root         9508 Dec 11 00:54 fap-factory-license
         cfg -a SHORTGI_2=${SHORTGI_2:=1}
         -rwxr-xr-x    1 admin    root        4892 Dec 11 00:54 fap-get-status
          
         -rwxr-xr-x    1 admin    root        4484 Dec 11 00:54 fap-mount-udisk
         #
         -rwxr-xr-x    1 admin    root        5956 Dec 11 00:54 fap-set-hostname
         # Aggregation.  First parameter enables/disables,
         -rwxr-xr-x    1 admin    root        4148 Dec 11 00:54 fap-umount-udisk
         # second parameter sets the size limit
        -rwxr-xr-x    1 admin    root        74220 Dec 11 00:54 fsd
         #
         -rwxr-xr-x    1 admin    root        11012 Dec 11 00:54 get
          
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 getty -> ../bin/busybox
         cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 halt -> ../bin/busybox
         cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
         -rwxr-xr-x    1 admin    root        4408 Dec 11 00:54 help
         cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 ifconfig -> ../bin/busybox
         cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 init -> ../bin/busybox
         cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
         -rwxr-xr-x    1 admin    root        3724 Dec 11 00:54 init_sys_shm
         cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 insmod -> ../bin/busybox
         cfg -a AMPDUMIN=${AMPDUMIN:=32768}
         -rwxr-xr-x    1 admin    root        21584 Dec 11 00:54 iwconfig
         cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
         -rwxr-xr-x    1 admin    root        25304 Dec 11 00:54 iwlist
         cfg -a CWMMODE=${CWMMODE:=1}
         -rwxr-xr-x    1 admin    root        11352 Dec 11 00:54 iwpriv
         cfg -a CWMMODE_2=${CWMMODE_2:=1}
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 lsmod -> ../bin/busybox
         cfg -a RATECTL=${RATECTL:="auto"}
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 modprobe -> ../bin/busybox
         cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 poweroff -> ../bin/busybox
         cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
         -rwxr-xr-x    1 admin    root        12548 Dec 11 00:54 radartool
         cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 reboot -> ../bin/busybox
         cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
         -rwxr-xr-x    1 admin    root          61 Dec 11 00:49 repeater_pass_configuration
         cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
         -rwxr-xr-x    1 admin    root        5884 Dec 11 00:54 restore
          
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 rmmod -> ../bin/busybox
         ##
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 route -> ../bin/busybox
         ## AP Identification Section
         -rwxr-xr-x    1 admin    root        5884 Dec 11 00:54 setcfg
         ##
         -rwxr-xr-x    1 admin    root        9268 Dec 11 00:54 startup_fw
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 udhcpc -> ../bin/busybox
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 upgrade -> ../bin/busybox
         -rwxr-xr-x    1 admin    root      105972 Dec 11 00:54 usbmuxd
         -rwxr-xr-x    1 admin    root        19848 Dec 11 00:54 wlanconfig
         -rwxr-xr-x    1 admin    root      244180 Dec 11 00:54 wpa_supplicant
          
          
         --------------- output /sbin ---------------
         cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
 
== Setup ==
 
=== Welche Firmware sollte auf einer FortiGate und/oder FortiAP eingesetzt werden? ===
 
Früher unter FortiOS 4 MR3 wurde durch den Support klar die Richtlinie herausgegeben, dass auf der FortiGate und/oder FortiAP der gleiche Versionsstand resp. Patchlevel benutzt werden musste. Dieser Anweisung kann nach wie vor gefolgt werden! Neu ab FortiOS Version 4 M3 Patch 11 können ebenfalls FortiAP's mit FortiOS 5.0 (nicht FortiOS 5.2) eingesetzt werden. Diese Konstellation wird durch den Fortinet Support vollumfänglich unterstützt. In so einer Konstellation stehen natürlich "nur" die Features auf der FortiGate resp. Wireless Controller zur Verfügung die durch die Version 4 M3 Patch 11 unterstützt werden. Dies bedeutet zB das Feature des "Mesh" steht dann nicht zur Verfügung obwohl die FortiAP's mit der FortiOS 5.0 dies unterstützen würden. Da jedoch dieses Feature in der FortiGate FortOS Version 4 M3 Patch 11 nicht unterstütz wird, kann dieses nicht über den Wireless Controller resp. FortiGate konfiguriert werden. Dennoch macht es durchaus Sinn eine FortiGate Fortios 4 M3 Patch 11 mit FortiAP FortiOS 5.0 einzusetzen schon hinsichtlich zB Performance, Zuverlässigkeit oder Vorbereitung eines anstehenden Upgrad's der FortiGate auf FortiOS 5.0:
 
        '''NOTE''' Wenn FortiAP's im Zusammenhang mit FortiGate's basierend auf FortiOS 5.2 betrieben werden möchten,
            müssen die FortiAP's anhand eines Upgrade ebenfalls auf FortiOS 5.2 gebracht werden. Ein "Downgrade"
            zurück auf 5.0.x ist möglich mit einer Ausnhame dh. FAP-221c. Weitere Informationen findet man im
            folgenden Artikel:
           
            [[FortiAP:FAQ#Kann_ich_einen_FortiAP_Firmeware_5.2_basierend_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F]]
 
=== Wie kann ich die Firmeware eines Access Point wiederherstellen? ===
 
Der Vorgang zur Wiederherstellung der Firmware eines Fortinet Access Point's ist exakt genau der gleich Vorgang wie bei einer Fortigate! Nachfolgende Doku gibt Auskunft wie so eine Wiederherstellung durchgeführt wird:
 
        [[Fortigate:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F]]
          
          
         '''NOTE''' Bei einer Wiederherstellung werden alle existierenden Konfigurationen gelöscht!
         if [ "${AP_STARTMODE}" = "dual" ]; then
            Dieser Vorgang ist kein Upgrade sondern wird durchgeführt um den FortiAP von Grundauf
            cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
            neu zu installieren. Betreffend FortiOS 5.2 und "downgrade" siehe nachfolgenden Artikel:
         fi
           
            [[FortiAP:FAQ#Kann_ich_einen_FortiAP_Firmeware_5.2_basierend_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F]]
 
=== Was ist als Erstes beim "Setup" eines FortiAP zu beachten (Country Code)? ===
 
Ein FortiAP wird über die Fortigate WiFi Controller aufgesetzt und konfiguriert! Es ist unabdingbar die korrekte "location" (Country Code) zu setzen bevor ein FortiAP konfiguriert wird. Weitere Erläuterungen wieso und warum siehe nachfolgenden Artikel:
 
        [[Fortigate:FAQ#Wie_setze_ich_auf_einer_FortiGate_den_.22Country_Code.22_.28location.29_f.C3.BCr_den_WiFi-Controller.3F]]
 
Danach führe auf der Fortigate auf der Console folgendes durch:
 
        # config wireless-controller setting
        # set country CH
         # end
          
          
         '''NOTE''' Wenn man mit "end" die Konfiguration bestätigt kann es zu einer Fehlermeldung führen. Der Grund dafür
         ##
            ist einfach. Wenn im Hintergrund AP Proflies existieren kann der Countr Code nicht auf einen anderen
        ## Set the default modes for multi configuration
            Country Code gewechselt werden da die existierenden AP Profile auf den momentan gesetzen Country Code
        ## Set default security modes
            basieren. Um den Country Code zu wechseln dürfen kein AP Profiles existieren (Gilt für FortiOS 5.0).
        ## Set default secfile to PSK, only valid in WPA mode
            Diese können jedoch nur gelöscht werden wenn diese für die AP's nicht in Benützung sind. Wenn dies der
        ## Default keys are Decimal (NOT hex)
            Fall ist müssen diese Profiles von den AP's gelöst werden und danach können die AP Profiles gelöscht
        ##
            werden. Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert
        export MAX_VAPS_PER_RADIO=4
            werden jedoch gehen sämtliche "channel" Konfiguration verloren:
           
            This operation will also clear channel settings of all the existing wtp profiles
            Do you want to continue (y/n)
           
            Die AP Profiles können über Web Gui sowie in der CLI gelöscht werden.
           
            WiFi Controller > Managed Access Points > Custom AP Profile
           
            # config wireless-controller wtp-profile
            # purge
            This operation will clear all table!
            Do you want to continue (y/n)'''y'''
           
            Nachdem erfolgreichen löschen der AP Profiles kann der Country Code gesetzt werden!
 
=== Was ist die Default IP für einen FortiAP und wie kann ich mich auf diese IP verbinden? ===
 
Wenn ein FortiAP gestartet wird reagiert auf Netzwerkebene der FortiAP folgendermassen:
 
        --> Der FortiAP sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface anhand dieser Informationen konfiguriert!
          
          
         --> Beantwortet "Kein" DHCP Server die Anfrage des FortiAP so wird auf dem Netzwerk Interface folgende IP konfiguriert:
        _1
           
         ## trailer - it's not a VAP number, it's the number of the key.  This is done for-More-- (73% of 8884 bytes)
            192.168.1.2/24
         ## both radios.
 
         ##
Somit kann man sich auf einen FortiAP folgendermassen verbinden sofern der FortiAP betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):
 
         1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
         
          192.168.1.1 255.255.255.0
         
         2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
          
          
         3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
         my_wep_keys="_1 _2 _3 _4"
         
        for i in $my_wep_keys;
          http://192.168.1.2
        do
 
            if [ "${i}" = "''" ]; then
        '''NOTE''' Möchte man sich auf den FortiAP verbinden jedoch wurde das Interface auf "Static" konfiguriert und die
                i=""
            IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults
            fi
            gesetzt werden. Weitere Informationen "wo" sich der "reset button" bei den verschiedenen Modellen befindet
            ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
            kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:
            ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
           
            eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
            [[Fortinet:ProduktInfo#FortiAP]]
            eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
 
            cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
=== Wie kann ich die Netzwerk Konfiguration eines Access Point manuell erstellen/konfigurieren? ===
            cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
 
        done
Wenn man einen FortiAP manuell dh. mit einer "static" IP Adressen konfigurieren möchte so geht man folgendermassen vor:
       
 
        ##
      --> Verbinde den FortiAP mit einem Laptop/Workstation und vergebe dem Laptop/Workstation folgende IP Adresse:
        ## Now, for each radio, set the primary key and the mode value
         
        ##
          192.168.1.3/255.255.255.0
        cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
         
        cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
      --> Nun erstelle eine Telnet Verbindung zum FortiAP anhand folgender IP:
        cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
         
        cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
          192.168.1.2
     
          '''NOTE''' Vergewissere dich, dass kein DHCP Server zwischen Laptop/Workstation sowie FortiAP vorhanden ist
                da ansonsten der FortiAP autom. eine Adresse vom DHCP Server zugewiesen bekommt.
     
      --> Nun kann die Konfiguration für die "static" IP Adresse durchgeführt werden:
         
          # cfg –a AP_IPADDR=192.168.1.2
          # cfg –a ADDR_MODE=STATIC
          # cfg –a AP_NETMASK=255.255.255.0
         
          '''NOTE''' Ab FortiOS 5 können die Konfigurationen ebenfalls über ein WebInterface auf den Access Points durchgeführt
                werden dh. http://192.168.1.2.
 
Folgendes kann benutzt werden um die Konfig auszulsen:
 
      # cfg -s
      AP_IPADDR:=192.168.1.2
      AP_NETMASK:=255.255.255.0
      IPGW:=192.168.1.1
      ADDR_MODE:=DHCP
      TELNET_ALLOW:=0
      AC_DISCOVERY_TYPE:=0
      AC_IPADDR_1:=192.168.1.1
      AC_CTL_PORT:=5246
      AC_DISCOVERY_MC_ADDR:=224.0.1.140
      AC_DISCOVERY_DHCP_OPTION_CODE:=138
     
      '''NOTE''' Alle die hier aufgeführten Optionen können mit "cfg -a" konfiguriert werden!
 
Um die Konfiguration schlussendlich abzuspeichern führe folgendes durch:
 
      # cfg –c
 
=== Was ist zu berücksichtigen wenn ein FortiAP seine IP über den Forti WiFi Controller per DHCP Server erhält? ===
 
Wenn die FortiAP nicht mit einer "static" IP Adresse konfiguriert werden sondern Ihre IP per DHCP Server bekommen der auf dem Forti WiFi Controller läuft kann die IP des Forti WiFi Controller über die DHCP Option 138 mitgegeben werden. Dazu muss auf dem FortiAP diese Option eingeschaltet werden und zwar folgendermassen:
          
          
        # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
          
          
         '''NOTE''' Wenn die Option 138 bereits anderweitig in Benützung ist kann über diesen Befehl
         my_vaps="'' _2 _3 _4 _5 _6 _7 _8"
            ein anderer freier Code definiert werden!
        for i in $my_vaps;
 
        do
Danach muss über den DHCP Server auf der FortiGate die Option definiert werden und zwar in "hexadecimal". Dies bedeutet die IP muss in "hexadecimal" umgerechnet werden und dies für jedes "octet" von Links nach Rechts. Im nachfolgenden Beispiel sind die FortiAP's über das Interface (192.168.3.1) auf der FortiGate im Segment 192.168.3.0/24 angeschlossen:
            if [ "${i}" = "''" ]; then
 
                i=""
         '''NOTE''' Unter FortiOS 5 steht die Option für den WiFi Controller im entsprechenden DHCP Server zur
            fi
            Verfügung und muss nicht mehr über Hex Konfiguriert werden. Für die Definiton des WiFi Controllers
         ITER_AP_MODE="AP_MODE$i"
            muss folgender Befehl benutzt werden:
        ITER_AP_SECMODE="AP_SECMODE$i"
           
        ITER_AP_SECFILE="AP_SECFILE$i"
            # config system dhcp server
        ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
            # edit [Integer für den entsprechenden DHCP Server Eintrag zB "1"]
        eval ITER_MODE=\$$ITER_AP_MODE
            # set wifi-ac1 [IPv4 Adresse des WiFi Controllers]
        eval ITER_SECMODE=\$$ITER_AP_SECMODE
            # set wifi-ac2 [IPv4 Adresse des WiFi Controllers]
        eval ITER_SECFILE=\$$ITER_AP_SECFILE
            # set wifi-ac3 [IPv4 Adresse des WiFi Controllers]
        eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
            # end
        cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
 
         cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
         IP = 192.168.3.1
        cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
            192 = C0
        done                        LE=${ITER_WPS_ENABLE:="0"}
            168 = A8
              3 = 03
              1 = 01
          
          
         '''Hex = C0A80301'''
         ##
        ## Export the variables again to catch the defaults
        ##
          
          
         '''NOTE''' Für die Umrechnung kann zB folgende Seite benutzt werden (Nicht vergessen von Links nach Rechts!):
         cfg -E > /tmp/vars.$$
           
        . /tmp/vars.$$
            http://www.mathsisfun.com/binary-decimal-hexadecimal-converter.html
        rm /tmp/vars.$$
 
Nachträglich kann die Konfiguration resp. die Zuweisung der IP sowie des AC Controllers über Kommandozeile auf dem AP kontrolliert werden anhand folgendes Befehls:
 
        # cw_diag -c wtp-cfg
          
          
         '''NOTE''' Wenn der entsprechende AP über keinen Consolen Port verfügt kann über den Wirelesss Controller
         ##
            anhand Telnet auf den AP zugegriffen werden. Weitere Informationen siehe:
        ## Set the proper radio parameter values depending on the
           
        ## interface selected. These are exported vice included
            [[FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
        ## in cache. These should really be in apup vice here,
 
        ## but this works OK.
=== Wenn ich bei einer Konfiguration eines Access Point Profiles "automatic" wähle was gilt dann? ===
        ##
 
       
Wenn bei der Konfiguration eines Access Points resp. auf dem WiFi Controller ein Profil erstellt werden soll kann die Position "automatic" benutzt werden. Für diesen Konfigurationspunkt gelten folgende Einstellungen:
        for i in $my_vaps;
        do
            if [ "${i}" = "''" ]; then
                i=""
        fi
            ITER_RADIO_ID="AP_RADIO_ID$i"
            eval ITER_RADIO_ID=\$$ITER_RADIO_ID
            if [ "${ITER_RADIO_ID}" = "1" ]; then
                export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
        else
                export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
        fi
        done
       
        #####################################################################################
        ## The following parameters are board specific, and should not be modified
        #####################################################################################
       
        export ATH_use_eeprom=0
       
        --------------- output dflt.cfg ---------------


        [[Datei:Fortinet-333.jpg]]
=== Wo befindet sich das Standard Zertifikat auf dem FortiOS für ein Forti Access Point? ===


=== Wie verhindere ich das die SSID über Broadcast mitgeteilt wird? ===
Das Standardzertifikat für deinen Forti Access Point ist von zentraler Bedeutung und sollte niemals manipuliert werden. Dieses Zertifikat spielt eine wesentliche Rolle bei mehreren kritischen Funktionen:
# '''Verbindungsaufbau über CAPWAP (UDP 5246):''' CAPWAP ('''C'''ontrol '''a'''nd '''P'''rovisioning of '''W'''ireless '''A'''ccess '''P'''oints) ist das Protokoll, das für die Kommunikation zwischen dem Access Point und dem Controller verantwortlich ist. Das Standardzertifikat gewährleistet eine sichere Authentifizierung und Integrität dieser Verbindung.
# '''Firmware-Upgrades:''' Das Zertifikat wird auch verwendet, um sicherzustellen, dass Firmware-Upgrades authentisch und nicht kompromittiert sind. Dies schützt dein Netzwerk vor potenziellen Sicherheitslücken und Malware-Infektionen durch manipulierte Firmware.
# '''DTLS-Verschlüsselung:''' Datagram Transport Layer Security (DTLS) wird verwendet, um den Datenverkehr zu verschlüsseln und so die Vertraulichkeit und Integrität der übertragenen Daten zu gewährleisten. Das Standardzertifikat ermöglicht die sichere Einrichtung dieser Verschlüsselung.
* [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]
Die Zertifikate befinden sich im folgenden Verzeichnis:
<pre style="background-color:#252269;color: #FFFFFF">
        /etc/cert
       
        /etc/fgt.crt
        /etc/fgt.key
</pre>
----
<small>edit 13.06.2024 - 4Tinu</small>


Normalerweise wird die gesetzte SSID über Broadcast bekannt gegeben. Möchte man dies verhindern so muss über die Console folgendes durchgeführt werden:
=== Wo befindet sich das "root" des WebServers auf dem FortiOS für einen Forti Access Point? ===


         # config wireless-controller vap
Über das FortiOS eines Forti Access Point wird ein Mgmt. Web Interface für die minimale lokale Konfiguration zur Verfügung gestellt. Das "root" des WebServers dieses Mgmt. Web Interface befindet sich auf dem FortiOS eines Forti Access Point im folgenden Verzeichnis:
        # edit [Name SSID resp. VAP Name]
<pre style="background-color:#252269;color: #FFFFFF">
        # set broadcast-ssid disable
         /usr/www
        # end
</pre>
----
<small>edit 13.06.2024 - 4Tinu</small>


=== Wie konfiguriere ich auf eine bestimmte SSID einen MAC Filter? ===
=== Welche Linux Befehle können auf einem FortiOS für einen Forti Access Point benützt werden? ===


MAC Filter sind dazu da um einen Zugriff auf eine SSID zu erlauben oder zu verhindern (FortiOS 4.3.x only). MAC Filter können ein zusätzliches Security Feature sein jedoch ersetzen diese auf keinen Fall die Security selber dh. MAC Filter sollten immer im Zusammenhang mit WPA2 usw. benützt werden. Um einen MAC Filter zu konfigurieren gehe folgendermassen vor:
Ein Forti Access Point basiert auf einem  "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Linux Kommandos abgesetzt werden wie zB:
 
<pre style="background-color:#252269;color: #FFFFFF">
        # config wireless-controller vap
         ifconfig
        # edit [Name wpa-profile]
         more
        # config mac-filter-list
         cd
         # edit 1
</pre>
         # set mac [MAC Adresse]
Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:
         # set mac-filter-policy allow
<pre style="background-color:#252269;color: #FFFFFF">
        # next
        /bin
        # end
        /sbin
        # end
       
        '''NOTE''' Unter FortiOS 5.x wurde das Kommando "mac-filter-policy" entfernt und die Funktion verschoben zur DHCP Server Funktion. Wenn
            man unter dem entsprechenden DHCP Server (SSID) über WebGui nachschaut, stellt man fest das unter "MAC Address Controll List"
            neu folgende Funktionen im Zusammenhang mit der MAC Adresse vorhanden sind:
           
            Reserve IP
            Assign IP
            Block
           
            Das effektive Replacement von der "mac-filter-policy" unter FortiOS 5.x ist die Funktion "devcie-access-list". Anhand dieser Funktion
            werden Device's nach deren Identifizierung zB als IPhon, IPad etc. in einer Policy erlaubt oder nicht. Folgende CLI Kommandos stehen
            zur Verfügung:
           
            # config user device-access-list
            # edit [Name der Device Liste]
            # set default-action [ accept oder deny]
            # config device-list
            # edit [ID der Device Liste]
            # set action [ accept oder deny]
            # set device [Name des Devcies]
            # end
            # end
           
            [[Datei:Fortinet-382.jpg]]


=== Kann ich einen FortiAP so konfigurieren das ALLE Devices die er in der Umgebung erkennt auflistet? ===
         # ls -la /bin
 
Ein FortiAP kann mit folgenden Befehl in den "station-locate" gesetzt werden:
 
            # config wireless-controller wtp-profile
            # edit [Wähle das entsprechende Profil]
            # config radio-1
            # set station-locate enable
            # end
            # config radio-2
            # set station-locate enable
            # end
            # end
           
            '''NOTE''' Es müssen nicht beide Radios auf "station-locate enable" gesetzt werden! Wenn auf
                  einem Radio "station-locate" benutzt wird beeinträchtigt dies nicht die vorhandene
                  Konfiguration bestehender SSID!
 
Wenn diese Option benutzt wird listet der FortiAP alle Devices die er in seiner Umgebung kennt auf mit folgenden Informationen:
 
        MAC Adressen
        Wireless Abhängige Informationen
 
Es dauert einige Zeit bis die Informationen abrufbar sind dh. folgender Befehl kann benutzt werden um diese einzusehen:
 
         # diagnose wireless-controller wlac -c sta-locate
          
          
        sta_mac              vfid  rid base_mac          freq_lst  frm_cnt  frm_fst frm_last    intv_sum    intv2_sum    intv3_sum intv_min intv_max  signal_sum  signal2_sum  signal3_sum  sig_min  sig_max  sig_fst sig_last  ap
         --------------- output /bin ---------------
        00:24:d7:e2:ea:08      0
        FAP22B3U11011877      0    0 00:09:0f:f9:29:22    5220        3      164      44          120        7200      432000      59      60         -246        20190    -1658532      -85      -79      -79      -85    0
          
          
         04:54:53:dd:84:1c      0
         drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
        FAP22B3U11011877      0   0 00:09:0f:f9:29:22    5220        5      163      40          123         6410      366066        0      64         -406        32974    -2678584      -82      -79      -81      -82   0
        drwxr-xr-x  15 admin    root            0 Jan  1  1970 ..
          
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ash -> busybox
         04:f7:e4:40:4d:f9      0
        -rwxr-xr-x    1 admin    root      1143436 Dec 11 00:54 busybox
        FAP22B3U11011877      0   0 00:09:0f:f9:29:22    5220      41      188      25          162         3288        86679        0      32        -3095      233737   -17659835      -79      -74      -74      -76   0
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cat -> busybox
 
        lrwxrwxrwx    1 admin    root          24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
 
        lrwxrwxrwx    1 admin   root            7 Dec 11 00:54 chmod -> busybox
=== Kann ich einen FortiAP so konfigurieren, dass er den gleichen IP Range wie im LAN benutzt? ===
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cp -> busybox
 
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 date -> busybox
Grundsätzlich ist dies so nicht möglich dh. diese Konfiguration kommt einem "overlapping-subnet" gleich und ist per Standard nicht konfigurierbar. Dies bedeutet, wenn auf einer FortiGate ein Interface konfiguriert wird so wird diese Konfiguration nach "overlapping-subnet" kontrolliert. Ist dies der Fall wird die Konfiguration verhindert. Also möchte man zB folgende Konfiguration durchführen:
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 df -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 dmesg -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 echo -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 egrep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 factoryreset -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 fgrep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 grep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ip -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 iproute -> busybox
        lrwxrwxrwx   1 admin    root            7 Dec 11 00:54 kill -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ln -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 login -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ls -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mkdir -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 more -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mount -> busybox
        lrwxrwxrwx    1 admin   root            7 Dec 11 00:54 mv -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ping -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ps -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 pwd -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rm -> busybox
         lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rmdir -> busybox
        lrwxrwxrwx   1 admin    root            7 Dec 11 00:54 sh -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sleep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sync -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 touch -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 umount -> busybox
        lrwxrwxrwx   1 admin    root            7 Dec 11 00:54 uname -> busybox
       
        --------------- output /bin ---------------  


         Internal Interface IP 192.168.1.1/24
         # ls -al /sbin
         SSID Interface IP    192.168.1.2/24
          
         DHCP Range Internal  192.168.1.65-126
         --------------- output /sbin ---------------  
        DHCP Range SSID      192.168.1.129-254
 
Muss folgender Befehl auf der Kommandozeile der FortiGate abgesetzt werden ansonsten wird die Konfiguration verhindert:
 
        [[Fortigate:FAQ#Kann_ich_auf_einem_Interface_eine_Secondary.2FVLAN_Adresse_konfigurieren_die_sich_mit_der_Interface_IP_overlaped.3F]]
 
Danach muss darauf geachtet werden, dass entweder ein DHCP Server für beide Interfaces benutzt wird (auf FortiAP einen Relay Konfigurieren) oder im Internal eine DHCP Server der nur die entsprechenden IP's verteilt (192.168.1.65-126) sowie einen DHCP auf der SSID mit dem entsprechenden Range (192.168.1.129-254).
 
== Upgrade ==
 
=== Wie kann ich für ein FortiAP betreffend Firmware ein Upgrade durchführen? ===
 
Bevor ein Upgrade betreffend FortiAP Firmware durchgeführt wird, sollte man verifizieren welche Firmware (FortiOS) dazu benutzt werden soll. Weitere Informationen findet man im Artikel:
 
        [[FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F]]
 
Es gibt vers. Varianten die Firmware eines FortiAP's auf den neusten Stand zu bringen:
 
        • Ueber einen TFTP Server während des Boot Sequenz des FortiAP's. Weitere Informationen siehe Artikel:
         
          [[FortiAP:FAQ#Wie_kann_ich_die_Firmeware_eines_Access_Point_wiederherstellen.3F]]
 
        • Ueber den Wireless Controller der FortiGate unter Benutzung der CLI sowie eines TFTP Servers. Weitere
          Informationen siehe Artikel:
         
          [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_FortiAP.27s_betreffend_Firmware_einen_Bulk_Upgrade_durchf.C3.BChren.3F]]
 
        • Direkt über die CLI des FortiAP anhand eines TFTP Servers
         
          # restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
 
        • Ueber das FortiGate WebManagement Gui dh. wähle im Gui folgendes Position:
         
          WiFi Controller > Managed Access Points > Managed FortiAP
         
          --> Doppelklicke den entsprechenden FortiAP und wähle dort unter "FortiAP OS Version" die Position "Upgrade"
 
=== Wie kann ich für mehrere FortiAP's betreffend Firmware einen Bulk Upgrade durchführen? ===
 
Nun wenn in einer Installation/Konstellation mehrer FortiAP's involviert sind und man jeden FortiAP einzeln auf den neusten Stand (FortiOS) bringen muss kann dies mit einigem Aufwand verbunden sein. Um dies zu verhindern kann ein sogenannter "bulk" Upgrade durchgeführt werden dh. durch vers. Kommandos werden ALLE FortiAP's angewiesen ein Upgrade betreffend FortiOS durchzuführen. Vorraussetzungen für solch ein "bulk" Upgrade ist:
 
        - Entsprechendes FortiOS auf der FortiGate (Siehe Artikel [[FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F]])
        - TFTP Server im Netz und für alle FortiAP's erreichbar (SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx )
 
Ausgehend davon, dass ein TFTP Server im Netz installiert ist und durch alle FortiAP's erreichbar sind sowie das entsprechende Image auf dem TFTP Server für die spezifizierten FortiAP's bereitgestellt wurde, führe auf der CLI der FortiGate die für die FortiAP's als Controller agiert folgendes aus:
 
        # execute wireless-controller upload-wtp-image tftp [Image Name FortiAP's Image] [IP Adresse des TFTP Servers]
          
          
         '''ACHTUNG''' Pro "bulk" Upgrade kann nur EINE bestimmte Hardware resp. Image angegeben werden dh.  
         drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
                zB für FortiAP-221B. Es können nicht verschiedene Images und/oder Hardware in einem
        drwxr-xr-x  15 admin    root            0 Jan  1  1970 ..
                "bulk" Upgrade gemischt werden! Das Upgrade wird durch das Kommando nicht effektiv durchgeführt
        -rw-r--r--   1 admin    root            0 Dec 11 00:35 .dummy
                sondern nur auf dem Wireless Controller bereitgestellt!
        -rwxr-xr-x    1 admin    root        12128 Dec 11 00:54 apstart
 
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 arp -> ../bin/busybox
Durch folgendes Kommando wird nun verifiziert welches Image auf dem Wireless Controller bereitsteht um sicherzugehen, dass auch das richtige Image bereitgestellt wird:
        -rwxr-xr-x    1 admin    root      1348400 Dec 11 00:54 cwWtpd
 
        -rwxr-xr-x    1 admin    root        6096 Dec 11 00:54 cw_debug
         # execute wireless-controller list-wtp-image
        lrwxrwxrwx    1 admin    root            6 Dec 11 00:54 cw_diag -> cwWtpd
 
         -rwxr-xr-x    1 admin    root        2534 Dec 11 00:46 cw_test_led
Nun kann durch folgende Befehl die FortiAP's mit dem bereitstehenden Image als "bulk" Upgrade durchgeführt werden:
        -rwxr-xr-x    1 admin    root        3727 Dec 11 00:46 cw_test_radio
 
        -rwxr-xr-x    1 admin    root        4652 Dec 11 00:54 diag_console_debug
         # execute wireless-controller reset-wtp [Gebe an "all" oder die Serien Nummern]
        -rwxr-xr-x    1 admin    root        5084 Dec 11 00:54 diag_debug_crashlog
          
         -rwxr-xr-x    1 admin    root        3932 Dec 11 00:54 ebtables
         '''NOTE''' Um die Serien Nummern über den Wireless Controller anzuzeigen gebe folgendes ein:
         -rwxr-xr-x    1 admin    root        9508 Dec 11 00:54 fap-factory-license
           
         -rwxr-xr-x    1 admin    root        4892 Dec 11 00:54 fap-get-status
            # config wireless-controller wtp
        -rwxr-xr-x    1 admin    root        4484 Dec 11 00:54 fap-mount-udisk
            # get
        -rwxr-xr-x    1 admin    root        5956 Dec 11 00:54 fap-set-hostname
 
        -rwxr-xr-x    1 admin    root        4148 Dec 11 00:54 fap-umount-udisk
Nun wird das Upgrade -sofern "all" angegeben wurde- durchgeführt und kann nachträglich zB über das WebGui kontrolliert werden!
        -rwxr-xr-x   1 admin    root        74220 Dec 11 00:54 fsd
 
        -rwxr-xr-x    1 admin    root        11012 Dec 11 00:54 get
=== Kann ich einen FortiAP Firmeware 5.2 basierend anhand eines "Downgrade's" mit Firmeware 5.0.x laden? ===
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 getty -> ../bin/busybox
 
        lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 halt -> ../bin/busybox
Grundsätzlich ja dh. alle FortiAP's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:
        -rwxr-xr-x   1 admin    root        4408 Dec 11 00:54 help
 
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 ifconfig -> ../bin/busybox
         Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh.  
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 init -> ../bin/busybox
         durch einen Fix im Bios wird "verunmöglicht" diesen FortiAP mit 5.0.x "downzugraden", wenn der FAP-221C
        -rwxr-xr-x   1 admin    root        3724 Dec 11 00:54 init_sys_shm
         auf Stand 5.2 build 0212 (4090) sich befindet.
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 insmod -> ../bin/busybox
 
        -rwxr-xr-x   1 admin    root        21584 Dec 11 00:54 iwconfig
Es muss dabei berücksichtigt werden, dass FortiOS 5.2 basierende FortiAP's "nur" mit FortiGate's basiernd auf FortiOS 5.2 betrieben werden können.
         -rwxr-xr-x    1 admin    root        25304 Dec 11 00:54 iwlist
 
         -rwxr-xr-x    1 admin    root        11352 Dec 11 00:54 iwpriv
== Backup ==
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 lsmod -> ../bin/busybox
 
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 modprobe -> ../bin/busybox
=== Kann ich von einer FortiAP Konfiguration ein Backup erstellen? ===
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 poweroff -> ../bin/busybox
 
         -rwxr-xr-x    1 admin    root        12548 Dec 11 00:54 radartool
Ja dies ist möglich und ist am Einfachsten über das WebGui des FortiAP durchzuführen! Dieses steht jedoch erst ab Version 5.x zur Verfügung. Ein Backup eines FortiAP enhält folgende Informationen:
         lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 reboot -> ../bin/busybox
 
         -rwxr-xr-x    1 admin    root          61 Dec 11 00:49 repeater_pass_configuration
         BAUD_RATE=9600
         -rwxr-xr-x    1 admin    root         5884 Dec 11 00:54 restore
         ADDR_MODE=DHCP
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 rmmod -> ../bin/busybox
         AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 route -> ../bin/busybox
         AP_NETMASK=255.255.255.0                                          [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
         -rwxr-xr-x    1 admin    root         5884 Dec 11 00:54 setcfg
         IPGW=192.168.1.1                                                  [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
         -rwxr-xr-x    1 admin    root         9268 Dec 11 00:54 startup_fw
         HTTP_ALLOW=1                                                       [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 udhcpc -> ../bin/busybox
         MESH_AP_TYPE=1                                                     [1 = Mesh Type "leave"; 2 = Mesh Type root]
         lrwxrwxrwx    1 admin    root          14 Dec 11 00:54 upgrade -> ../bin/busybox
         MESH_AP_SSID=mesh-backhaul                                        [Mesh SSID Name]
         -rwxr-xr-x    1 admin    root      105972 Dec 11 00:54 usbmuxd
         MESH_AP_PASSWD=only4also                                          [Mesh SSID Passwort]
         -rwxr-xr-x    1 admin    root        19848 Dec 11 00:54 wlanconfig
        AC_DISCOVERY_TYPE=0                                                [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
         -rwxr-xr-x    1 admin    root      244180 Dec 11 00:54 wpa_supplicant
         AC_CTL_PORT=5246                                                  [CAPWAP Comunication Port]
          
         AC_IPADDR_1=192.168.3.1                                            [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
         --------------- output /sbin ---------------
         AC_HOSTNAME_1=proxy.local.intra                                    [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
</pre>
         AC_DISCOVERY_MC_ADDR=224.0.1.140
----
         AC_DISCOVERY_DHCP_OPTION_CODE=138                                  [DHCP Option Code]
<small>edit 13.06.2024 - 4Tinu</small>
         AC_DATA_CHAN_SEC=2                                                [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
         WTP_NAME=FP221B3X12001413                                          [Hostname FortiAP]
         ADMIN_TIMEOUT=5                                                    [Admin Timeout Default 5 Minuten]
         DNS_SERVER=192.168.1.1                                            [DNS Server]
         AP_MGMT_VLAN_ID=0
         STP_MODE=0
         TELNET_ALLOW=1
         MESH_AP_BSSID=
         MESH_ETH_BRIDGE=0
        MESH_MAX_HOPS=4
        MESH_SCORE_HOP_WEIGHT=50
        MESH_SCORE_CHAN_WEIGHT=1
        MESH_SCORE_RATE_WEIGHT=1
        MESH_SCORE_BAND_WEIGHT=100
        MESH_SCORE_RSSI_WEIGHT=100


Anhand dieser Angaben können mehrere FortiAP's ausgerollt werden dh. durch Manipulation des Konfig Files und Restore Funktion können mehrer FortiAP's so per Mesh zum Wireless Controller verbinden um dort die Konfiguration über das Mgmt. WebInterface zu vervolständigen.
== FortiPlanner ==
=== Was ist ein FortiPlanner und wo finde ich weitere Informationen zum FortiPlanner? ===


== Ethernet Bridging ==
Beim FortiPlanner handelt es sich um ein Tool das Fortinet zur Verfügung stellt um eine Wireless Plannung durchzuführen. Weitere Informationen zum FortiPlanner siehe nachfolgenden Artikel:


=== Wie konfiguriere ich ein Wireless Ethernet Bridging? ===
        [[FortiPlanner:FAQ]]


Im normal Fall wird der Traffic eines Users der auf einem Access Point verbunden ist über den "DataChannel" innerhalb des CAPWAP Protokolls ([[FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F]]) zum WiFi Controller auf der FortiGate gesendet. Aus diesem Grund ist es im normal Fall nicht möglich, dass ein User eine Resource innerhalb des Segments indem der Access Point installiert ist, direkt angeht. Möchte man dies aus irgendwelchen Gründen ermöglichen (ab FortiOS 5) basiert diese Funktion auf dem "Ethernet Bridging". Diese Funktion basiert auf "zwei" Konfigurationsmöglichkeiten dh. :
== 802.11 ==


        '''LOCAL BRIDGE WITH FORTIAP INTERFACE:'''
=== Wo finde ich detailliert Informationen über den Wireless "IEEE 802.11" Standard? ===
       
        - Aktivierung auf der entsprechenden SSID der Funktion Ethernet Bridging (Aktivierung des Konfigurationspunktes "Local bridge with FortiAP interface")!
           
            '''ACHTUNG''' Pro Access Point ist es nur möglich "ein" "Local bridge with FortiAP interface" zu konfigurieren. Dies kann im Zusammenhang mit
                    einer VLan ID geschehen oder nicht. Ein zweites Netz mit oder ohne VLan "auf" dem FortiAP zu konfigurieren ist nicht möglich!
       
            '''NOTE''' Wenn der Konfigurationspunkt "Local bridge with FortiAP interface" aktiviert ist auf der SSID und der Access Point verliert die Verbindung
                zum FortiGate WiFi Controller so werden die WiFi Clients nicht beinträchtigt da der Access Point im Bridge Mode ist und somit die CAPWAP
                Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren. 


        '''ETHERNET BRIDGING:'''
Folgender Link gibt Auskunft über den "IEEE 802.11" Standard und enthält weitere nützliche Links:
       
        - Erstellung eines Software Switches anhand des Segments indem der Access Point installiert ist und der entsprechenden SSID auf der "Ethernet Bridging"
          aktivie
               
            '''ACHTUNG''' Die Konfiguration anhand eines "Software Switch" ist nur dann möglich, wenn der Access Point mit dessen SSID über die FortiGate kontrolliert
                    wird (FortiGate WiFi Controller) auf dem der "Software Switch" konfiguriert wird. Bedeutet: wird ein Access Point über einen zentralen WiFi
                    Controller kontrolliert/konfiguriert und der Access Point sich in einem Remote oder Branche Office befindet, kann kein "Software Switch" erstellt
                    werden, da der Port der Remote/Branche Lokation nicht zur Verfügung steht auf der zentralen FortiGate auf dem der Access Point kontrolliert und
                    konfiguriert wird! Somit für Access Point's die sich in einer Remote und/oder Branche Lokation befindet wird "Local bridge with FortiAP interface"
                    benutzt "ohne" Software Switch. Dies bedeutet wiederum, dass Access Point die im "full bridge" Mode sind KEINE DHCP Adresse beziehen. Dies
                    bedeutet wiederum, dass Clients auf solchen SSID's die DHCP Adressen aus diesem Segment beziehen müssen indem sich der Access Point befindet!


Nachfolgend ein Beispiel für so ein Scenario dh. eine SSID die den Konfigurationspunkt "Local bridge with FortiAP interface" aktiviert hat jedoch keine Möglichkeit besteht für eine Konfiguration anhand der Funktion "Software Switch":
         http://en.wikipedia.org/wiki/802.11
          
        [[Datei:Fortinet-359.jpg]]


Um dieses Ethernet Bridging zB anhand eines "Software Switch" zu konfigurieren/erstellen gehen wir von folgendem Beispiel aus:
=== Wo finde ich detailliert Informationen über den Wireless "802.11ac" Standard? ===


                          ____________                        _________________________
Fortinet hat ein Dokument veröffentlich in dem der neue "802.11ac" ([[http://en.wikipedia.org/wiki/IEEE_802.11ac |IEEE 802.11ac]] Standard beschrieben wird:
        193.193.135.66/29|            | 192.168.1.99        |                         |
        ----- WAN 1 -----|  Fortigate |------ LAN -----------| LAN Env. 192.168.1.0/24 |
                        |____________|            |        |_________________________|
                                          _________|____
                                          |              |
                                          | Access Point |
                                          |______________|
       
Erstelle eine entsprechende SSID auf der das Ethernet Bridging aktiviert ist zB:


         [[Datei:Fortinet-360.jpg]]
         [[Datei:802.11ac_Wireless_LAN_FAQ_-_July_2013.pdf]]
        [[Datei:802.11ac_Wireless_LAN_FAQ_-_Januar_2014.pdf]]
        [[Datei:802.11ac_Wireless_LAN_FAQ_-_Februar_2014.pdf]]


Wenn die SSID die erstellt wurde dh "only4internal" Mitglied einer bestimmten VLAN-ID sein soll kann dies folgendermassen konfiguriert werden:
Dabei ist eine Position in den Dokument zu berücksichtigen:


        # config wireless-controller vap
         '''Do I need to buy new APs to support 802.11ac?'''
        # edit "only4internal"
        Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
        # set vlanid 100
        It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.
        # end
       
         '''NOTE''' Siehe auch folgender Artikel [[FortiAP:FAQ#Kann_ich_eine_SSID_mit_einer_VLAN-ID_versehen_um_den_Ethernet_Port_nach_802.1Q_zu_.22taggen.22.3F]]


Wenn die Konfiguration über Console durchgeführt werden soll gebe folgendes ein:
Somit können bestehende Modelle wie zB FAP-221B nicht auf den neuen Standard 802.11ac anhand eines Software Updates gebracht werden da es für den 802.11ac Standard neue Hardware benötigt die diesen Standard 802.11ac unterstützt wie zB FAP-221C. Desweiteren ist zu berücksichtigen, dass für diesen Standard resp. neue Hardware und für FortiOS 5.0 ein spezielles FortiOS installiert werden muss, damit die neuen FAP-221C die auf diesen neuen Standard 802.11ac basieren erkannt werden. Dieser neue "Special Support Build" wird basierend auf FortiOS 5.0 unter folgenden Link zur Verfügung gestellt:
           
            https://support.fortinet.com/Download/FirmwareImages.aspx
           
            / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/


        # config wireless-controller vap
Dieser Link kann nur dann aufgerufen werden, wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Mit diesem "Special Support Build" wird ausschliesslich die neuen Forti Access Point (zB FAP-320C und FAP-221C) basierend auf 802.11ac unter FortiOS 5.0 unterstützt. Die Forti Access Points müssen mit FortiOS 5.2 betrieben werden. Um den "Special Support Build" zu installieren muss folgendermassen vorgegangen werden:
        # edit [Name des Interfaces zB "only4internal"]
        # set vdom "root"
        # set ssid "[Name der SSID für Ethernet Bridging zB "only4internal"]"
        # set local-bridging enable
        # set security [Setze die entsprechende Authentifizierung zB "wpa-personal"]
        # set passphrase "[Setze zur SSID das entsprechende Passwort]
        # end


Als nächsten Schritt erstelle für den Access Point ein entsprechendes Profil (zB Name "internal-bridge) und weise die SSID für das Ethernet Bridging zum Profil und zum entsprechenden Radio hinzu! Nun kann das Profil zum entsprechende Access Point der in unserem Beispiel zum Segement 192.168.1.0/24 verbunden ist hinzugefügt werden. Ueber CLI führe folgende Befehle aus:
        1. Installierte Basis offizielles FortiOS 5.0.x
 
       
        # config wireless-controller wtp
        2. Upgrade auf die letzte zur Verfügung stehende offizielle Version zB FortiOS 5.0.12 gemäss Upgrade Path:
        # get
         
        FAP22B3U11005354
          [[Datei:FortiOS-Upgradepath.pdf]]
          
          
         # edit FAP22B3U11005354
         3. Einspielen des "Feature Support Build" basierend auf FortiOS 5.0.12
        # set admin enable
        # set vaps "inernal-bridge"
        # end


Wie gewohnt wird diese SSID als virtuelles Interfaces unter den Interfaces (System > Network > Interface) erstellt. Um nun einen Software Switch zu erstellen wähle im WebGui folgendes:
Für FortiOS 5.2 und höher muss zur Unterstützung der neuen 802.11ac Standard kein "Feature Support Build" installiert werden!


        System > Network > Interface > Create New > Interface
=== Wo finde ich detailliert Informationen über Wireless "802.11AC MU-MiMo" Funktion? ===
       
        Danach wähle:
       
        Type > Software Switch
       
Nun können die entsprechenden Interface gewählt werden dh. unsere vorher erstellt SSID im Ethernet Bridging "only4internal" sowie das Interface "internal". Vergebe eine Adresse aus diesem Segment "internal". Der DHCP Server muss aktiviert werden oder manuell erstellt werden. Dieser DHCP Server vergibt den WiFi Usern die über "only4internal" verbinden möchte IP's aus dem "internal" Bereich. Die Konfiguration ist abgeschlossen. Für den Traffic zischen der SSID "only4internal" sowie "internal" benötigen wir KEINE Firewall Policy". Für Traffic zu anderen Segmenten MUSS für die Erstellung der nötigen Firewall Policy der Software Switch herangezogen werden da die SSID "only4internal" Bestandteil dieses Software Switches ist.


Um ein Software Switch über die Kommandozeile CLI zu konfigurieren gebe folgendes ein:
Unter "802.11AC MU-MiMo" versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". MiMo bedeutet somit konkret:


         # config system interface
         MI steht für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen
        # edit only4internal-nw
 
        # set ip 192.168.1.100 255.255.255.0
Dahinter verbirgt sich im Prinzip ein cleveres Radio/Antennen Management! Wenn ein Access Point über mehrer "radios" mit Antennen vefügt, kann der Access Point seine "radio" Antennen gezielt aufteilen wenn er mehrere Gegenstellen zu bedienen hat um damit jeder Gegenstelle eine besonders stabile und starke Verbindung zu garantieren:
        # set type switch
 
         # set security-mode [Optional kann eine Authentifizierung implementiert werden zB "captive-portal"]
         [[Datei:Fortinet-326.jpg]]               oder              [[Datei:Fortinet-331.jpg]]
        # set security-groups [Wenn security-mode gesetzt ist kann hier die entsprechende Gruppe der User definiert werden]
 
        # end
Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:
        # config system interface
        # edit only4internal-nw
        # set member "only4internal" "internal"
        # end


== VLAN ==
        [[Datei:Fortinet-718.jpg]]


=== Was sind Dynamische VLAN's und wie konfiguriere ich diese? ===
Wenn diese Technology für "802.11AC MU-MiMo", die auch für den Forti Access Point FAP-320B/C benutzt wird eingesetzt werden soll, so muss ebenfalls die Client/Host Seite über diese Technolgie verfügen. Dies bedeutet: der Client/Host selber müssen diese Technologie durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client/Host zB IPad "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte um die entsprechende Performance zu erlangen!


Ab FortiOS 5.0.4 ist es möglich "Dynamische VLAN's" einer SSID zu vergeben. Dynamische VLAN's sind im "tunnel" oder im "bridge" Mode unterstützt. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen dh. je nachdem mit welchen Informationen (Anmeldeinformationen) sich ein User zur SSID verbindet, wird die entsprechende VLAN ID zugewiesen. Dies ermöglicht eine Unterscheidung von Usern Netzwerktechnisch, auch wenn alle User die gleiche SSID benutzen. Diese Unterscheidung wird erreicht, indem die User Authentifizierung über Radius erfolgt und der Radius Sever -nach einer erfolgreichen Authentifizierung- "Internet Engineering Task Force (IETF)" Attribute weitergiebt. Diew ermöglicht dem erfolgreich authentifizierten User die Zusweisung des entsprechenden VLAN's (VLAN ID wird im IETF übermittelt). Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen ist die Funktion selber unter der entsprechenden SSID generell zu aktivieren:
== 802.11ax - Wi-Fi6==
=== Welches FortiOS unterstützt den Wi-Fi6 Standard?===
* Das FortiOS 6.4.0 und höher unterstützen den Wi-Fi6 Standard.
* Das FortiOS '''6.2.7''' unterstützt den Wi-Fi6 Standard auch. Das heisst FortiGate Modelle wie zum Beispiel : 30E, 50E, 100D und 140D welche nicht mehr das FortiOS 6.4.x und höher unterstützen, können als Kontroller für Wi-Fi6 Accesspoint von Fortinet benutzt werden.  


        # config wireless-controller vap
Mehr Informationen über die Kompatibilität der Geräte findet man in diesem Wiki Artikel:
        # edit [Wähle den Namen der entsprechenden SSID]
* [[FortiGate:FAQ#Unterst.C3.BCtzt_meine_FortiGate_eine_bestimmte_FortiOS_Version.3F]]
        # set dynamic-vlan enable
        # end


Folgende Dokumente zeigen einige Beispiele wie so eine SSID mit "Dynamischen VLAN's" zu konfigurieren ist:
=== Welche FortiAP unterstützen den Wi-Fi6 Standard? ===
Sämtliche FortiAP mit dem Suffix F unterstützen den Wi-Fi6 Standard.
[[Datei:Fortinet-2865.jpg|750px|link=]]
----
'''Infrastruktur FortiAP:'''
* [[Fortinet:ProduktInfo#F_Serie]]
'''Universelle FortiAP:'''
* [[Fortinet:ProduktInfo#FortiAP_U431F]]
* [[Fortinet:ProduktInfo#FortiAP_U433F]]


        [[Datei:Dynamic VLANs.pdf]]                            (Dynamic VLANs)
== Wireless Controller ==
        [[Datei:Dynamic VLANs in tunnel mode.pdf]]            (Dynamic VLANs in tunnel mode)


=== Kann ich eine SSID mit einer VLAN-ID versehen um den Ethernet Port nach 802.1Q zu "taggen"? ===
=== Wie kann ich für einen FortiGate Wireless Controller den "Country Code" Konfigurieren? ===


Ab FortiOS 5.x jst es möglich eine SSID mit einem "Local Bridging" zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port gesendet anstelle diesen über den Data Channel Enkapsuliert(CAPWAP) zum FortiGate WiFi Controller zu senden. Dies ermöglicht ebenfalls eine VLAN-ID der SSID zu assignen um das FortiAP Ethernet Interface nach 802.1Q zu taggen. Ueber Gui kann diese Konfiguration nicht durchgeführt werden dh. eine VLAN-ID MUSS über CLI konfiguriert werden! Per Standard sind alle SSID's die über Gui erstellt wurden mit "Local Bridging" aktiviert mit einer VLAN-ID "0" versehen. Um "Error's" zu verhindern muss jede SSID die "Local Bridging" aktiviert hat mit einer anderen VLAN-ID versehen werden (Nur eine SSID mit VLAN-ID 0 ist erlaubt. Ueber das WebGui des Access Points ist diese Konfiguration einer VLAN-ID ersichtlich. Ebenfalls kann auf der CLI des Access Points folgender Befehl abgesetzt werden:
Ein Forti Access Point wird über die Fortigate Wireless Controller konfiguriert. Es ist zwingend Notwendig die korrekte "location" (Country Code) zu setzen bevor ein Forti Access Point konfiguriert wird. UM den entsprechenden Country Code auf dem FortiGate Wireless Controller zu konfigurieren führe folgendes durch:


         # brctl show
         # config wireless-controller setting
          
         # set country CH
         # cat /proc/net/vlan/conf
         # end


        '''NOTE''' Ab FortiOS 5.0.4 ist es möglich "Dynamische VLAN's" zu benutzen. Weitere Informationen dazu siehe folgender Artikel:
Wenn man die Konfiguration abschliesst, kann es zu einer Fehlermeldung führen. Der Grund dafür sind existierende WTP Profiles die auf den alten Country Code basierend. Der Konfigurationspunkt in den WTP Profiles die auf dem Country Code basieren, sind die zur Verfügung gestellten "channels" und diese können von Land zu Land unterschiedlich sein. Aus diesem Grund unter FortiOS 5.0 dürfen kein WTP Profiles existieren wenn der Country Code neu gesetzt wird. Aus diesem Grund müssen die bestehenden WTP Profiles unter FortiOS 5.0 gelöscht werden. Dies wird folgendermassen durchgeführt:
           
            [[FortiAP:FAQ#Was_sind_Dynamische_VLAN.27s_und_wie_konfiguriere_ich_diese.3F]]


== Mesh/Bridging ==
        # config wireless-controller wtp-profile
        # purge
        This operation will clear all table!
        Do you want to continue (y/n)'''y'''


=== Wie konfiguriere ich ein Wireless Mesh/Bridging Netzwerk (manuell/automatisch)? ===
Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert werden jedoch wird sämtliche "channel" Konfiguration zurückgesetzt und muss bei einer bestehenden Konfiguration nachträglich kontrolliert werden. Wird der Country Code unter FortiOS 5.2 auf der CLI geändert erscheint folgende Meldung:


Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5) folgende Arten eine Mesh Netzwerks:
        This operation will also clear channel settings of all the existing wtp profiles
        Do you want to continue (y/n)'''y'''


        '''NOTE''' Im Dezember 2013 hat Fortinet speziell eingehend auf "Mesh" ein spezielles Handbook released. Es lohnt
=== Kann ich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos absetzen? ===
            sich ebenfalls dieses Handbook einzusehen:
           
            [[FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]


        '''Wireless Mesh (No VLAN Support)'''
Ab FortiGate/FortiAccessPoint FortiOS 5.4.1 ist es möglich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos abzusetzen. Welche Kommandos dabei auf dem Forti Access Point abgesetzt werden können siehe nachfolgender Artikel:
        Ein Access Point -auch genannt "root" Mesh Access Point- ist direkt verbunden mit dem WiFi Controller
        (FortiGate oder FortiWiFi). Alle anderen Access Points -auch genannt "leaf" Mesh Access Points- benützen
        den WiFi Controller indem diese über den "root" Mesh Access Point sich zum WiFi Controller verbinden.
        Für Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh.
        bemerken nicht, dass sie sich zu einem Mesh Netzwerk verbunden haben.


         '''Wireless bridging (No VLAN Support)'''
         [[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_Lokal_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]
        Für ein Bridging werden zwei physische LAN Segmente über Wireless Access Points verbunden (the backhaul SSID).  
        Die Ethernet Anschlüsse an den Access Point ("leaf" Mesh Access Point) die diese LAN Segmente verbinden können
        benutzt werden um ein zusätzliches Wireless für die Clients bereitzustellen. Grundsätzliche sind die Clients
        direkt in dem jeweiligen Segment per LAN oder erweitertes Wireless Netzwerk verbunden.


Daraus ergeben sich folgende Möglichkeiten:
Wenn Kommandos die für eine Forti Access Point zur Verfügung stehen über den FortiGate Wireless Controller abgesetzt werden, spielt es keine Rolle ob der Administrative Access eines Forti Access Points dh. telnet, ssh, http oder https aktiviert ist oder nicht denn die Kommandos werden über CAPWAP UDP-5246 durchgeführt. Um ein Kommando abzusetzen steht folgende Syntax mit deren Optionen zur Verfügung:


         FortiAP werden benützt als "root" Mesh und "leaf" Mesh Access Points!
         # diagnose wireless-controller wlac wtpcmd [Forti Access Point IPv4] [CAPWAP Port] cmd [cmd-to-ap | run | show | showhex | clr | r&s | r&sh]
        [[Datei:Fortinet-345.jpg]]


        FortiWiFi wird benützt als "root" Mesh Access Point und die FortiAP's als "leaf" Mesh Access Points!
Die verschiedenen Optionen für "cmd" haben folgende Bedeutung:
        [[Datei:Fortinet-346.jpg]]


         FortiAP's werden benützt um zwei LAN Segmente zu verbinden (Bridging)!
         • cmd-to-ap:  any shell commands, but AP will not report results until the command is finished on the AP
         [[Datei:Fortinet-347.jpg]]
        • run:        controller sends the ap-cmd to the FAP to run
        • show:        show current results reported by the AP in text
        • showhex:    show current results reported by the AP in hex
        • clr:        clear reported results
        • r&s:        run/show
         • r&sh:       run/showhex


Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:
Das Kommando das sich am Besten eignet um Kommandos abzusetzen ist "r&s" dh. "run and show". Nachfolgend ein Beispiel anhand "cfg -s" das die momentane Konfiguration eines Forti Access Points zeigt:


         - Alle FortiAP's die im Mesh Wireless Network eingesetzt werden müssen über Firmware 5.0 Build 003 oder höher verfügen!
         # diagnose wireless-controller wlac wtpcmd [Forti Access Point IP] 5246 cmd r&s "cfg -s"
        - FortiAP 222B muss über die Bios Version 400012 oder höher verfügen (ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out)
        - Auf dem WiFi Controller (FortiGate und FortiWiFi) muss FortiOS 5.0 GA oder höher installiert sein!
       
          '''NOTE''' Folgende Funktionen sollten möglichst nicht benützt werden auf dem FortiAP "radio" auf dem der Mesh Link
              konfiguriert wurde:
         
              [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F]]
              [[FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22.3F]]
              [[FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F]]


Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischer Manueller (mehr Möglichkeiten) sowie Automatischer Konfiguration:
Um die IPv4 Adresse eines Forti Access Points über CLI zu verifizieren siehe nachfolgender Artikel:


         '''<big>AUTOMATISCHE KONFIGURATION WIRELESS MESH</big>'''
         [[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]
          
 
        Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].  
=== Wie kann ich auf einem FortiGate Wireless Controller ein Troubleshooting durchführen (diagnose)? ===
        Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen:
 
Auf einem FortiGate Wireless Controller stehen folgende troubleshooting Kommandos zur Verfügung um verschiedenen Informationen zu verifizieren:
 
        # diagnose wireless wlac -h
        wlac usage:
            wlac help                                        --show this usage
            wlac ping [-c cnt] [-s len] <ip>                --send cnt len-bytes ping request
            wlac tpt                                        --show non-wireless terminaton point info
            wlac tablesize                                  --print tablesize for wireless-controller part only
            wlac kickmac mac                                --disassociate a sta
            wlac kickwtp ip cport                            --tear down a wtp session
            wlac plain-ctl [[wtp-id] [0|1] | clear]          --show, set or clear current plain control setting
            wlac sniff-cfg [[ip port] | clear]              --show, set or clear sniff server ip and port
            wlac sniff [intf [wtp-id] [0|1|2] | clear]      --show, set or clear sniff setting on intf for wtp-id
            wlac list-vap                                    --show configured VAPs and VAP groups.
            wlac scanclr                                    --clear the scanned rogue ap list
            wlac scanstaclr                                  --clear the scanned rogue sta list
            wlac sta_filter [sta-mac level | clear]          --show, set or clear sta filter
            wlac wtp_filter [id vfid-ip:port level | clear]  --show, set or clear wtp filter
            wlac clear debug                                --clear all debug settings
            wlac show debug                                  --show all debug settings
            wlac show kernel                                --show all -k command settings
            wlac show data                                  --show all -d settings
            wlac show control                                --show all -c settings
            wlac show all                                    --show all -k,-c,-d and debug settings
            wlac -k cws [wlan]                              --list cws info(kern)
            wlac -k wtp [vfid-ip:port lip:port]              --list wtp info(kern)
            wlac -k vap [wlan | bssid]                      --list vap info(kern)
            wlac -k sta [wlan | bssid mac]                  --list sta info(kern)
            wlac -k wlan-sta wlan sta-ip                    --list wlan's sta info(kern)
            wlac -d usage                                    --list objects usage(data)
            wlac wpad_vap [ip|bssid]                        --list vap info in wpad_ac
            wlac wpad_sta [mac]                              --list sta info in wpad_ac
            wlac sta-idle-auth [time]                        --get/set non-auth sta idle time
            wlac -d all                                      --list wlan/wtp/vap/sta info(data)
            wlac -d wlan                                    --list wlan info(data)
            wlac -d wtp                                      --list wtp info(data)
            wlac -d vap                                      --list vap info(data)
            wlac -d sta                                      --list sta info(data)
            wlac -d sta-idx [wlan mac next]                  --list indexed sta info(data)
            wlac -d wlsta wlan                              --list wlan's sta info(data)
            wlac -d wtpsta wtp-index                        --list wtp's sta info(data)
            wlac -d radiosta wtp-id rId                      --list radio's sta info(data)
            wlac -c status                                  --display ac status summary
            wlac -c sta [mac]                                --list sta(ctl)
            wlac -c wtpprof [wtpprof]                        --list configured wtp profiles(ctl)
            wlac -c wtp [wtp]                                --list configured wtps(ctl)
            wlac -c wtp-idx [wtp next]                      --list indexed wtp (ctl)
            wlac -c radio-idx [wtp rId next]                --list indexed radio (ctl)
            wlac -c vap-idx [wtp rId wlan next]              --list indexed vap (ctl)
            wlac -c wlan [wlan|ssid]                        --list configured wlans(ctl)
            wlac -c swintf                                  --list configured switch interface(ctl)
            wlac -c apsintf                                  --list configured aps interface(ctl)
            wlac -c ap-status                                --list configured ap status(ctl)
            wlac -c widsprof                                --list configured wids profiles(ctl)
            wlac -c byod_dev [dev | mac]                    --list configured devices(ctl)
            wlac -c byod_devgrp [devgrp                      --list configured device groups(ctl)
            wlac -c byod_devacl [devacl]                    --list configured device access lists(ctl)
            wlac -c byod_devtype [devtype]                  --list configured device types(ctl)
            wlac -c byod [wlan]                              --show device access in control plane
            wlac -c byod_detected [wlan]                    --list detected devices(ctl)
            wlac -c ws [ip]                                  --list current wtp sessions(ctl)
            wlac -c ws-fail                                  --show current wtp sessions with SSID config failures
            wlac -c ws-mesh vfid-ip:port                    --list this wtp session's mesh parent and child info(ctl)
            wlac -c vap                                      --list vap info(ctl)
            wlac -c ap-rogue                                --list rogue ap info(ctl)
            wlac -c sta-rogue                                --list rogue sta info(ctl)
            wlac -c rap-hostlist bssid                      --list hosts related to the ap(ctl)
            wlac -c arp-req                                  --list arp info on the controller(ctl)
            wlac -c mac-table                                --list mac table(ctl)
            wlac -c br-table                                --list bridge table(ctl)
            wlac -c nol                                      --list the AP's non occupancy channel list for radar
            wlac -c scan-clr-all                            --clear the scanned rogue ap and sta data(ctl)
            wlac -c ap-onwire-clr bssid                      --clear the rogue ap's on wire flag(ctl)
            wlac -c darrp                                    --list darrp radio table(ctl)
            wlac -c darrp-schedule                          --list darrp schedule table
            wlac -c sta-cap [mac]                            --list sta capability(ctl)
            wlac -c sta-locate                              --list located wireless stations(ctl)
            wlac -c sta-locate-reset [1|2]                  --reset sta-locate data(ctl); 1: reset stats, 2 (default): flush entries
            wlac -c rf-analysis [wtp-id|ac]                  --list rf analysis results(ctl)
            wlac -c rf-sa wtp-id rId [chan]                  --list rf spectrum info
            wlac -c radio-ifr wtp-id rId                    --list radio's interfering APs
            wlac -c wids                                    --show detected sta threat in control plane
 
=== Was kann getan werden, wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate Wireless Controller? ===
 
Wenn ein Forti Access Point in einem bestimmten IPv4 Adress Subnet/Segment in dem der Forti Access Point über den FortiGate Wireless Controller verwaltet wird (CAPWAP) nicht ersichtlich ist, muss folgendes berücksichtigt werden:
 
         • Der Switch und/oder ein Router darf folgende Protokolle und Port nicht verwerfen/blocken:
         
          Broadcast, Multicast sowie Unicast
          CAPWAP Port UDP-5246
 
Auf einigen Switch Modellen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste das diese Protokolle nicht über den Switch verworfen/geblockt wird. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:
 
        http://www.ietf.org/rfc/rfc5415.txt
 
Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP) kann folgendes durchgeführt werden:
 
        '''Setze den Debug Filter zurück:'''
          
          
         [[Datei:Fortinet-348.jpg]]
         # diagnose debug reset
 
        '''Setze einen neuen Debug Filter:'''
          
          
         Um die autom. Konfiguration zu durchzuführen sind folgende Schritte nötig:
         # diagnose debug application cw_acd 5
 
        '''Aktiviere Debug:'''
          
          
         • Konfiguriere einen "root" Mesh Access Point auf einer FortiAP oder auf einer FortiWiFi.
         # diagnose debug enable   
        • Konfiguriere die Access Points für "leaf" Mesh.
 
        • Authorisiere die "leaf" Mesh Access Point damit diese auf den WiFi Controller verbinden können.
"5" stellt die "verbosity" dar. Diese "verbosity" zeigt alle Fehler an sowie den gesamten CAPWAP Prozess (Discovery, Keep Uplive etc.). Sobald das "debug" nicht mehr benötigt deaktiviere den "debug" Mode sowie setze den Filter zurück!
 
        '''Deaktiviere den Debug Modus:'''
          
          
         '''Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points'''
        # diagnose debug disable
 
         '''Setze den Debug Filter zurück:'''
          
          
         Wähle über das WebGui folgendes:
         # diagnose debug reset
          
 
         WiFi Controller > Managed Access Points > Managed FortiAP
Um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate für das Interface auf dem der Forti Access Points verbunden ist ausgeführt werden:
       
 
        Selektiere den gewünschte Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".  
        # diagnose sniffer packet [Definiere das entsprechende Interface zB "dmz" oder alle Interfaces "any"] "port 5246" 6 0 a
          
 
         Wähle folgendes:
Im Sniffer Output muss die Antwort des Forti Access Point über Unicast (Discovery Request) zum FortiGate Wireless Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Wireless Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf de FortiGate Wireless Controller nicht ersichtlich ist. Ein anderer Ansatz ist Broadcast, Multicast und Unicast zu verhindert. Der Grund, dass ein Forti Access Point diesen Vorgang/Protokolle benutzt um den FortiGate Wireless Controller zu finden, ist das der Forti Access Point nicht die nötige Information resp. IPv4 Adresse des FortiGate Wireless Controller besitzt um diese IPv4 Adresse Anzufragen. Die einfachste Art dies zu erreichen, ist dem Forti Access Point über den DHCP Server die nötige Information der IPv4 Adresse des FortiGate Wireless Controller zu zuweisen. Wenn für die Forti Access Point ein DHCP Server der FortiGate benutzt wird kann dies über Kommandozeile folgendermassen konfiguriert werden:
          
 
        Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
      # config system dhcp server
      # edit [Gebe den Integer an des entsprechenden DHCP Servers]
      # set dns-service [local | default | specify]
      # set dns-server1 [IPv4-Adresse für DNS Server 1]
      # set dns-server2 [IPv4-Adresse für DNS Server 2]
      # set dns-server3 [IPv4-Adresse für DNS Server 3]
      # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
      # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
      # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
      # set ntp-service [local | default | specify]
      # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
      # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
      # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
      # end
 
Wenn ein seperater DHCP Server benutzt wird, kann anhand der Option 138 der seperate DHCP Server so konfiguriert werden, dass dieser über diese Option dem Forti Access Point die IPv4 Adresse des FortiGate Wireless Controller zuweist. Diese Option 138 die für die IPv4 Adresse des FortiGate Wireless Controllers steht, ist auf dem Forti Access Point per Standard anhand der Konfiguration "AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138" gesetzt und kann bei Bedarf verändert werden:
 
        # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE:=138
        # cfg -c
 
=== Wie kann ich für eine FortiGate den FortiGate Wireless Controller komplett deaktivieren? ===
 
Wenn man zB. aus Security Gründen den FortiGate Wireless Controller der auf einer FortiGate per Standard aktiviert ist komplett deaktivieren möchte, kann dies über CLI durchgeführt werden:
 
        # config system global
         # set wireless-controller [enable | disable]
         # end
 
Dieses Kommando deaktiviert den FortiGate Controller komplett und somit können keine Forti Access Point mehr angebunden, verwaltet oder konfiguriert werden. Möchte man den "wireless-controller" nicht deaktivieren aber verhindern, dass sich Forti Access Points auf dem lokalen FortiGate Wireless Controller registrieren kann dies mit verschiedenen Konfigurationen erreicht werden. Weitere Auskunft über diese verschiedenen Konfigurationen siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_die_automatische_Registration_eines_Forti_Access_Point_auf_einem_FortiGate_Wireless_Controller_verhindern.3F]]
 
=== Wie kann ich auf einer FortiGate den FortiGate Wireless Controller/Service neu starten? ===
 
Wenn man den FortiGate Wireless Controller aus irgendwelchen Gründen neu starten möchte, kann dies mit verschiedenen Kommandos durchgeführt werden. Dabei ist jedoch zu beachten das ein komplett Unterbrucht für das Forti Access Point Wireless Netzwerk durchgeführt wird resp. für die Wireless Clients/Hosts. Nachfolgendes Kommando zeigt wie anhand des "execute" Kommandos der FortiGate Wireless Controller neu gestartet wird:
 
        # execute wireless-controller restart-acd
 
Zu diesem Kommando steht ebenfalls die Option "reset-wtp" zur Verfügung. Durch diese Option werden alle oder spezifizierte Forti Access Points anhand der Serien Nummer angewiesen deren WTP Profiles neu zu laden. Dadurch wird ein Neustart des entsprechenden Forti Access Point durchgeführt oder durch "all" für alle Forti Access Points:
 
        # execute wireless-controller reset-wtp [Definiere die entsprechende Serien Nummer eine Forti Access Points oder "all"]
 
Wenn dieser Vorgang nicht den gewünschten Effekt erziehlt kann auch folgendes durchgeführt werden jedoch sollte dieser Vorgang als letzte Option benutzt werden. Um die PID (Prozess ID Deamon) herauszufinden für den FortiGate Wireless Controller resp. Service "cw_acd" benützen folgenden Befehl auf der Console:
 
         # fnsysctl more /var/run/cw_acd.pid
         110
 
Sobald die PID eruiert ist, kann diese anhand des Kill Level 9 neu gestartet werden:
 
         # diagnose sys kill [Kill Level/Sequenz 1 - 32] [PID des Prozesses cw_acd]
 
Durch diesen Vorgang ensteht ebenfalls ein Unterbruch auf dem FortiGate Wireless Controller, denn der Kill Level 9 zwingt den Service die Konfiguration für den FortiGate Wireless Controller neu einzulesen und für den Service ein "restart" durchzuführen. Dies kann nachträglich kontrolliert werden, denn wenn abermals die PID Nummer des Service "cw_acd" ausgelesen wird und durch den "restart" wird dem Service einen neue PID Nummer zugewiesen:
 
        # fnsysctl more /var/run/cw_acd.pid
        11985
 
=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welcher SSID und MAC Adresse verbunden sind? ===
 
Um herauszufinden welche Wireless Clients/Hosts mit welcher SSID über den FortiGate Wireless Controller verbunden sind benutze folgenden Befehl über die CLI der FortiGate:
 
        # diagnose wireless-controller wlac -d sta
          
          
         '''NOTE''' Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
         vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=198.18.2.2 mac=94:65:9c:74:47:c6 vci=MSFT 5.0 host=DESKTOP-HSEH6HM
            mehr gesetzt werden!
         user= group= signal=0 noise=0 idle=0 bw=1 use=4 chan=3 radio_type=11N security=wpa2_only_personal encrypt=aes cp_authed=no online=yes mimo=2
               
         [[Datei:Fortinet-349.jpg]]
          
          
         '''Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points'''
         *  vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
        security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
          
          
         Verbinde dich auf dem WebBased Manager auf den Access Points auf dem "leaf" Mesh konfiguriert werden soll.  
         *  vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
        Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.  
         security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
         Auf dem WebBased Manager unter "Connectivity" konfiguriere folgendes:
          
          
         '''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:
         *? vf=0 wtp=15 rId=1 wlan=fortinet4guest vlan_id=0 ip=0.0.0.0 mac=08:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N
           
        security=captive encrypt=none cp_authed=no online=yes
            [[FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F]]
 
In unserem Beispiel sehen wir, dass ein Client mit der IP 198.18.2.2 verbunden ist mit der MAC Adresse 94:65:9c:74:47:c6. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "fortinet4intern" sowie "fortinet4guest" mit deren MAC Adresse "1a:5b:0e:5d:f7:15" und "08:5b:0e:5d:f7:0d". Ebenso sieht man die Authentication des Client 198.18.2.2 dh. "wpa2_only_personal" (aes) und den Host Namen "DESKTOP-HSEH6HM".
 
=== Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welchem IEEE 802.11 Standard verbunden sind? ===
 
Ueber nachfolgenden Befehl kann man verifizieren über welchen IEEE 802.11 Standard ein Client mit einem Forti Access Point verbunden ist:  
 
        # diagnose wireless-controller wlac -d sta
          
          
         Uplink          Mesh
         *  vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:0d''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 '''radio_type=11N'''
        Mesh AP SSID    fortinet.mesh.[VDom Name dh. Standard "root"]
         security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
         Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
          
          
         [[Datei:Fortinet-350.jpg]]
         *  vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 '''mac=1a:5b:0e:5d:f7:15''' vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 '''radio_type=11AC'''
        security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes
 
=== Wie finde ich über den FortiGate Wireless Controller heraus mit welcher IPv4 Adresse ein Forti Access Point verbunden ist? ===
 
Um herauszufinden mit welcher IPv4 Adresse ein Forti Access Point mit dem FortiGate Wireless Controller verbunden ist kann das Mgmt. Web Interface benutzt werden:
 
        WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > Connected Via
 
Steht der Mgmt. Web Interface Zugriff nicht zu Verfügung kann die IPv4 Adresse mit der ein Forti Access Point auf dem FortiGate Wireless Controller verbunden ist auch über die CLI der FortiGate verifiziert werden:
 
        '''Liste alle IP's auf die momentan durch die Forti Access Point benutzt werden:'''
          
          
         Bestätige die Konfiguration anhand "Apply".
         # diagnose wireless wlac -d wtp
        vf=0 wtp=1 base=08:5b:0e:5d:f7:0d 198.18.3.3:45521<->198.18.3.1:5247 use=7
        vf=0 wtp=2 base=08:5b:0e:0c:f4:1a 193.193.135.70:49026<->193.193.135.66:5247 use=4
        vf=0 wtp=4 base=08:5b:0e:a3:97:a8 198.18.3.2:53715<->198.18.3.1:5247 use=6
        vf=0 wtp=5 base=08:5b:0e:97:23:0e 193.193.135.71:46015<->193.193.135.66:5247 use=4
 
        '''Liste alle Forti Access Point auf um die Serien Nummern zu verifizieren:'''
          
          
         '''Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Access Points'''
        # config wireless-controller wtp
        # get
        == [ FAP14C3X13000543 ]
        wtp-id: FAP14C3X13000543   
        == [ FP221C3X14001296 ]
        wtp-id: FP221C3X14001296   
        == [ FAP21D3U14000144 ]
        wtp-id: FAP21D3U14000144   
        == [ FAP24D3X14000101 ]
        wtp-id: FAP24D3X14000101
        # end
 
         '''Liste einen bestimmten Forti Access Point anhand dessen Serien Nummer sowie mit dessen Informationen Informationen/IP:'''
          
          
         Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Access Points über den "root" Mesh
         # diagnose wireless wlac -c wtp [Entsprechende Serien Nummer des Forti Access Point zB "FAP21D3U14000144"; Keine Serien Nummer Angabe listet alle Forti Access Points auf]
         Access Points am WiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss jeder "leaf"  
        -------------------------------WTP    1----------------------------
        Mesh Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
        WTP vd              : root
            vfid            : 0
            id              : FAP21D3U14000144
            mgmt_vlanid      : 0
            region code      : E
            regcode status  : valid
            refcnt          : 3 own(1) wtpprof(1) ws(1)
            plain_ctl        : disabled
            deleted          : no
            admin            : enable
            cfg-wtp-profile  : FAP-04
            override-profile : disabled
            oper-wtp-profile : FAP-04
            wtp-mode        : remote
            name            : Remote Access Point FAP-21D
            location        : Remote FAP-04 local-sg0e0
            led-state        : enabled
            ip-frag-prevent  : TCP_MSS
            tun-mtu          : 1492,1492
            split-tunneling-local-ap-subnet  : disabled
            active sw ver    : FAP21D-v5.2-build0234
            local IPv4 addr  : 193.193.135.71
            board mac        : 08:5b:0e:97:23:0c
            join_time        : Thu Apr 23 08:03:43 2015
            mesh-uplink      : ethernet
            mesh hop count  : 0
            parent wtp id    :
            connection state : Connected
            image download progress: 0
            last failure    : 15 -- ECHO REQ is missing
            last failure param: N/A
            last failure time: Thu Apr 23 08:03:02 2015
            station info    : 0/0
            geo              : World (0)
            LAN              :
                    rId    : 1
                    cnt    : 1
                    port 1  : mode BR-TO-SSID(3)  ssid fortinet4intern         
          Radio 1            : Disabled
          Radio 2            : Virtual Lan AP
            max vaps        : 0
            base bssid      : 00:00:00:00:00:00
            station info    : 0/0
          Radio 3            : Not Exist
        -------------------------------Total    1 WTPs----------------------------
 
Um nachträglich anhand dieser IPv4 Adresse über den Forti Gate Wireless Controller eine "telnet" Verbindung zum Forti Access Point durchzuführen siehe nachfolgender Artikel::
 
         [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme mit einem Wireless Client/Host Troubleshooten? ===
 
Um Verbindungsprobleme mit einem Wireless Client/Host zu Troubleshooten kann der "diagnose" Befehl Lokal auf dem FortiGate Wireless Controller benützt werden oder auf dem Forti Access Point anhand des Befehls "cw_debug". Um dieses Troubleshooting durchzuführen, muss im ersten Schritt für den Wireless Client/Host eruiert werden, mit welcher MAC Adresse der Wireless Client/Host verbindet um diese im "diagnose" Befehl zu benutzen und um so den Traffic auf diese MAC Adresse des Wireless Clients/Host einzuschränken. Wie diese MAC Adresse über den FortiGate Wireless Controller eruiert werden kann siehe nachfolgenden Artikel:
 
        [[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_welche_Clients_mit_welcher_SSID_und_MAC_Adresse_verbunden_sind.3F]]
 
Sobald die MAC Adresse des Wireless Client/Host eruiert wurde, kann nachfolgender "diagnose" Befehl benutzt werden um den Traffic des Client/Host anhand dieser MAC Adresse einzusehen:
 
        # diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 1
        STA Filter Index 0/1  sta 9c:b7:0d:de:8f:74  log-enabled 1
          
          
         WiFi Controller > Managed Access Points > Managed FortiAP
Nach der MAC Adresse wird mit "1" die Funktion des "sta_filter" anhand der MAC Adresse aktiviert. Anhand "0" wird die Funktion wiederum deaktiviert. Für "wlac" stehen weitere Befehle zur Verfügung. Weitere Informationen siehe nachfolgender Artikel:
 
         [[FortiAP:FAQ#Wie_kann_ich_auf_einem_FortiGate_Wireless_Controller_ein_Troubleshooting_durchf.C3.BChren_.28diagnose.29.3F]]
 
Nachträglich, nach dem Troubleshooting muss die Funktion "sta_filter" wieder deaktiviert werden anhand folgenden Befehls:
 
        # diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 0
        STA Filter is empty
 
Wird dies nicht durchgeführt so bleibt die Funktion "sta_filter" anhand "1" aktiv was aus performance Gründen nicht empfohlen wird. Nachfolgendes Beispiel zeigt eine korrekte Verbindung eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 dh. Der Client/Host sollte keine Verbindung erstellen vor der Aktivierung der "sta_filter" Funktion um nachträglich nur den Verbindungsaufbau einzusehen:
 
        44386.013 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_req <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
        44386.014 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_resp ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
        44386.014 94:65:9c:74:47:c6 <dc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 NON-AUTH  band 0x10 mimo 2*2
        44386.015 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(60) sta 94:65:9c:74:47:c6 add ==> ws (0-198.18.3.3:5246) rId 1 wId 1
        44386.015 94:65:9c:74:47:c6 <cc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 0
        44386.028 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(60) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
        85792.029 94:65:9c:74:47:c6 <eh>    send 1/4 msg of 4-Way Handshake
        85792.029 94:65:9c:74:47:c6 <eh>    send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=95 replay cnt 1
        85792.030 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
        85792.032 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 139B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
        85792.032 94:65:9c:74:47:c6 <eh>    recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=135
        85792.032 94:65:9c:74:47:c6 <eh>    recv EAPOL-Key 2/4 Pairwise replay cnt 1
        85792.033 94:65:9c:74:47:c6 <eh>    send 3/4 msg of 4-Way Handshake
        85792.033 94:65:9c:74:47:c6 <eh>    send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=175 replay cnt 2
        85792.033 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 179B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
        85792.036 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
        85792.036 94:65:9c:74:47:c6 <eh>    recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=95
        85792.036 94:65:9c:74:47:c6 <eh>    recv EAPOL-Key 4/4 Pairwise replay cnt 2
        44386.037 94:65:9c:74:47:c6 <dc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 AUTH
        44386.038 94:65:9c:74:47:c6 <cc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 1 ******
        44386.038 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(62) sta 94:65:9c:74:47:c6 add key (len=16) ==> ws (0-198.18.3.3:5246) rId 1 wId 1
        44386.046 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(62) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
        85792.047 94:65:9c:74:47:c6 <eh>    ***pairwise key handshake completed*** (RSN)
        44386.086 94:65:9c:74:47:c6 <dc> DHCP Request server 0.0.0.0 <== host DESKTOP-HSEH6HM mac 94:65:9c:74:47:c6 ip 198.18.2.2 xId bd0e86c
        44386.094 94:65:9c:74:47:c6 <dc> DHCP Ack server 198.18.2.1 ==> host  mac 94:65:9c:74:47:c6 ip 198.18.2.2 mask 255.255.255.128 gw 198.18.2.1 xId bd0e86c
 
Nachfolgendes Beispiel zeigt einen korrekten Disconnect eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:
 
        44447.890 94:65:9c:74:47:c6 <dc> STA del 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1
        44447.891 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(64) sta 94:65:9c:74:47:c6 del ==> ws (0-198.18.3.3:5246) rId 1 wId 1
        44447.891 94:65:9c:74:47:c6 <cc> STA del 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL action del_by_wtp reason 201
        85852.892 94:65:9c:74:47:c6 <eh>    ***WPA_PTK 94:65:9c:74:47:c6 DISCONNECTED***
        44447.894 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(64) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)
 
Nun der oben gezeigte "output" stammt vom Fortigate Wireless Controller! Möchte man die gleiche Vorgehensweise für den Wireless Client/Host auf dem Forti Access Point durchführen muss in erster Linie auf dem Forti Access Point auf dem der Wireless Client/Host verbunden ist "telnet" für den Zugriff aktiviert werden. Wie dies durchgeführt wird siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
Der Nachteil auf einem Forti Access Point liegt darin, dass der Traffic nicht anhand einer MAC Adresse eingeschränkt werden kann dh. durch "0x7fff" wird ein Debug Level 32767 gesetzt. Gleichzeitig muessen die "telnet" Nachrichten in der Console für "cw_debu" aktiviert werden. Es ist absolut nicht empfohlen diesen "cw_debug" über einen Consolen Port auf dem Forti Access Point durchzuführen oder über den Consolen Port der FortiGate selber. Der Grund ist der Folgende: Durch diesen "cw_debug" werden soviel "output" Produziert, dass der "buffer" des Consolen Port in kurzer Zeit vollgeschriebe wird. Dies verunmöglicht einen korrekten "cw_debug". Aus diesem Grund sollte die Verbindung SSH basierend sein dh. es sollte per SSH auf die FortiGate verbunden werden und nachträglich per "telnet" auf den entsprechenden Forti Access Point:
 
        # execute [telnet | ssh] [IPv4 Adresse des entsprechenden Forti Access Point zB "198.18.3.3"]
        Trying 198.18.3.3...
        Connected to 198.18.3.3.
        Local Access Point FAP-221C login: admin
          
          
         Gehe auf "refresh" bis der/die "leaf" Mesh Access Points ersichtlich sind. Danach selektiere den FortiAP
         BusyBox v1.15.0 (2016-01-07 14:13:50 PST) built-in shell (ash)
         und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Access Points
         Enter 'help' for a list of built-in commands.
         ersichtlich sein soll. Konfiguriere  die restlichen Positionen sofern notwendig. Danach bestätige mit
 
         "OK" die Konfig.
Eingeloggt auf dem Forti Access Point können die entsprechenden Optionen für "cw_debug" eingesehen werden:
 
         # cw_debug app
         Usage:
          
          
        Sobald die Konfiguration bestätigt wurde wir der Access Point seinen Status von Offline zu Online wechseln
                cw_debug <on|off>                    --turn on/off telnet log message
        (ca. 2 Minuten). Die autom. Konfiguration ist abgeschlossen und kann getestet werden.
                cw_debug app <app_name> [debug_var]  --get/set application debug var
                        cwWtpd              capwap WTP daemon
                        dhcp                capwap DHCP discover
                        wifi                capwap wifi configuration commands
                        cwWtpd_mem          capwap WTP daemon mem
                        fsd                fsd daemon
                        hostapd            hostapd daemon
                        wpa_supp            wpa supplicant daemon
                        ddnscd              ddnscd daemon
                        admin_timeout      telnet/GUI session idle timeout in seconds
                        fapportal          fapportal daemon
                        fcldc              forticloud client daemon
                        service            capwap WTP service daemon
                        all                all above daemons


         '''<big>AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING</big>'''
Um für "cw_debug" den "telnet" Output zu aktivieren führe folgendes durch:
          
 
         Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die
        # cw_debug on
         Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
 
         (Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet
Danach setze den "debug" Level für "cw_debug app cwWtpd" anhand folgenden Befehls:
         sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert
 
         da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul
        # cw_debug app cwWtpd 0x7fff
        link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist  empfohlen 5 GHz zu
 
         benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless  Netzwerk. Um eine manuelle Konfiguration
Auch hier ist es absolut Notwendig, nach einem erfolgreichen Troubleshooting den Debug wiederum zu aktivieren. Wird dies nicht durchgeführt, bleibt der Debug Modus im Hintergrund aktiv und beeinflusst die Performance des Forti Access Point:
        durchzuführen sind folgende Punkte zu berücksichtigen:
 
        # cw_debug app cwWtpd 0x0
 
Nachfolgendes Beispiel zeigt den "output" einer korrekte Verbindung des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 wobei darauf hinzuweisen ist das dieser "output" nicht einfach ist zu lokalisieren. Aus diesem Grund wird empfohlen den "output" der SSH resp. "telnet" Session für einen spätere Analyse in ein Log File zu schreiben:
 
        49009.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248929 dbg 00007fff Pkts 0 0
        49010.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248930 dbg 00007fff Pkts 0 0
        49011.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248931 dbg 00007fff Pkts 0 0
        49012.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248932 dbg 00007fff Pkts 0 0
        49012.742 Wireless event: cmd=0x8c03 len=20
        49012.752 ==========================cwWtpProcRawMsg          7  1=========================
        49012.752 cwWtpProcRawMsg recvfrom total bytes 1750766
        49012.752 cwWtpProcRawMsg: it's a control message
        49012.752 cwWtpProcCipherCtrlMsg: looking at 125-byte encapsulated control message
        49012.752 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 125 (errno: 11)
        49012.752 ==========================cwWtpProcRawMsg          7  2=========================
        49012.752 cwWtpDtlsThread: SSL_read() returned 66 ssl_err 0
        49012.753 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49012.753 CAPWAP Control Header Dump:
        49012.753    msgType            : 25 STA_CFG_REQ
        49012.753    seqNum              : 165
        49012.753    msgElemLen          : 53
        49012.753    flags              : 0
        49012.753 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
        49012.753 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
        49012.753 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
        49012.753 ==========================cwWtpFsmThread            4  1=========================
        49012.753 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
        49012.754 CWWS_RUN_enter: Add 1 STAs.
        49012.754 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
        49012.754 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
        49012.754 CWWS_RUN_enter: sending STA CFG RESP msg.
        49012.755 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49012.755 CAPWAP Control Header Dump:
        49012.755    msgType            : 26 STA_CFG_RESP
        49012.755    seqNum              : 165
        49012.755    msgElemLen          : 11
        49012.755    flags              : 0
        49012.755 wtpDtlsWrite: SSL_write() was successful
        49012.756 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
        49012.756 ==========================cwWtpFsmThread            4  2=========================
        49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
        49012.756 cwWtpSendRawMsg: called with 81 bytes - dumping...
        49012.756 cwWtpSendRawMsg: send out encrypted msg.
        49012.756 cwWtpSendRawMsg: sendto of 81 of 81 bytes for 192.168.3.1/5246
        49012.756 cwWtpSendRawMsg: sendto total bytes 2407860
        49012.756 cwWtpProcOutCipherCtlMsg: successfully sent data...
        49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
        49012.962 ==========================cwWtpProcRawMsg          7  1=========================
         49012.964 cwWtpProcRawMsg recvfrom total bytes 1750959
        49012.964 cwWtpProcRawMsg: it's a control message
        49012.964 cwWtpProcCipherCtrlMsg: looking at 189-byte encapsulated control message
        49012.964 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 189 (errno: 11)
        49012.964 ==========================cwWtpProcRawMsg          7  2=========================
        49012.964 cwWtpDtlsThread: SSL_read() returned 135 ssl_err 0
        49012.964 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49012.964 CAPWAP Control Header Dump:
        49012.964    msgType            : 25 STA_CFG_REQ
        49012.965    seqNum              : 166
        49012.965    msgElemLen          : 122
        49012.965    flags              : 0
        49012.965 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
        49012.965 cw_me_decode: me type 11_sta_session_key (1038) len 36 claims 29 more octets
        49012.965 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
        49012.965 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
        49012.965 ==========================cwWtpFsmThread            4  1=========================
        49012.965 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
        49012.965 CWWS_RUN_enter: Add 1 STAs.
        49012.965 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
        49012.966 cwWtpStaRbtDel: DEL duo to ADD remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
        49012.966 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
        49012.966 CWWS_RUN_enter: sending STA CFG RESP msg.
        49012.966 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49012.966 CAPWAP Control Header Dump:
        49012.966    msgType            : 49013.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248933 dbg 00007fff Pkts 0 0
        49014.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248934 dbg 00007fff Pkts 0 0
        49015.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248935 dbg 00007fff Pkts 0 0
        49016.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248936 dbg 00007fff Pkts 0 0
        49017.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248937 dbg 00007fff Pkts 0 0
        49018.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248938 dbg 00007fff Pkts 0 0
 
Nachfolgendes Beispiel zeigt den Output eines "korrekten" Disconnect des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:'''
 
        49113.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249033 dbg 00007fff Pkts 0 0
        49114.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249034 dbg 00007fff Pkts 0 0
        49114.417 Wireless event: cmd=0x8c04 len=20
        49114.417 Wireless event: cmd=0x8c02 len=31
        49114.417 Custom wireless event: 'del sta: wlan00 '
        49114.417 cwWtp_wireless_event_wireless_custom Radio 0 wId 0 Del STA: 9c:b7:0d:de:8f:74
        49114.417 cwWtpSend_REQ_MSG: sending WTP_EVENT_REQ (9) msg.
        49114.417 cwWtpSendRawMsgQueue: SENDING OUT type 9 seqNum 156
        49114.417 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49114.417 CAPWAP Control Header Dump:
        49114.417    msgType            : 9 WTP_EVENT_REQ
        49114.417    seqNum              : 156
        49114.417    msgElemLen          : 34
        49114.417    flags              : 0
        49114.418 wtpDtlsWrite: SSL_write() was successful
        49114.418 cwWtpSendRawMsgQueue: wtpDtlsWrite() succeeded.
        49114.418 cwWtpPendingMsgAdd: add type 9 seqNum 156 into pending msg queue at head 18 Cnt 1
        49114.418 cwWtpProcOutCipherCtlMsg: calling recv()
        49114.418 cwWtpSendRawMsg: called with 113 bytes - dumping...
        49114.418 cwWtpSendRawMsg: send out encrypted msg.
        49114.418 cwWtpSendRawMsg: sendto of 113 of 113 bytes for 192.168.3.1/5246
        49114.418 cwWtpSendRawMsg: sendto total bytes 2408459
        49114.419 cwWtpProcOutCipherCtlMsg: successfully sent data...
        49114.419 cwWtpProcOutCipherCtlMsg: calling recv()
        49114.430 ==========================cwWtpProcRawMsg          7  1=========================
        49114.430 cwWtpProcRawMsg recvfrom total bytes 1751749
        49114.430 cwWtpProcRawMsg: it's a control message
         49114.430 cwWtpProcCipherCtrlMsg: looking at 109-byte encapsulated control message
         49114.430 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 109 (errno: 11)
        49114.430 ==========================cwWtpProcRawMsg          7  2=========================
        49114.430 cwWtpDtlsThread: SSL_read() returned 47 ssl_err 0
        49114.431 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49114.431 CAPWAP Control Header Dump:
        49114.431    msgType            : 25 STA_CFG_REQ
        49114.431    seqNum              : 168
        49114.431    msgElemLen          : 34
        49114.431    flags              : 0
        49114.431 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
        49114.431 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x100ef468 msgPtr (nil) len 0
        49114.431 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
        49114.432 ==========================cwWtpProcRawMsg          7  1=========================
        49114.432 cwWtpProcRawMsg recvfrom total bytes 1751830
        49114.432 cwWtpProcRawMsg: it's a control message
        49114.432 cwWtpProcCipherCtrlMsg: looking at 77-byte encapsulated control message
         49114.432 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 77 (errno: 11)
        49114.432 ==========================cwWtpProcRawMsg          7  2=========================
        49114.432 ==========================cwWtpFsmThread            4  1=========================
        49114.432 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
        49114.432 CWWS_RUN_enter: Del 1 STAs.
        49114.432 CWWS_RUN_enter: STA DEL 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name  wId 0
        49114.432 CWWS_RUN_enter STA_DISASSOC wId 0 Intf wlan00 9c:b7:0d:de:8f:74
        49114.433 do80211priv ap wlan00 op 35814 Invalid argument
        49114.433 cwWtpStaRbtDel: STA_CFG_REQ remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
        49114.433 CWWS_RUN_enter: sending STA CFG RESP msg.
        49114.433 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49114.433 CAPWAP Control Header Dump:
        49114.433    msgType            : 26 STA_CFG_RESP
        49114.433    seqNum              : 168
        49114.433    msgElemLen          : 11
        49114.433    flags              : 0
        49114.433 wtpDtlsWrite: SSL_write() was successful
        49114.434 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
        49114.434 ==========================cwWtpFsmThread            4  2=========================
        49114.434 cwWtpDtlsThread: SSL_read() returned 24 ssl_err 0
        49114.434 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
        49114.434 CAPWAP Control Header Dump:
        49114.434    msgType    49115.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249116.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249036 dbg 00007fff Pkts 0 0
        49117.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249037 dbg 00007fff Pkts 0 0
         49118.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249038 dbg 00007fff Pkts 0 0
        49119.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249039 dbg 00007fff Pkts 0 0
         49120.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249040 dbg 00007fff Pkts 0 0
 
Folgender Fortinet Knowledge Base Artikel gibt weitere Auskunft über dieses Troubleshooting:
 
                http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33214&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=35950338&stateId=0%200%2035948485
 
=== Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme betreffend CAPWAP Troubleshooten? ===
 
Auf einem FortiGate Wireless Controller kann die Komunikation der einzelnen Fortinet Access Point betreffend CAPWAP folgendes Kommando eingesehen werden:
 
        # diagnose wireless-controller wlac -c wtp
 
Bei diesem Output gibt speziell die Position "last failure" Auskunft über Probleme. Wenn zB nachfolgende Meldungen auftauchen ist dies ein Indikator das die Komunikation zwischen Fortinet Access Point und FortiGate Wireless Controller Verbindungstechnisch nicht einwandfrei funktioniert:
 
        last failure : 4 -- Control message maximal retransmission limit reached
         last failure : 14 -- ECHO REQ is missing
 
Diese Verbindungsprobleme können auftreten aus Netzwerktechnischen Gründen oder wenn zuviel Broadcast/Multicast Traffic über die Fortinet Access Point benutzt wird. Ist dies der Fall kann über die nachfolgenden Optionen die Timers erhöht werden:
 
        # config wireless-controller global
        # set max-retransmit [0 - 64; Standard 3]
        # end
 
        # config wireless-controller timers
        # set echo-interval [1 - 255; Standard 30]
        # end
 
Durch die Erhöhung der Werte dh. "max-retransmit 15" sowie "echo-interval 100" werden die "retransmit" sowie der "interval" erhöht.
 
=== Wie kann ich auf dem FortiGate Wireless Controller die momentanen Konfiguration eines Forti Access Point auslesen? ===
 
Um die momentane Konfiguration für 2.4 GHz sowie 5.0 GHz Forti Access Point über den Fortinet Wireless Controller für einen spezifischen Forti Access Point auszulesen kann folgender Befehl benützt werden:
 
        # config wireless-controller wtp
        # get
        == [ FP221C3X14001296 ]
        wtp-id: FP221C3X14001296 
        # end
 
         '''Fuer 2.4 GHz Radio eines Forti Access Point'''
          
          
         • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
         # diagnose wireless-controller wlac -c radio-idx FP221C3X14001296
         • Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
        -------------------------------RADIO_IDX    1----------------------------
          Radio 1            : AP
            wtp id          : FP221C3X14001296
            country name    : CH
            country code    : 756
            radio_type      : 11N
            channel list    : 1 6 11
            darrp            : enabled
            txpower          : 100% (calc 18 oper 18 max 18 dBm)
            beacon_intv      : 100
            rts_threshold    : 2346
            frag_threshold  : 2346
            ap scan          : background scan (regular)
            ap scan passive  : disabled
              bgscan oper    : enabled  (Disabled start 00:00 end 00:00 on )
              bgscan period  : 600
              bgscan intv    : 1
              bgscan dur    : 20
              bgscan idle    : 0
              bgscan rptintv : 30
            sta scan        : enabled
            WIDS profile    : local-default.local
              wlan  0        : fortinet4guest
              wlan  1        : fortinet4intern
            max vaps        : 8
            base bssid      : 08:5b:0e:5d:f7:0d
            oper chan        : 11
            station info    : 0/0
        -------------------------------Total    1 RADIO_IDXs----------------------------
 
         '''Fuer 5.0 GHz Radio eines Forti Access Point'''
          
          
         '''Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point'''
         # diagnose wireless-controller wlac -c radio-idx FP221C3X14001296 0
          
         -------------------------------RADIO_IDX    1----------------------------
        Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
          Radio 2            : AP
         "leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point
            wtp id          : FP221C3X14001296
         direkt mit dem zu verbindenen Segment verbunden!
            country name    : CH
          
            country code    : 756
        [[Datei:Fortinet-358.jpg]]
            radio_type      : 11AC
            channel list    : 36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 ...
            darrp            : enabled
            txpower          : 100% (calc 14 oper 14 max 14 dBm)
            beacon_intv      : 100
            rts_threshold    : 2346
            frag_threshold  : 2346
            ap scan          : background scan (regular)
            ap scan passive  : disabled
              bgscan oper    : enabled  (Disabled start 00:00 end 00:00 on )
              bgscan period  : 600
              bgscan intv    : 1
              bgscan dur    : 20
              bgscan idle    : 250
              bgscan rptintv : 30
            sta scan         : disabled
            WIDS profile    : ---
              wlan  0        : fortinet4guest
              wlan  1        : fortinet4intern
            max vaps         : 8
            base bssid      : 08:5b:0e:5d:f7:15
            oper chan        : 48
            station info    : 0/0
         -------------------------------Total    1 RADIO_IDXs----------------------------
 
== Grundsetup ==
 
=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.0/5.2 in Betrieb und konfiguriere ich diesen? ===


        '''<big>MANUELLE KONFIGURATION WIRELESS MESH</big>'''
Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:
          
 
         Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über
                    WAN
         die Devices gibt. Ein Mesh WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
                    | 193.193.135.66              ___________
        (Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Access Points verbinden sich
        ____________|____________                |          | SSID only4also 192.168.4.0/24
         über diesen "root" Mesh AP (backhaul link) zum WiFi Controller. Ein FortiAP Device verfügt über 2 Radios
         |                        | 192.168.3.1    | FAP 220B  |
        (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die
         |        Fortigate        |----- DMZ ------|          |
        Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu
         |_________________________|                |___________| SSID also4guest 192.168.5.0/24
         berücksichtigen:
                    |
                    | 192.168.1.99
                    LAN
 
Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:
 
         [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]
 
Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem FortiAccess Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Es wird unter normalen Umständen empfohlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IP Range 192.168.3.0/24:
 
         <big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>
          
          
         • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
         System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
         • Konfiguriere die "leaf" Mesh Access Point's.
       
        [[Datei:Fortinet-1232.jpg]]
       
        Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimm aus diesem Segment resp. über dieses
        Interface des FortiGate Devices, muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Dadurch wird
        im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
        Desweiteren, damit die FortiAccess Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses
        Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
        über Kommandozeile weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie AC (Wireless Controller)
        IP Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen! führe auf der
        CLI folgendes aus:
          
        # config system dhcp server
        # edit [Gebe den Integer an des entsprechenden DHCP Servers]
        # set dns-service [local | default | specify]
        # set dns-server1 [IPv4-Adresse für DNS Server 1]
        # set dns-server2 [IPv4-Adresse für DNS Server 2]
        # set dns-server3 [IPv4-Adresse für DNS Server 3]
        # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
        # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
        # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
        # set ntp-service [local | default | specify]
        # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
        # end
 
        <big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des FortiAccess Points'''</big>
          
          
         '''Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Access Point'''
         Nun muss der FortiAccess Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
        unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
        Position und kann Authorisiert werden:
          
          
         • Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die FortiAP benutzt werden kann.
         WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
        • Erstelle eine SSID für den "backhaul link".
        • Erstelle eine Access Point Profil das die SSID für den "backhaul link" enthält.
        • Füre das neue Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
        • Konfigureire den "root" Mesh Access Point.
          
          
         Um die SSID für den "backhaul link" zu erstellen wähle im WebGui folgendes:
         [[Datei:Fortinet-1233.jpg]] 
          
          
         WiFi Controller > WiFi Network > SSID, select Create New
         [[Datei:Fortinet-1234.jpg]]
          
          
         Konfiguriere folgendes:
         [[Datei:Fortinet-1235.jpg]]
          
          
         Interface Name        [Name des Interfaces zB "mesh-backhaul"]
         Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
        IP/Netmask            [Belasse die IP auf 0.0.0.0/0.0.0.0]
         zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
         SSID                  [Name der SSID zB "mesh-backhaul"]
         Servers:
         Preshared Key        [Wähle ein Preshared Key]
          
          
         [[Datei:Fortinet-351.jpg]]
         [[Datei:Fortinet-1236.jpg]]
 
        <big>'''Forti Access Point Firmware Upgrade durchführen'''</big>
          
          
         Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
         Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
        Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
        Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
        in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
        dabei zu berücksichtigen:
          
          
         # config wireless-controller vap
         [[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]
        # edit [Name des Interfaces zB "mesh-backhaul"]
        # set mesh-backhaul enable
        # end
          
          
         Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
         Ein Firmware Upgrade wird folgendermassen durchgeführt:
          
          
         [[Datei:Fortinet-352.jpg]]
         WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
          
          
         Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
         [[Datei:Fortinet-1237.jpg]]
          
          
         '''NOTE''' Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
         [[Datei:Fortinet-1238.jpg]]
            Position "Traffic Mode"
          
          
         # config wireless-controller vap
         [[Datei:Fortinet-1239.jpg]]
        # edit [Name des Interfaces zB "mesh-backhaul"]
          
        # set ssid "[Name der SSID zB "mesh-backhaul"]"
         Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf
        # set security wpa2-only-personal
         dem FortiAccess Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die
        # set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
         Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:
         # set encrypt AES
         # set vdom root
         # set mesh-backhaul enable
         # end
          
          
         Nun muss ein "backhaul" Access Point Profile erstellt werden. Wähle dazu im WebGui folgendes:
         # config wireless-controller wtp
        # get
          
          
         WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
         Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:
          
          
         - Wähle für das Profile einen Namen zB "mesh-backhaul-root".
         # edit [Serien Nummer des entsprechendne FortiAccess Point zB "FAP22B3U11011877"]
        - Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Access Point.
         # set login-enable enable
         - Aktiviere die Position "Mesh Downlink".
         # end
         - Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
          
          
         [[Datei:Fortinet-353.jpg]]
         Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
        IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
        Forti Access Point benutzt wird siehe nachfolgenden Artikel:
          
          
         '''NOTE''' Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
         [[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:
            mehr als Definition innerhalb des Profiles zur Verfügung.
          
          
         Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
         # execute [telnet | ssh] [IPv4 Adresse des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
        FAP22B3U11011877 login: admin
          
          
         # config wireless-controller wtp-profile
         BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
        # edit [Profil Name zB "mesh-backhaul-root"]
         Enter 'help' for a list of built-in commands.
        # config platform
        # set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
        # end
        # config radio-1
        # set mode ap
         # set mesh-downlink enable
        # set band 802.11n-5G
        # set channel "36" "40" "44" "48" 
        # set darrp enable
        # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
        # end
        # end
          
          
         Nun muss das erstellt Profil dem Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
         Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:
        Wähle dazu im WebGui folgendes:
          
          
         WiFi Controller > Managed Access Points > Managed FortiAP
         # cfg -x
        # reboot
 
        <big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"'''</big>
          
          
         Der "root" Mesh Access Point muss über physisches LAN angeschlossen sein sowie Verbindung zum WiFi Controller
         User & Device > User > User Definition > Create New
        haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und  kann selektiert werden. Gehe auf "Authorize"
        und wähle das entsprechende Profil das erstellt wurde für den "backhaul link". In unserem Beispiel wäre dies zB
        "mesh-backhaul-root"! Nach einiger Zeit geht danach der Access Point auf den Status "Online".
          
          
         Um das Profil per CLI hinzu zu fügen gebe folgendes ein:
         '''User/Gruppe only4also'''
          
          
         # config wireless-controller wtp
         [[Datei:Fortinet-1240.jpg]]
        # get
        FAP22B3U11005354
          
          
         # edit FAP22B3U11005354
         [[Datei:Fortinet-1241.jpg]]
        # set admin enable
        # set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
        # end
          
          
         Nun muss der "root" Mesh Access Point als solches definiert werden dh. im WebGui unter folgender Position ist
         [[Datei:Fortinet-1242.jpg]]
        die entsprechende IP des Access Points zu eruieren (Blende die Spalte "Connecting from" ein unter Collums Settings):
          
          
         WiFi Controller > Managed Access Points > Managed FortiAP
         [[Datei:Fortinet-1243.jpg]]
          
          
         Wir nehmen an, dass der Access Point dem wir das "backhaul" Profil hinzugefügt haben die IP zugewiesen worden ist
         [[Datei:Fortinet-1244.jpg]]
        192.168.3.2. Verbinde dich nun anhand dieser IP auf den WebBased Manager auf den Access Point (Ein Login erscheint
        indem wir nur User "admin" eingeben: es gilt per Standard KEIN Passwort):
          
          
         http://192.168.3.2
         User & Device > User > User Groups > Create New
          
          
         Im WebBased Manager auf dem Access Point unter "Mesh Configuration" selektiere:
         [[Datei:Fortinet-1245.jpg]]
          
          
         Ethernet with mesh backup support
         [[Datei:Fortinet-1246.jpg]]
          
          
         [[Datei:Fortinet-354.jpg]]
         '''User/Gruppe also4guest'''
          
          
         '''NOTE''' Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden -da
         [[Datei:Fortinet-1245.jpg]]
              der Access Point als "root" Mesh konfiguriert ist- ignoriert!
          
          
         Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe auf der Console des FortiAP folgendes ein:
         [[Datei:Fortinet-1247.jpg]]
          
          
         # cfg -a MESH_AP_TYPE=2
         Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
         # cfg –c
         der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:
          
          
         Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
         [[Datei:Fortinet-1248.jpg]]
          
          
         # cfg -s
         Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
        der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:
          
          
         '''NOTE''' Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per
         [[Datei:Fortinet-1249.jpg]]
            Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
            ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist.
            Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's
            ohne Consolen Port:
          
          
            [[FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
        Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
        und die entsprechenden User/Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:
          
          
         Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
         [[FortiAP:FAQ#Guest_Access]]
 
        <big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>
          
          
         WiFi Controller > Managed Access Points > Managed FortiAP
         In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
        SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
        Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
        eine entpsrechende IPv4 Adresse zu zuweisen:
          
          
         '''Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point'''
         WiFi Controller > WiFi Network > Create New
          
          
         Wie schon beschrieben sind "leaf" Mesh Access Points Devices die das Wireless Netz (nicht physisch) benutzen um sich
         [[Datei:Fortinet-1250.jpg]]
        ins Wireless Netz zu integrieren. Die Verbindung zum WiFi Controller wird über den "root" Mesh Access Point bewerkstelligt.
          
          
         Um ein "leafe" Access Point zu konfigurieren benutzen wir den WebBased Manager der auf den FortiAP's läuft. Per Standard
         [[Datei:Fortinet-1251.jpg]]
        nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2. Verbinde
        dich nun auf den WebBased Manager anhand dieser IP:
          
          
         '''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:
         [[Datei:Fortinet-1252.jpg]]
           
 
            [[FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F]]
        Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:
          
          
         http://192.168.1.2
         [[FortiAP:FAQ#Konfiguration]]
 
        <big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>
          
          
         Im WebBased Manager konfiguriere folgendes:
         [[Datei:Fortinet-1253.jpg]]
          
          
         Uplink            [Mesh]
         [[Datei:Fortinet-1254.jpg]]
        Mesh AP SSID      [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
         [[Datei:Fortinet-1255.jpg]]
         Mesh AP Password  [Preshared Key gemäss SSI "mesh-backhaul"]"
               
        Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".
        Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.
        Konfiguration mit "Apply":
          
          
         [[Datei:Fortinet-355.jpg]]
         Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:
          
          
         Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
         [[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]
 
        <big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>
          
          
         '''NOTE''' Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per
         WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
            Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
            ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist.
            Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's
            ohne Consolen Port:
          
          
            [[FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
        [[Datei:Fortinet-1256.jpg]]
          
          
         # cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
         [[Datei:Fortinet-1257.jpg]]
         # cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
 
        # cfg -a MESH_AP_TYPE=1
         <big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>
        # cfg -c
          
          
         Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
         Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:
          
          
         # cfg -s
         Firewall Objects > Address > Address > Create New
          
          
         Als nächsten Schritt muss für die "leaf" Access Points ein Profil angelegt werden. Dazu wähle im WebGui folgendes:
         [[Datei:Fortinet-1258.jpg]]
          
          
         WiFi Controller > Managed Access Points > Custom AP Profile
         [[Datei:Fortinet-1259.jpg]]
          
          
         Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
         [[Datei:Fortinet-1258.jpg]]
          
          
         Name          Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
         [[Datei:Fortinet-1260.jpg]]
        Platform      Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform
 
         Radio 1      Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
         <big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>
        Radio 2      Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
          
          
         [[Datei:Fortinet-356.jpg]]
         Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
          
          
         '''NOTE''' Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
         Policy > Policy > Policy > Create New
            mehr als Definition innerhalb des Profiles zur Verfügung.
          
          
         Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
         '''"only4also Firewall Policy Rule"'''
          
          
         # config wireless-controller wtp-profile
         [[Datei:Fortinet-1261.jpg]]
        # edit [Namen für das Profil zB "mesh-backhaul-leaf"]
        # config platform
        # set type [Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform]
        # end
        # config radio-1
        # set mesh-downlink enable
        # set band 802.11n-5G
        # set channel "36" "40" "44" "48"
        # set darrp enable
        # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]    
        # end
        # config radio-2
        # set mode ap
        # set band 802.11n
        # set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
        # end
        # end
          
          
         Nun muss das entsprechende Profil das erstellt worden ist dem entsprechenden FortiAP das für "leaf" Mesh Access Point
         [[Datei:Fortinet-1262.jpg]]
        benützt wird, zugewiesen werden. Wähle daszu im Gui:
          
          
         WiFi Controller > Managed A ccess Points > Managed FortiAP
         [[Datei:Fortinet-1261.jpg]]
          
          
         Wenn der "leaf" Mesh Access Point in Betrieb ist müsste dieser nun in der Liste der Access Points erscheinen. Selektiere
         [[Datei:Fortinet-1263.jpg]]
        diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird sollte der Access
        Point die Mesh IP zeigen. Nach dem "Authorize" kann das entsprechende Profile für die "leaf" Mesh Access Point, das
        vorhergend erstellt worden ist gewählt werden. Bestätige die Konfiguration anhand "Apply". Wenn die Konfiguration auf
        der CLI durchgeführt werden soll führe folgendes aus:
          
          
         # config wireless-controller wtp
         '''"also4guest Firewall Policy Rule"'''
        # get
        FAP22B3U11d05924
          
          
         # edit FAP22B3U11d05924
         [[Datei:Fortinet-1261.jpg]]
        # set admin enable
        # set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
        # end
          
          
         Die Konfiguration der '''Manuelle Konfiguration betreffend Mesh''' ist nun abgeschlossen. Um das "Mesh" Wireless  
         [[Datei:Fortinet-1264.jpg]]
         Netzwerk zu kontrollieren wähle im WebGui folgendes:
 
Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.
 
=== Wie nehme ich ein Fortinet Access Point unter FortiOS 5.4 in Betrieb und konfiguriere ich diesen? ===
 
Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.4. Für das Beispiel gehen wir von folgender Situation aus:
 
                    WAN
                    | 193.193.135.66              ___________
        ____________|____________                |          | SSID only4also 192.168.4.0/24
        |                        | 198.18.3.1    | FAP 221C  |
        |        Fortigate        |----- DMZ ------|          |
        |_________________________|                |___________| SSID also4guest 192.168.5.0/24
                    |
                    | 198.18.0.1
                  INTERNAL1
 
 
Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:
 
         [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F]]
 
Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem Forti Access Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den Forti Access Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet, muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Wir empfehlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IPv4 Range 198.18.3.0/24:
 
        <big>'''Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server'''</big>
          
          
         WiFi Controller > Managed Access Points > Managed FortiAP
         Network> Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
          
          
         In dieser View werden alle verbundenen und nicht verbundenen FortiAP's aufgelistet. Wenn man unter "Column Settings"
         [[Datei:Fortinet-1697.jpg]]
        das Feld "Connected Via" einblended sieht man in diesem Feld "Mesh" für die FortiAP's die über Mesh verbunden sind
        sowie deren IP Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen FortiAP durchgeführt werden:
          
          
         # cw_diag -c mesh
        Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimmt aus diesem Segment resp. über dieses
        Interface des FortiGate Devices, muss die Position CAPWAP unter "Restrict Access" aktiviert werden. Dadurch wird
        im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt.
        Desweiteren, damit die Forti Access Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IPv4 über dieses
        Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
        über Kommandozeile weitere Optionen im Zusammenhang mit dem Forti Access Point zur Verfügung wie AC (Wireless Controller)
        IPv4 Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen. Führe auf der
        CLI folgendes aus:
       
        # config system dhcp server
        # edit [Gebe den Integer an des entsprechenden DHCP Servers]
        # set dns-service [local | default | specify]
        # set dns-server1 [IPv4-Adresse für DNS Server 1]
        # set dns-server2 [IPv4-Adresse für DNS Server 2]
        # set dns-server3 [IPv4-Adresse für DNS Server 3]
        # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
        # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
        # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
        # set ntp-service [local | default | specify]
        # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
         # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
        # end
 
        <big>'''Verbinden des Forti Access Points über CAPWAP und Authorisierung des Forti Access Points'''</big>
       
        Nun muss der Forti Access Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in
        unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender
        Position und kann Authorisiert werden:
       
        WiFi&Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Edit
       
        [[Datei:Fortinet-1698.jpg]] 
       
        [[Datei:Fortinet-1699.jpg]]
          
          
         Eine weitere Möglichkeit um an Informtionen heranzukommen ist auf dem FortiAP folgender Befehl abzusetzen:
         Sobald der Forti Access Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
        zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
        Servers:
          
          
         # dmesg
         [[Datei:Fortinet-1700.jpg]]


         '''<big>MANUELLE KONFIGURATION WIRELESS BRIDGING</big>'''
         <big>'''Forti Access Point Firmware Upgrade durchführen'''</big>
       
        Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
        Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
        Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
        in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
        dabei zu berücksichtigen:
       
        [[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]
          
          
         Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die
         Ein Firmware Upgrade wird folgendermassen durchgeführt:
        Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port
        (Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet
        sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert
        da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul
        link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist  empfohlen 5 GHz zu
        benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless  Netzwerk. Um eine manuelle Konfiguration
        durchzuführen sind folgende Punkte zu berücksichtigen:
          
          
         • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
         WiFi & Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Upgrade
        • Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
          
          
         '''Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point'''
         [[Datei:Fortinet-1701.jpg]]
          
          
         Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
         Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf  
         "leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point
         dem Forti Access Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die  
         direkt mit dem zu verbindenen Segment verbunden!
         Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:
          
          
         [[Datei:Fortinet-357.jpg]]
         # config wireless-controller wtp
 
        # get
== Guest Access ==
       
 
        Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:
=== Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion? ===
       
 
        # edit [Serien Nummer des entsprechendne Forti Access Point zB "FP221C3X14001296"]
In einer Implementierung ist zu unterscheiden zwischen:
        # set override-allowaccess [enable|disable]
 
        # set allowaccess [telnet | http | https | ssh]
         '''Guest Access Provisioning:''' Der "Receptionist" (Guest Access Administrator) hat bereits Zugriff auf das Netzwerk und die "Guest" User können sich in
        # end
                                  unterschiedlichen Netzwerken befinden. In so einer Situation sollte die "Captive Portal" Funktion benutzt werden! Fur die
          
                                  Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit FortiOS 5. Keine zusätzliche Installationen müssen
        Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
                                  durchgeführt werden da eine FortiGate alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere  Information zur
        IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
                                  Implmenenterung siehe:
        Forti Access Point benutzt wird siehe nachfolgenden Artikel:
                                 
       
                                  [[FortiAP:FAQ#Wie_implementiere_ich_ein_.22Wireless_Guest_Access_Provisioning.22.3F]]
        [[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]:
 
       
         '''User Self Registration:''' In dieser Funktion muss der FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf kein "Captive Portal"
         # execute [telnet | ssh] [IPv4 Adresse des Forti Access Point; Ersichtlich über "Managed FortiAPs"]
                                vorgeschaltet sein. Die Authentifizierung erfolgt über eine "Identity Based Policy" auf der FortiGate die auf den  FortiAuthenticator
        FP221C3X14001296 login: admin
                                verweist. Somit sind die Voraussetzungen für eine Implementierung gegeben dh. zusätzlich zur FortiGate benötigt man für die Implemen-
       
                                tierung einen FortiAuthenticator. Weitere Inoformationen zur Implementierung siehe:
        BusyBox v1.15.0 (2015-07-31 17:21:29 PDT) built-in shell (ash)
                               
        Enter 'help' for a list of built-in commands.
                                [[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F]]
       
        Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:
       
        # factoryreset


=== Wie implementiere ich die "Wireless Self Registration" Funktion? ===
        <big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"</big>
       
        '''Konfiguration des Users für "only4also"'''
        User & Device > User Definition > Create New
        [[Datei:Fortinet-1702.jpg]]
       
        [[Datei:Fortinet-1703.jpg]]
       
        Beim Schritt 3 "Contact Info" Next anwählen.
       
        [[Datei:Fortinet-1704.jpg]]
       
        '''Konfiguration der Gruppe für "only4also"'''
        User & Device > User Groups > Create New
        [[Datei:Fortinet-1705.jpg]]
       
        '''Gruppe also4guest'''
        User & Device > User Groups > Create New
        [[Datei:Fortinet-1706.jpg]]
       
        Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
        der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden.
        Dies erfolgt über das folgende Menu: User & Device > Guest Management > Create New
               
        Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
        der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:
       
        [[Datei:Fortinet-1707.jpg]]
       
        Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
        und die entsprechenden User/Ticket's erfassen:
       
        [[Datei:Fortinet-1708.jpg]]
       
        [[Datei:Fortinet-1709.jpg]]
       
        Weitere detailliert Informationen siehe nachfolgender Artikel:
       
        [[FortiAP:FAQ#Guest_Access]]


Weitere Informationen zu diesem Artikel siehe:
        <big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>
       
        In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also"
        SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
        Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's
        eine entpsrechende IPv4 Adresse zu zuweisen:
       
        '''SSID "only4also"
        WiFi & Switch Controller > SSID > Create New
        [[Datei:Fortinet-1710.jpg]]
        [[Datei:Fortinet-1711.jpg]]
       
        '''SSID "also4guest"
        WiFi & Switch Controller > SSID > Create New
        [[Datei:Fortinet-1712.jpg]]
        [[Datei:Fortinet-1713.jpg]]
       
        Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:
       
        [[FortiAP:FAQ#Konfiguration]]


         [[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F]]
        <big>'''Konfiguriere des WTP Profile's für den Forti Access Point'''</big>
       
         [[Datei:Fortinet-1714.jpg]]
       
        [[Datei:Fortinet-1715.jpg]]
       
        Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:
       
        [[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]


=== Wie implementiere ich ein "Wireless Guest Access Provisioning"? ===
        <big>'''Konfiguriertes WTP Profile dem Forti Access Point hinzufügen'''</big>
       
        WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
       
        [[Datei:Fortinet-1721.jpg]]


Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5) kann ein "restricted" Administrator Gäste Accounts erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spzielle Gruppe. Dazu führe folgendes Konfiguration durch:
        <big>'''Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>
       
        Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:
       
        Policy & Objects > Addresses > Create New > Adress
       
        [[Datei:Fortinet-1718.jpg]]
       
        Alle weiteren Adressobjekte analog erfassen. (net-only4also-192.168.4.0-24 und net-local-lan-198.18.0.0-24))


      User & Device > User > User Group
        <big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>
     
       
      [[Datei:Fortinet-363.jpg]]
        Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
     
       
      '''NOTE''' Aktiviert man die Position "Enable Batch Guest Account Creation" so sieht die Gruppe folgendermassen aus:
        '''"only4also Firewall Policy Rule"'''
           
        Policy & Objects > IPv4 Policy > Create New 
            [[Datei:Fortinet-373.jpg]]
        [[Datei:Fortinet-1719.jpg]]
           
       
            Diese Funktion wird benutzt um "automatisch" Accounts durch das System zu erstellen (Batch).
        '''"also4guest Firewall Policy Rule"'''
        Policy & Objects > IPv4 Policy > Create New
        [[Datei:Fortinet-1720.jpg]]


Zur dazugehörigen Gruppe erstellen wir einen User der als Administrator aggieren kann um Accounts für die Gäste zu erstellen:
Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.


      System > Admin > Administrators
== Setup ==
     
      [[Datei:Fortinet-364.jpg]]


Wenn sich nun dieser neu erstellte und "restricted" Administrator über den regulären Login der Firewall einloggt kann er Gäste Accounts erstellen und verwalten:
=== Wie kann ich per "telnet/ssh" auf einen Forti Access Point verbinden wenn dieser über keinen Consolen Port verfügt? ===


      [[Datei:Fortinet-365.jpg]]
Wenn ein Forti Access Point zB FAP-21D über keinen Consolen Port verfügt kann man dennoch über "telnet/ssh" (SSH ab FortiGate/FortiAP FortiOS 5.4.1) auf den Forti Access Point zugreifen um zB ein "debug" auszuführen oder eine lokale Konfiguration auf dem Forti Access Point durchzuführen. Die Funktion "telnet/ssh" muss vorgängig auf dem Fortigate Wireless Controller freigeschaltet werden. Dies bedeutet: ein direkter Zugriff per "telnet/ssh" auf den Forti Access Point ist nicht möglich. Der Zugriff eines "telnet/ssh" erfolgt über die Fortigate CLI oder über das Mgmt. Web Interface der FortiGate anhand des CLI Funktion für einen Forti Access Point. Um die Funktion für "telnet/ssh" freizuschalten auf dem FortiGate Wirless Controller kann dies entweder für FortiOS 5.0/5.2 sowie 5.4 für einen Forti Access Point erfolgen oder unter FortiOS 5.4 für ein WTP Profile. Um "telnet/ssh" für einen Forti Access Point zu aktivieren führe ein Login durch auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:


      [[Datei:Fortinet-366.jpg]]
        '''Aktiviere "telnet" und/oder "http" im WTP Profile (FortiOS 5.4)'''
       
        # config wireless-controller wtp-profile
        # edit [Gebe das entsprechende WTP Profile an]
        # set allowaccess [telnet | http | https | ssh]
        # end
       
        Das entsprechende WTP Profile muss nun dem entsprechenden Forti Access Point zugewiesen sein damit
        die Aktivierung von "telnet/ssh" und/oder "http/https" erfolgt. Danach kann über folgende Position
        eine CLI geöffnet werden:
       
        WiFi Controller > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste] > Edit in CLI
       
        Wenn der Zugriff für "telnet/ssh" über den FortiGate Wireless Controller resp. CLI erfolgen soll muss
        und die entsprechende IPv4 des Forti Access Point umbekannt ist siehe nachfolgender Absatz für FortiOS
        5.0/5.2.


Um nun zB einen "Gast" Account zu erstellen geht der "restricted" Administrator folgendermassen vor:
        '''Aktiviere "telnet" im WTP(FortiOS 5.0/5.2)'''
       
        Ueberprüfe über "wtp" welche Forti Access Points existieren:
       
        # config wireless-controller wtp
        # get
        == [ FAP14C3X13000543 ]
        wtp-id: FAP14C3X13000543   
        == [ FP221C3X14001296 ]
        wtp-id: FP221C3X14001296   
        == [ FAP21D3U14000144 ]
        wtp-id: FAP21D3U14000144   
        == [ FAP24D3X14000101 ]
        wtp-id: FAP24D3X14000101   
        # end


      [[Datei:Fortinet-367.jpg]]
        Ueberprüfe über "diagnose wireless" welche IP ein bestimmter Access Points benutzt:
 
       
       [[Datei:Fortinet-368.jpg]]
        # diagnose wireless wlac -c wtp [Gebe den entsprechenden Forti Access Point an]
        
        -------------------------------WTP    1----------------------------
      '''NOTE''' Wir die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die User "automatisch"
        WTP vd              : root
             erstellt (Batch). Dies sieht dann folgendermassen aus:
            vfid            : 0
              
            id              : FAP21D3U14000144
             [[Datei:Fortinet-374.jpg]]
            mgmt_vlanid      : 0
              
            region code      : E
             Nach der "automatischen" Erstellung wird folgendes Ausgegeben:
            regcode status  : valid
              
            refcnt          : 3 own(1) wtpprof(1) ws(1)
             [[Datei:Fortinet-375.jpg]]
            plain_ctl       : disabled
              
            deleted          : no
             Wenn man "mehrere" User auf einmal erstellen möchte wählt man bei der Erstellung folgendes:
            admin            : enable
              
            cfg-wtp-profile  : FAP-04
             [[Datei:Fortinet-376.jpg]]  
            override-profile : disabled
              
            oper-wtp-profile : FAP-04
             Danach kann angegeben werden wieviele Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:
            wtp-mode        : remote
           
            name            : Remote Access Point FAP-21D
            [[Datei:Fortinet-377.jpg]]
            location        : Remote FAP-04 local-sg0e0
           
            led-state       : enabled
Nach den Angaben kann nun die Information über die in der Gruppe gewählten Uebermittlungsarten dem Gast übermittelt werden wie zB SMS, E-Mail oder Ausdruck (Printing):
            ip-frag-prevent  : TCP_MSS
            tun-mtu          : 1492,1492
            split-tunneling-local-ap-subnet  : disabled
             active sw ver    : FAP21D-v5.2-build0234
            local IPv4 addr  : 193.193.135.71
             board mac        : 08:5b:0e:97:23:0c
             join_time        : Thu Apr 23 08:03:43 2015
            mesh-uplink      : ethernet
            mesh hop count  : 0
             parent wtp id    :
             connection state : Connected
             image download progress: 0
             last failure    : 15 -- ECHO REQ is missing
             last failure param: N/A
             last failure time: Thu Apr 23 08:03:02 2015
            station info    : 0/0
             geo              : World (0)
             LAN              :
                    rId    : 1
                    cnt    : 1
                    port 1  : mode BR-TO-SSID(3) ssid fortinet4intern         
          Radio 1            : Disabled
          Radio 2            : Virtual Lan AP
             max vaps        : 0
             base bssid      : 00:00:00:00:00:00
            station info    : 0/0
          Radio 3            : Not Exist
        -------------------------------Total    1 WTPs----------------------------
               
        Editiere den entsprechenden Forti Access Point auf dem "telnet" freigeschaltet werden soll und aktiviere den Zugriff:
       
        # config wireless-controller wtp
        # edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
        # set login-enable enable
        # end
       
        Für FortiOS 5.4 existiert dieses Kommando "login-enable" nicht mehr. Ein Zugriff für "telnet/ssh" und/oder "http/https" kann
        dennoch über "wtp" für einen entsprechenden Forti Access Point freigeschaltet werden und wird folgendermassen
        durchgeführt:
       
        # config wireless-controller wtp
        # edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
        # set override-allowaccess [enable | disable]
        # set allowaccess [telnet | http | https | ssh]
        # end
       
        Durch diese Konfiguration wird ein Neustart des Forti Access Point durchgeführt!
       
        Teste den Zugriff per "telnet/ssh" auf den entsprechenden Access Point:
       
        # exec [telnet | ssh] 193.193.135.71
        FAP22B3U11011877 login: admin
       
        BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
        Enter 'help' for a list of built-in commands.
       
        #
 
Wenn "ssh" benutzt wird ist folgendes berücksichtigen: Wenn ein das "default" Passwort auf einem Forti Access Point gesetzt ist dh. also kein Passwort dann erscheint durch nachfolgenden Befehl kein Login Prompt sondern es wird direkt ein Login durchgeführt:
 
        # execute ssh [IPv4 Adresse des Forti Access Point]
        Warning: Permanently added '[IPv4 Adresse]' (RSA) to the list of known hosts.


      [[Datei:Fortinet-369.jpg]]
Es wird somit im Hintergrund effektiv folgender Befehl ausgeführt:


Wählt man zB Printing so erscheint folgendes:
        # execute ssh admin@[IPv4 Adresse des Forti Access Point]


      [[Datei:Fortinet-372.jpg]]
Da kein Passwort gesetzt wurde auf dem Forti Access Point wird direkt der Standard User "admin" benutzt für das Login. Das ist der Grund wieso kein Login Prompt erscheint. Somit hat man die Wahl entweder den User "admin" im Kommando mitzugeben oder nicht. Ist ein Passwort gesetzt auf dem Forti Access Point und der User "admin" wird mit dem Kommando migegeben erscheint nur die Passwort abfrage. Wir der User mit gesetzen Passwort auf dem Forti Access Point nicht mitgegeben erscheint der Login Prompt für die Eingabe des Users und Passworts. Wie schon erwähnt gibt es neu ab FortiOS 5.2 die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist die Option "set login-enable enable" oder für FortiOS 5.4 "override-allowaccess" und/oder innerhalb eines WTP Profiles "allowaccess". Werden diese Optionen für einen Zugriff über "telnet" nicht aktiviert sei es für FortiOS 5.0/5.2 sowie für 5.4, steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen führe folgendes aus:


Wenn man das Fenster schliesst "Return" kann man den erstellten User in der Liste sehen sowie einsehen zB Passwort und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:
        WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick] > [Connect to CLI]


      [[Datei:Fortinet-370.jpg]]
        [[Datei:Fortinet-1292.jpg]]
     
Wenn man sich als "regulärer" Administrator wiederum einloggt dann kann man die Gäste User -die durch den "resticted" Administrator erstellt wurden über folgende Position einsehen:


      User & Device > User > Guest Management
        [[Datei:Fortinet-1293.jpg]]
     
 
      [[Datei:Fortinet-371.jpg]]
=== Was ist die Default IPv4 Adresse für einen Forti Access Point und wie kann ich mich auf diese IPv Adresse verbinden? ===
     
 
      '''NOTE''' Der "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue User
Wenn ein Forti Access Point gestartet wird, reagiert auf Netzwerkebene der Forti Access Point folgendermassen:
            -wie der "restricted" Administrator"- erstellen!
 
        • Der Forti Access Point sendet einen DHCP Anfrage in das Segment! Wird diese DHCP Anfrage beantwortet wird das
          "wan" Interface des Forti Access Point anhand der Informationen des DHCP Server konfiguriert!


Als Letzteres muss die Gruppe auf der entsprechenden SSID unter Captive Portal ausgewählt werden. Wähle die entsprechende SSID und füge die Gruppe (Beispiel FortiGroup-Guest) zum Captive Portal hinzu. Nun kann die Lösung getestet werden. Ebenfalls ist es möglich unter einem spezifizierten Interface zB "internal" den Security Mode auf "Captive Portal" zu setzen und die entsprechende Gruppe zu wählen dh. "FortinetGroup-Guests.
        • Beantwortet "Kein" DHCP Server die Anfrage des Forti Access Point so wird auf dem Interface des Forti Access
          Points die "default" IPv4 Adresse konfiguriert:
         
          192.168.1.2/24


Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:
Somit kann man sich auf einen Forti Access Point folgendermassen verbinden sofern der Forti Access Point betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):


         '''Guest Access User Group'''
         1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
       
         
        # config user group
          192.168.1.1 255.255.255.0
        # edit <name>
         
         # set group-type guest
         2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
        # set user-id email/auto-generate/specify
         
         # set password auto-generate/specify/disable
         3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
        # set user-name enable/disable
         
        # set email enable/disable
          http://192.168.1.2
        # set mobile-phone enable/disable
        # set default-expire <seconds>
        # end


        '''Guest admin profile options'''
Möchte man sich auf den Forti Access Point verbinden jedoch wurde das Interface auf "Static" konfiguriert und die IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults gesetzt werden. Weitere Informationen wo sich der "reset button" bei den verschiedenen Modellen befindet, kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:
       
        # config system admin
        # edit <name>
        # set guest-auth enable/disable
        # set guest-usergroups <guest user groups>
        # end


        '''Interface Security Mode option –captive-portal'''
            [[Fortinet:ProduktInfo#FortiAP]]
       
        # config system interface
        # edit <name>
        # set security-mode captive-portal
        # set replacemsg-override-group [group-name]
        # set security-groups [group-list]
        # next
        # end
       
        '''NOTE''' Das Kommando resp. Variable "security-mode" steht für ein Interface, dass eine SSID
            darstellt nicht zur Verfügung. Das Captive Portal muss über WebGui oder über das
            Kommando "config wireless-controller vaps" konfiguriert werden!


Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:
=== Wie kann ich auf einem Forti Access Point für das Netzwerk Interface eine statische IPv4 Adresse konfigurieren? ===


        # diagnose test guest ?
Wenn man einen Forti Access Point manuell dh. mit einer statischen IPv4 Adressen konfigurieren möchte so kann dies über CLI sowie über das Mgmt. Web Interface durchgeführt werden. Um die Konfiguration durchzuführen muss auf die Standard IPv4 Adresse des Forti Access Point's zugegriffen werden. Wie dies durchzuführen ist siehe nachfolgender Artikel:
        add    add a guest user
        del    delete guest users
        list    list guest users


         # diagnose test guest list
         [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
        user_id=new-user-1@beispiel.com
 
        group=Beispiel-Gruppe
Um die Konfiguration einer statischen IPv4 Adresse über Mgmt. Web Interface des Forti Access Point durchzuführen gebe folgende Adresse in den Browser ein:
         user_name=gast-1
 
        password=pwj8m9
         http://192.168.1.2
        mobile_phone=
 
        sponsor=
Danach kann über das Mgmt. Web Interface die Konfiguration durchgeführt werden. Um die Konfiguration einer statischen IPv4 Adresse für den Forti Access Point auf CLI durchzuführen muss "telnet" Zugriff für den Forti Access Point aktiviert werden. Die Aktivierung für den "telnet" Zugriff kann über das Mgmt. Web Interface durchgeführt werden. Um nachträglich die Konfiguraiton auf der CLI des Forti Access Point durchzuführen gebe folgendes ein:
        company=
        email=new-user-1@beispiel.com
        expire=1 Hours


         # diagnose test guest add
         # cfg –a AP_IPADDR=[Gebe eine enstprechende IPv Adresse an zB "192.168.1.2"]
         <group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>
         # cfg –a ADDR_MODE=STATIC
        # cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IPv ADresse zB "255.255.255.0"]
        # cfg -a DNS_SERVER=[DNS Server IPv4 Adresse]
        # cfg -c


        # diagnose test guest del
Um die entsprechende Konfiguration nachträglich zu überprüfen gebe folgendes ein:
        12 deleted for group '', user-id ''


        # diagnose test guest list
      # cfg -s
        0 found for group '', user-id ''
      AP_IPADDR:=192.168.1.2
      AP_NETMASK:=255.255.255.0
      IPGW:=192.168.1.1
      ADDR_MODE:=DHCP
      TELNET_ALLOW:=0
      AC_DISCOVERY_TYPE:=0
      AC_IPADDR_1:=192.168.1.1
      AC_CTL_PORT:=5246
      AC_DISCOVERY_MC_ADDR:=224.0.1.140
      AC_DISCOVERY_DHCP_OPTION_CODE:=138


=== Wie Konfiguriere ich für die "Wireless Self Registration" Funktion ein SMS Provider für HTTP/S Get und Post? ===
Weitere lokale Konfigurations Möglichkeiten auf dem Forti Access Point können anhand des folgenden Befehls aufgelistet werden:


Weitere Informationen zu diesem Thema siehe Artikel:
        # cfg -h


        [[FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_das_Versenden_von_SMS_Nachrichten_einen_entsprechenden_SMS_Gateway_definieren.3F]]
=== Wie kann ich die FortiGate Wireless Controller IPv4 Adresse für einen Forti Access Point über DHCP Server zuweisen? ===


== Remote ==
Wenn einem Forti Access Point dessen FortiGate Wireless Controller IPv4 Adresse über DHCP Server zugewiesen werden soll kann dies über die DHCP Option "138" durchgeführt werden. Dies bedeutet: Wenn für die diese IPv4 Adresse des FortiGate Wireless Controllers ein bestehender DHCP Server benutzt wird muss in diesem die IPv4 Adresse als Option "138" gesetzt werden sowie auf dem entsprechenden Forti Access Point verifiziert werden ob diese Option "138" korrekt gesetzt ist. Dies wird lokal auf der CLI des Forti Access Point durchgeführt:


=== Wie konfiguriere ich einen FAP-11C für einen Remote Zugriff? ===
        '''Auslesen der momentaner Netzwerk Konfig:'''
       
        # cfg -s


In unserem Beispiel gehen wir von folgenden Scenario aus:
        '''Konfiguration der DHCP Option:'''
        _________
        |        | 193.193.135.70
        | FAP-11C |--|
        |_________|  |
                    WAN
                    | 193.193.135.66              ___________
        ____________|____________                |          |
        |                        | 192.168.3.1    | FAP-11C  |
        |        Fortigate        |----- DMZ ------|          |
        |_________________________|                |___________|
                    |
                    | 192.168.1.99
                    LAN
          
          
         '''NOTE''' In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "DMZ" durchgeführt!
         # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
            Bedeutet dieses DMZ ist nur temporaerer Natur für den FAP-11C und wird nur für die
        # cfg -c
            Grundkonfiguration sowie das Testen benützt. Die Funktion die hier gezeigt wird dh der Remote
            Zugriff steht nicht exkl. dem FAP-11C zur Verfügung sondern ist mit allen FortiAP's möglich!


Wie im Artikel [[FortiAP:FAQ#Beim_FortiAP_11C_auf_WAS_basiert_die_Komunikation_zu_einer_FortiGate.3F]] erklärt basiert die Komunikation eines FAP-11C für Remote Zugriff auf eine FortiGate auf CAPWAP und sofern aktiv einer DTLS Verschlüsselung (Weitere Informationen siehe Absatz [[FortiAP:FAQ#CAPWAP_.2F_DTLS]]. Wenn ein FAP-11C nicht als Remote Zugriff konfiguriert wird kann dieser Device mit allen Funktionen wie ein normaler FortiAP konfiguriert und benützt werden. Fuer eine Remote Zugriff Konfiguration führe folgende Schritte durch:
Unter normalen Umständen empfehlen wir den DHCP Server auf dem FortiGate Device zu benutzen. Dadurch muss die Option "138" nicht gesetzt werden, denn im DHCP Server auf dem FortiGate Device kann anhand "wifi-ac1" die IPv4 Adresse des FortiGate Wireless Controller direkt konfiguriert werden. Zu "failover" Zwecken stehen 3 "wifi-ac" zur Verfügung. In diesem Zuge empfehlen wir ebenfalls die Konfiguration des DNS Server IPv4 Adresse sowie die IPv4 Adresse des NTP Servers:


         - Herkömmliche Konfiguration des FAP-11C anhand SSID's und dem entsprechenden Profiles:
         # config system dhcp server
         
        # edit [Gebe den Integer an des entsprechenden DHCP Servers]
          [[FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_in_Betrieb_und_konfiguriere_ich_diesen.3F]]
        # set dns-service [local | default | specify]
         
        # set dns-server1 [IPv4-Adresse für DNS Server 1]
          '''NOTE''' Bei der Konfiguration kann so vorgegangen werden als ob der FAP-11C für den internen Gebrauch
        # set dns-server2 [IPv4-Adresse für DNS Server 2]
                benützt würde. Dies bedeutet die Konfiguration kann vollumfänglich getestet werden im internen
        # set dns-server3 [IPv4-Adresse für DNS Server 3]
                Bereich über dessen Konfiguration und/oder Funktion. Was jedoch nicht vergessen werden darf ist den
        # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
                FAP "nach" dem Test zu löschen da dieser "Authorized" wurde für das Interne Netz sowie für die
        # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
                erhaltene "interne" IP. Bedeutet "NACH" dem Test und nachdem der FAP abgehängt wurde vom "internen"
        # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
                Netz ist dessen Eintrag aus der Liste der "Managed FortiAP" rauszulöschen!
        # set ntp-service [local | default | specify]
        # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
        # end


Ausgehend davon das der FAP-11C konfiguriert und getestet wurde kann nun die zusätzliche Konfiguration durchgeführt werden. Als nächstes muss dem FAP-11C mitgeteilt werden mit welchen FortiGate Wireless Controller er sich Remote zu verbinden hat. Dies geschieht auf dem FAP-11C über den Konfigurationspunkt "AC Host Name/Adresse". Dieser findet man über das Mgmt. WebInterface eines Fortinet Access Points unter folgender Position:
Nachträglich kann die Konfiguration resp. die Zuweisung der IPv4 Adresse über Kommandozeile auf dem Forti Access Point folgendermassen kontrolliert werden:


        '''NOTE''' Wenn Die Konfiguration auf "Auto" steht werden sämtlich zur Verfügung stehenden Methoden durch den
         # cw_diag -c wtp-cfg
              FortiAP durchgegegangen dh. DNS, Broadcast, Multicast, Static! Wenn dies nicht gewünscht wird dh.
              ZB weil der Remote AP in der Remote Location hinter einer FortiGate installiert ist sollte Static
              gewählt werden da ansonsten der FAP auf der FortiGate in der Remote Location ebenfalls ersichtlich
              ist und "potentiell" von dort aus konfiguriert werden könnte!
          
        [[Datei:Fortinet-700.jpg]]
       
        '''NOTE''' Die Konfiguration basiert auf dem FQDN (Fully Qualified Domain Name) der
            FortiGate sowie deren externen IP. In unserem Beispiel 193.193.135.66 (firewall.local.intra)!
            Damit die DNS Auflösung funktioniert auf dem FortiAP muss ein DNS Server konfiguriert werden.
            Diese Konfiguration kann nur auf der CLI durchgeführt werden:
           
            # cfg -a DNS_SERVER=[DNS Server IP Adresse]
           
            '''NOTE''' Wenn der FortiAP über keinen Consolen Port verfügt kann dieser über den Wireless Controller
                  angegangen werden. Weitere Informationen siehe Artikel:
                 
                  [[FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]


Es ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. "DTLS" ist bereits zusammen mit "Clear Text" aktiviert. Aus Security Gründen sollte "DTLS enabled" explizit aktiviert werden denn wenn beide Funktionen aktiviert sind dh. "Clear Text" und "DTLS" wird die Funktion über das entsprechende Profile (wtp-profile) auf dem Wireless Controller gesteuert (Weitere Informationen betreffend DTLS siehe Artikel [[FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F]]):
=== Wie kann ich auf einem Forti Access Point auf einer SSID eine "MAC Reservation + Access Control" Konfigurieren? ===


        [[Datei:Fortinet-701.jpg]]
Eine "MAC Reservation + Access Control" kann unter FortiOS 5.0/5.2 sowie 5.4 innerhalb des DHCP Servers, der für die SSID aktiviert wird, konfiguriert werden. Dies ist jedoch nur dann möglich, wenn die entsprechende SSID im "tunneling" Mode ist und nicht für "local bridge" konfiguriert wurde, da im Bridge Mode kein DHCP Server aktiviert werden kann (local break-out). Die Konfiguration kann über Mgmt. Web Interface sowie auf CLI durchgeführt werden. Dabei ist folgendes Wichtig:


Nun muss gewährleistet sein, dass der FAP-11C über das WAN Interface im entsprechender Umgebung den FQDN der FortiGate und/oder deren IP erreichen kann. Dazu benötigt der Device folgendes:
        Ein DHCP Server eines FortiOS ist per Standard im "assign" Mode und bedeutet: Jede Anfrage wird vom DHCP Server mit einer
        entsprechender IPv4 Adresse beantwortet. Möchte man nur Anfragen beantworten betreffend definierter MAC Adressen, muss der
        DHCP Server auf "block" gesetzt werden. Im Standard "assign" Mode stehen folgende Funktionen innerhalb des DHCP Servers für
        die IPv4 Adressse sowei MAC Adressen zur Verfügung:
       
        • Reserve IP
        • Assign IP
        • Block


        --> Auf dem WAN Interface per DHCP zugewiesenen IP/Subnet, Default Gateway oder Statische Konfiguration dieser Informationen:
Möchte man die "MAC Reservation + Access Control" unter Mgmt. Web Interface konfigurieren, findet man die entsprechenden Optionen unter folgender Position:
           
            DHCP Konfiguration (Default):
           
            [[Datei:Fortinet-702.jpg]]
           
            Static Konfiguration:
           
            [[Datei:Fortinet-703.jpg]]


         --> Traffic in der entsprechenden Umgebung vom internal LAN auf das Internet für den FQDN der FortiGate resp. deren externer IP ueber Port UDP 5246 und UDP 5247 muss erlaubt werden!
         WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [DHCP Server] > [Addtional DHCP Options]


         --> Firewall Policy auf der FortiGate für "incoming" Traffic muss nicht zusätzlich implementiert werden da dies durch die "Local In Policy" bereits erlaubt wird:
         [[Datei:Fortinet-1693.jpg]]
       
            '''NOTE''' Ab FortiOS 5.0.3 muss CAPWAP explizit auf dem entsprechenden Interface erlaubt werden dh. die Check Box
                muss aktiviert werden!
           
            [[Datei:Fortinet-784.jpg]]
           
            [[Datei:Fortinet-704.jpg]]


         --> Firewall Policy auf der FortiGate um den Traffic für die entsprechende SSID zu erlauben
         [[Datei:Fortinet-1694.jpg]]


Wenn dies gewährleistet ist findet der FAP-11C über dessen WAN Interface die externe IP der FortiGae (FQDN) und nimmt mit dem Wireless Controller über CAPWAP die Komunikation auf. Wenn der User nun auf die entsprechende SSID auf dem FAP-11C verbindet wird dem Client eine IP über den DHCP Server der auf der entsprechenden SSID konfiguriert ist eine IP zugewiesen. Die Komunikation die nun durch den User über die SSID zum Wireless Controller sendet wird im DTLS Channel verschlüsselt. Die DTLS Verschlüsselung -sofern aktiviert jedoch dringend empfohlen- kann über die FortiGate und/oder FAP-11C kontrolliert werden:
Möchte man diese Konfiguration unter CLI durchführen, führe folgendes durch:


            '''FortiGate'''
        # config system dhcp server
           
        # edit [Setze einen entsprechenden Integer zB "1"]
            [[Datei:Fortinet-705.jpg]]
        # set description [Definiere einen entsprechenden Kommentar für DHCP Server]
        # set status [disable | enable]
        # set mac-acl-default-action [assign | block]
        # set dns-service [local | default | specify]
        # set dns-server1 [IPv4-Adresse für DNS Server 1]
        # set dns-server2 [IPv4-Adresse für DNS Server 2]
        # set dns-server3 [IPv4-Adresse für DNS Server 3]
        # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
        # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
        # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
        # set ntp-service [local | default | specify]
        # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
        # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
        # set domain [Setze eine entsprechende Domain zB "local.intra"]
        # set wins-server1 [IPv4-Adresse für Win Server 1]
        # set wins-server2 [IPv4-Adresse für Win Server 1]
        # set default-gateway [IPv4-Adresse für Default Gateway]
        # set next-server <IPv4-Adresse für Bootstrap Server]
        # set netmask [IPv4-Netmask für DHCP Server IP Range]
        # set interface [Name des Interface für den DHCP Server zB "internal"]
        # config ip-range
        # edit [Setze einen entsprechenden Integer zB "1"]
        # set start-ip [IPv4 Start Adresse für den DHCP Bereich]
        # set end-ip [IPv4 End Adresse für den DHCP Bereich]
        # end
        # set timezone-option [disable | default | specify]
        # set timezone [01 | 02 | 03 | 04 | 05 | 81 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 74 | 14 | 77 | 15 | 16 | 17 | 18 | 19 | 20 | 75 | 21 | 22 | 23 | 24 | 80 | 79 | 25 | 26 | 27 | 28 | 78 | 29 | 30 | 31 | 85 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 83 | 84 | 40 | 41 | 42 | 43 | 39 | 44 | 46 | 47 | 51 | 48 | 45 | 49 | 50 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 62 | 63 | 61 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 00 | 82 | 73 | 86 | 76]
        # config exclude-range
        # edit [Setze einen entsprechenden Integer zB "1"]
        # set start-ip [Definition der IPv4 Start Adresse für den DHCP Exclude Bereich]
        # set end-ip [Definition der IPv4 End Adresse für den DHCP Exclude Bereich]
        # end
        # config reserved-Adresse
        # edit [Setze einen entsprechenden Integer zB "1"]
        # set ip [IPv4-Adresse für IP Reservation]
        # set mac [MAC-Adresse Defintion für IP Reservation]
        # set action [assign | block | reserved]
        # end
        # end


            '''FortiAP'''
Eine weitere Möglichkeit ab FortiOS 5.0 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand der "Device Detection" Funktion oder eigene definierten Devices innerhalb der "Device Detection" Funktion, kann der der Zugriff eingeschränkt werden. Um die Funktion "Device Detection" zu aktivieren, muss innerhalb der SSID resp. des "virtuellen" Interfaces das für die SSID konfiguriert wird, diese Funktion aktiviert werden:
           
            [[Datei:Fortinet-706.jpg]]
           
            '''NOTE''' Ueber diese Position kann ebenfalls der Status kontrolliert werden dh. mit welchem Wireless
                Controller der Device verbunden ist!


=== Beim FortiAP 11C auf WAS basiert die Komunikation zu einer FortiGate? ===
        WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [Aktiviere "Device Detection"]


Ein FAP-11C ist ein FortiAP der für Remote Einsatz Zwecke gedacht ist! Ein FortiAP 11C ist nicht IPSec basierend sonder CAPWAP DTLS basierend sprich es wird über CAPWAP eine DTLS Verschlüsselung etabliert!
Durch diese Funktion "Device Detection" wird versucht jeden Device in diesem Segment der das Interface der FortiGate benützt zu identifizieren. Um "Device Detection" auf der CLI für die SSID zu aktivieren führe folgendes aus:


         '''NOTE''' Der FortiAP 11C kann nicht mit FortiOS 4.3 Patch 11 eingesetzt werden. Weitere Informationen siehe:
         # config system interface
           
        # edit [Name des entsprechenden Interfaces resp. SSID]
            [[FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F]]
        # set device-identification [enable | disable]
        # set device-identification-active-scan [enable | disable]
        # end


        [[FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F]]
Es wird empfohlen die "device-identification-active-scan" nicht per Standard zu aktivieren. Um innerhalb der "Device Detection" Funktion einen eigenen Device zu definieren dh. nicht über die auf dem Interface aktivierte Funktion "device-identification", kann dieser Device innerhalb des DHCP Server auf der CLI konfiguriert werden:
        [[FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F]]


=== Bei einem Remote Zugriff wieviel Bandbreite benützt der Management Tunnel (CAPWAP)? ===
        # config system dhcp server
        # edit [Setze einen entsprechenden Integer zB "1"]
        # config user device
        # edit [Vergebe einen entsprechenden Namen für den Device]
        # set mac [MAC Adresse für den entsprechenden Device]
        # end


Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP für einen Remote Zugriff eines FortiAP's ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:
Für diese definierten Devices können ebenfalls entsprechenden Gruppen angelegt werden:


         --> Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
         # config user device-group
         --> Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
         # edit [Name für die Device Gruppe]
          
         # set member [Wähle die entsprechenden Member]
         '''NOTE''' Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP
         # end
            bei Notwendigkeit angepasst werden!


== Sniffer ==
Wieder eine andere Möglichkeit ist über eine entsprechende Firewall Policy Rule für die SSID anhand der "Device Detection" Funktion den Zugriff einzuschränken:


=== Kann ich einen FortiAP als Sniffer benutzen um den Traffic zu verfolgen (capture)? ===
        Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > [Device Identiy | Source Device Type]


Ja dies ist möglich jedoch mit folgenden Einschränkungen:
Unter FortiOS 5.4 existiert innerhalb der Firewall Policy Rule keine entsprechende Position, sondern der entsprechende Device muss über zB die Source eingebunden werden. Wähle dazu:


         --> Nur ein Radio auf's Mal kann benutzt werden um den Sniffer auszuführen (capture)
         Policy & Objects > IPv4 Policy > Create New
        --> Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden


Wenn ein Radio für den Sniffer Mode konfiguriert wurde so wird lokal auf dem FortiAP ein File in folgendes Verzeichnis abgelegt:
        [[Datei:Fortinet-1695.jpg]]


        /tmp/wl_sniff.pcap
=== Wie kann ich über einen Forti Access Point alle Wireless Devices in dessen Wirkungsgrad erkennen und auflistet? ===
       
        '''NOTE''' Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des FortiAP durchgeführt
            wird so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none"
            Persistent Verzeichnis handelt. Aus diesem Grund muss das File "vor" einem Neustart per TFTP
            auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren
            benutze folgende Kommandos:
           
            # cd /tmp
            # ls
            wl_sniff.cap
           
            # tftp
           
            BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
            Usage: tftp [OPTIONS] HOST [PORT]
            Transfer a file from/to tftp server
           
            Options:
           
            -l FILE Local FILE
            -r FILE Remote FILE
            -g      Get file
            -p      Put file
             
            Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:
           
            # tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IP Adresse des TFTP Servers] 69


Um einen FortiAP in den Sniffer Mode zu versetzen muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:
Ein Forti Access Point kann anhand der Funktion "station-locate" so konfiguriert werden, dass dieser Forti Access Point für dessen Umgebung alle Wireless Devices auflistet der dieser Erkennt. Dabei werden sehr viele Informationen für diese Wireless Devices aufgeführt die auch für das "location tracking" benutzt wird. Da die Funktion relativ Performance Intensiv ist, sollte diese Funktion nur zu Analyse benutzt werden und nicht Permanent ausser es wird anhand des "Euclid Analytics Service" Format ein "location tracking" benutzt. Die Funktion kann einzeln für einen entsprechenden "radio's" aktiviert werden dh. für 5 GHz und/oder 2.4 GHz. Aktiviert wird die Funktion in dem entsprechenden WTP Profile das dem Forti Access Point zugewiesen wird:


            # config radio-1
        # config wireless-controller wtp-profile
            # set mode disabled
        # edit [Wähle das entsprechende Profil]
            # end
        # config radio-1
            # config radio-2
        # set station-locate enable
            # set mode sniffer
        # end
            # set ap-sniffer-bufsize 32
        # config radio-2
            # set ap-sniffer-chan 1
        # set station-locate enable
            # set ap-sniffer-addr 00:00:00:00:00:00
        # end
            # set ap-sniffer-mgmt-beacon enable
        # end
            # set ap-sniffer-mgmt-probe enable
            # set ap-sniffer-mgmt-other enable
            # set ap-sniffer-ctl enable
            # set ap-sniffer-data enable
            # end
            # end


            '''NOTE''' Durch die folgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:
Die Informationen die im Hintergrund vom Wireless Controller über den Forti Access Point "radio" gesammelt werden sind umfänglich! Nachträglich kann man anhand des "diagnose" Kommando Kommando auf der CLI die gesammelten Informationen aus dem Wireless Controller auslesen:
           
 
                  ap-sniffer-add       --> Kann angegeben werden um einen spezifischen Client zu definieren dh. anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
        # diagnose wireless wlac -c sta-locate
                  ap-sniffer-chan     --> Kann angegeben werden um einen spezifischen Channel zu definieren
       
        sta_mac              vfid  rid base_mac          freq_lst  frm_cnt  frm_fst frm_last    intv_sum    intv2_sum    intv3_sum intv_min intv_max  signal_sum  signal2_sum  signal3_sum  sig_min  sig_max  sig_fst sig_last  ap
        00:24:d7:e2:ea:08      0
        FAP22B3U11011877       0    0 00:09:0f:f9:29:22    5220        3      164      44          120        7200      432000      59      60        -246        20190    -1658532      -85      -79     -79      -85    0


Sobald die Konfiguration durchgeführt wurde ist diese ebenfalls über das Mgmt. WebInterface resp. GUI ersichtlich:
Das Format das durch "sta-locate" produziert wird, ist im "Euclid Analytics Service" Format. Weitere Informationen dazu siehe:
         
        http://euclidanalytics.com/products/technology/


        [[Datei:Fortinet-699.jpg]]
Um die Informationen für "sta-locate" zu löschen kann anhand des "diagnose" Kommando dies durchgeführt werden:


Wenn nun das Profile "FortiAP-Sniffer" einem FAP zugewiesen wird so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI der FAP verifiziert werden:
        # diagnose wireless wlac -c sta-locate reset


        # iwconfig
Unter FortiOS 5.4 wurde zusätzlich eine Funktion implementiert, die das löschen der Informationen regelmässig übernimmt. Dies bedeutet: Anhand eines "timers" kann für diese Funktion ein "reset" automatisiert durchgeführt werden. Dabei ist jedoch folgendes zu beachten:


Durch diesen Befehl werden die entsprechenden WLAN Interface aufgelistet und das entsprechende ist im "monitor" Mode dh.:
        Die Funktion "sta-locate" erstellt für einen Host/Client erstmalig einen Log Eintrag dh. wenn der Host/Client in einem
        späteren Zeitpunkt abermals erkannt wird, so wird kein weitere Log Eintrag erstellt für "sta-locate". Um die vorhandenen
        Informationen zu löschen kann ein "timer" benützt werden 1 and 86400 seconds (24 hours) wobei nicht empfohlen ist den
        "timer" kleiner als 30 Sekunden zu setzen da dies doppelte Einträge für den Host/Client produzieren kann. Der "timer"
        steht per Standard auf "1800" Sekunden was 30 Minuten entspricht!
       
        # config wireless-controller timers
        # set sta-locate-timer [1 and 86400 seconds (24 hours); Standard 1800]
        # end


        Mode: Monitor
=== Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IPv4 Adress Range benutzt wir im LAN? ===


== Authentication ==
Eine FortiOS kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung resp. "subnet-overlap" von IPv4 Range's/Subnet auf Interface's konfiguriert werden da dies durch die Funktion "allow-subnet-overlap disable" verhindert wird:


=== Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine WiFi Authentication? ===
      # config system settings
      # set allow-subnet-overlap [enable | disable]
      # end


Wenn man für ein WiFi eine Authentication implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme, speziell wenn die Authentication über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin '''WIE''' das Passwort vom Client/Workstation zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung des Passwortes vers. "password hashing schemas" die jedoch '''NICHT Kompatibel''' sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muss der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies '''NICHT''' möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn KEIN OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte so ist die "Im Allgemeinen" zu bevorzugende Variante eine '''Radius Authentication''' Implementierung. Diese "Radius Authentication" verifiziert die Credentials des Client/Workstation im Active Directory (Anbindung des Active Directory im Radius Server). Durch diese Art der Anbindung/Authentication wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Client aus eine Verifizierung des Radius Servers erfolgt sollte/kann dieser anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Verisign) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich dafür da den Radius Server zu verifizieren "bevor" die Credentials gesendet werden. Als Radius Server können vers. Produkte eingesetzt werden! Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers auf einem Windows 2008 Server.
Möchte man ein "subnet-overlap" für eine SSID konfigurieren, sollte dies gut überlegt sein. Dies bedeutet: Soll ein Forti Access Point über eine SSID den Zugriff in das interne LAN Segment direkt ermöglichen, kann zB anstelle eines "subnet-overlap" die "local bridge" Funktion für eine SSID benutzt werden. Dadurch wird ermöglicht, dass das Interface auf dem Forti Access Point in den Bridge Modus versetzt wird, und die Host/Client die über eine entsprechende SSID verbinden, eine IPv4 Adresse vom DHCP Server zugewiesen erhalten der im internne LAN Segment den Host/Client zur Verfügung steht. In so einem Scenario muss jedoch der Forti Access Point mit dem internen Segment LAN direkt verbunden werden. Wenn dennoch ein "subnet-overlap" Konfiguration auf einer SSID konfiguriert wird und die entsprechende Option "allow-subnet-overlap" wurde nicht aktiviert kommt es zu einer Fehlermeldung:


        [[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf]]
      Subnets overlap between 'port1' and the primary IP of 'port1'
        [[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf]]
      object set operator error, -54 discard the setting


=== Wie konfiguriere ich für einen Public HotSpot der Swisscom die Authentication und SSID? ===
      IP address is in same subnet as the others.


Nun ein Public HotSpot der Swisscom kenn grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:
Wenn dennoch ein "allow-subnet-overlap" auf enable gesetzt werden möchte, kann dies über CLI auf System Ebene durchgeführt werden. Da es sich bei dieser Funktion um eine Option auf System Ebene handelt möchten wir nochmals daraufhinweisen dies gut zu überlegen da durch die Aktivierung dieser Option eine "loop" Gefahr besteht!


        SSID          MOBILE              (Authentication "Open")
=== Kann ich für einen Forti Access Point die LED's deaktivieren damit diese bei Gebrauch nicht mehr blinken? ===
        SSID          MOBILE-EAPSIM      (Authentication "WPA2-Enerprise" / Radius Port 1645)
       
        '''NOTE''' In naher Zukunft werden diese zwei SSID's MOBILE und MOBILE-EAPSIM verschwinden und durch folgende ersetzt:
           
            Swisscom                (Vorher MOBILE)
            Swisscom_Auto_Login      (Vorher MOBILE-EAPSIM)
           
            Die Schreibweise der neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen
            die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten
            Zeit lanciert werden benützen bereits die neuen SSID's!


        SSID '''MOBILE'''
Ab FortiOS 5.2.3 ist dies möglich und wird benützt um die Forti Access Point möglichst zB für Hotels dezent erscheinen zu lassen. Diese Funktion steht nicht für jeden Forti Access Point zur Verfügung dh. zB für FAP-221C steht diese Funktion zur Verfügung. Wenn die "LED" auf einem Forti Access Point deaktiviert werden sollen, kann dies über den FortiGate Wireless Controller auf CLI im WTP Profile für den Forti Access Point durchgeführt werden oder über den FortiGate Wireless Controller für den Forti Access Point selber:
        Mit der SSID MOBILE wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu gelangen.  
        Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese SSID
        angeht wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom Login
        etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten Arten
        wie zB Kreditkarte.


         SSID '''MOBILE-EAPSIM'''
         # config wireless-controller wtp
         Die SSID MOBILE-EAPSIM steht ausschliesslich Swisscom Kunden zur Verfügung denn wenn der Kunde diese SSID angeht
         # edit [Serien Nummer des entsprechenden Forti Access Point]
         wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius Authentifizierung
        # set override-led-state [enable | disable]
         abgearbeitet. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting durchzuführen.
         # set led-state  [enable | disable]
         # end


Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE" sowie "MOBILE-EAPSIM" auf einer Fortigate anhand FortiAP's durchzuführen ist. In unserem Beispiel existiert ein dedizierter Port (port2) über diesen die Swisscom mit dessen Environment angehängt ist (Für Internet Access und Authentifizierung). Nachfolgend einen Ueberblick über das Env der Swisscom in unserem Beispiel (Representiert die Umgebung die über besagten "port2" verbunden ist):
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profiles]
        # set led-state [enable | disable]
        # end


        [[Datei:STUE_WSTA.pdf]]
Auf der CLI für einen Forti Access Point ist die Konfiguration ebenfalls möglich. Dabei ist jedoch zu berücksichtigen wenn dies durchgeführt wird, dass der FortiGate Wireless Controller diese lokal durchgeführte Konfgiguration auf dem Forti Access Point anhand der Konfiguration für den Forti Access Point oder anhand des WTP Profiles nicht überschreibt. Dieses Verhalten kann anhand der "LED_STATE" Konfiguration lokal auf dem Forti Access Pont konfiguriert werden. Erstelle eine "telnet" Verbindung auf den Forti Access Point. Wie dies durchzuführen ist siehe nachfolgenden Artikel:
        [[Datei:STUE_WLS.pdf]]


Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM Authentifizierung einen Radius Server. Erstelle diesen unter:
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]


        User > Remote > RADIUS
Danach kann lokal auf dem Forti Access Point folgendes durchgeführt werden:
       
        [[Datei:Fortinet-315.jpg]]
       
        '''NOTE''' Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server vergeben.
            Dies bedeutet in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem
            Verantwortlichen der Swisscom mitgeteilt werden in welcher ART und WEISE die MAC Adresse übermittelt wird um
            die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen (Standard Format Beispiel:
            0000.4096.3e4a, Unformatiert Beispiel: 000040963e4a)
       
        '''ACHTUNG''' Der Swisscom Radius Server in unserem Fall arbeitet noch mit dem "old radius port" dh. nicht mit 1812 sondern
                mit Port 1645. Dieser muss per Console umgestellt werden:
     
                # config system global
                # get | grep radius-port
                # set radius-port 1645
                # get | grep radius-port
                # end
               
                '''NOTE''' Um die Anbindung zu überprüfen siehe folgender Artikel:
                   
                    [[Fortigate:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]


Für die Konfiguration der SSID "MOBILE" und "MOBILE-EAPSIM" gehe folgendermassen vor:
        # cfg -a LED_STATE=[0|1|2]
        # cfg -s


        Als Erstes erstelle die SSID's "MOBILE" und "MOBILE-EAPSIM" unter folgendem Konfigurationspunkt:
Die Werte für "LED_STATE" haben folgende Bedeutung:
       
           
         WiFi Controller > WiFi Network > SSID
         0 = Die LED's sind aktiviert.
          
         1 = Die LED's sind deaktiviert.
        [[Datei:Fortinet-310.jpg]]
         2 = Ob die LED's aktiviert und/oder deaktiviert sind wird über den Wirless Controller der FortiGate gesteuert.
       
         '''NOTE''' Die IP 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und
            auf einer Fortigate wird durch diese IP ein virtuelles Interface unter "System > Network > Interface" erstellt!


        [[Datei:Fortinet-311.jpg]]
Per Standard ist der Wert auf "2" gesetzt dh. die Konfiguration über den Wireless Controller anhand der Option "led-state" aktiviert und/oder deaktiviert die LED's auf dem Forti Access Point. Werden die Werte "0" oder "1" gesetzt werden die Einstellung über den FortiGate Wireless Controller ignoriert!
       
        '''NOTE''' Die IP 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und
            auf einer Fortigate wird durch diese IP ein virtuelles Interface unter "System > Network > Interface" erstellt!
 
Nun erstelle ein Profile indem die zwei SSID's hinzugefügt werden:


        WiFi Controller > Manage Access Points > Custom AP Profile
=== Wie kann ich die automatische Registration eines Forti Access Point auf einem FortiGate Wireless Controller verhindern? ===
       
        [[Datei:Fortinet-312.jpg]]
       
        '''NOTE''' Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden!
            Füge die zwei SSID's "MOBILE" und "MOBILE-EAPSIM" unter SSID den entsprechenden Radios hinzu!


Nun kann ein FortiAP zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein Interface auf einer Fortigate (ist nicht ein Muss) sowie einen DHCP Server auf diesem Interface, dass den FortiAP's die entsprechende IP vergibt. In unserem Beispiel haben wir ein dezidiertes Access Point Interface dh. port1:
Wenn ein Forti Access Point in einem IPv4 Subnet/Segment der FortiGate in Betrieb genommen wird so benützt dieser Forti Access Point den "autodiscover" Modus um einen Wireless Controller zu finden. Ist auf dem FortiGate Device in diesem Segement und für das Interface CAPWAP aktiviert so antwortet der FortiGate Wireless Controller auf diese CAPWAP (UDP-5246) Anfragen. Dadurch erscheint unter den "Managed FortiAPs" im Mgmt. Web Interface der Forti Access Point. Danach kann der Forti Access Point durch "Authorized" Authorisiert werden. Wenn man jedoch dies aus irgendwelchen Gründen verhindern möchte, fragt sich wie diese "automatisch Registration" dh. das die Forti Access Point unter "Managed FortiAPs" erscheinen verhindert werden kann. Dazu gibt es verschiedenen Möglichkeiten/Konfiguration die durchgeführt werden können zB:


         System > Network > Interface
         • Wenn über das Segment in dem sich die Forti Access Point keine "CAPWAP" Anfragen beantwortet werden sollen kann "CAPWAP" auf diesem
       
          Segment resp. Interface deaktiviert werden:
        [[Datei:Fortinet-313.jpg]]
         
          # config system interface
          # edit [Name des entsprechenden Interface zB "dmz"]
          # unselect capwap
          # end


Erstelle den dazugehörigen DHCP Server:
        • Wenn auf dem FortiGate Device keine Forti Access Point verwaltet/konfiguriert werden sollen, kann der FortiGate Wireless Controller
          komplett deaktiviert werden:
         
          # config system global
          # set wireless-controller [enable | disable]
          # end


         System > Network > DHCP Server
         • Befinden sich im Segment verschiedenen Forti Access Point dh. solche die über den Wireless Controller der FortiGate verwaltet werden
       
          sollen und solche die nicht über die FortiGate verwaltet werden sollen, müssen alle Forti Access Point die nicht über die FortiGate
        [[Datei:Fortinet-314.jpg]]
          die das Segment zur Verfügung stellt, lokal so konfiguriert werden damit diese Anfragen zu einemn spezifischen Wireless Access Point
          Controller senden und nicht im "autodiscovery" Modus (Broadcast, Multicast, Unicast). Dies wird erreich, in dem auf den entsprechenden
          Forti Access Point Controller folgendes konfiguriert wird:
         
          Verbinde dich per "telnet" auf den Forti Access Point Controller. Wie dies durchzuführen ist siehe nachfolgender Artikel:
         
          [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
         
          Ausgehend davon das "telnet" Zugriff auf einem Forti Access Point aktiviert ist, kann anhand eines CLI "Widgets" über das Mgmt. Web
          Interface auf den Forti Access Point zugegriffen werden. Dazu wähle:
         
          WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste "CLI"]
         
          Danach muss folgendes konfiguriert werden um den Forti Access Point so zu konfigurieren, dass dieser "statisch" nur noch Anfragen zu
          einem bestimmten FortiGate Wireless Controller anhand dessen IPv Adresse sendet:
         
          # cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
          # cfg -c
          # cfg -s
         
          Für "failover" Zwecke stehen bis zu 3 "AC_IPADDR" zur Verfügung. Um die Anfragen "statisch" durchzuführen dh. nicht mehr per Broadcast,
          Multicast sowie Unicast konfiguriere folgendes:
         
          # cfg -a AC_DISCOVERY_TYPE=1
          # cfg -c
          # cfg -s


Nun kann der Access Point an port1 resp. in diesem Segment angeschlossen werden!
        • Unter FortiOS 5.4 gibt es eine weitere Möglichkeit die "automatische" Registrierung zu verhindern dh. durch nachfolgenden Befehl wird
          keine "automtische" Registrierung mehr ausgeführt. Die Funktion wird komplett deaktiviert:
         
          # config system interface
          # edit [Name des entsprechenden Interfaces zB "dmz"]
          # set ap-discover [enable | disable]
          # end
         
          Wird diese Funktion "ap-discover" deaktiviert, können Forti Access Point nur noch Registriert werden, und erscheinen unter "Managed FortiAPs",
          wenn diese vorgängig anhand der Serien Nummer Registriert werden. Dies wird folgendermassen durchgeführt:
         
          WiFi Controller > Managed FortiAPs > Create New > [Gebe die entsprechende Serien Nummer ein des FortiAP]
         
          In diesem Zuge kann bereits ein entsprechendes WTP Profile zum Forti Access Point hinzugefügt werden. Bringt man den entsprechenden Forti
          Access Point in dem Segment "online" in dem "CAPWAP" für das entsprechenden FortiGate Interface aktiviert wurde, wird dieser Forti Access
          Point automatisch "Authorized" mit dem zugewiesenen WTP Profile. Möchte man dies auf der Kommandozeile durchführen führe folgendes durch:
         
          # config wireless-controller wtp
          # edit [Serien Nummer des Forti Access Point]
          # set name [Name des Forti Access Point zB "FAP-221C-1-UG"]
          # set wtp-profile [Gebe ein entsprechendes vorhandenes WTP Profile an]
          # end


        '''ACHTUNG''' Damit ein Access Point mit dem Wireless Controller komunizieren kann muss Broadcast, Multicast sowie Unicast auf diesem
== Upgrade ==
                Segmment aufgeschaltet sein und nicht geblockt werden.


Nun muss das vorhergehende Profil "Swisscom-HotSpot" auf den entsprechenden FortiAP geladen werden. Dies bedeutet der neu angeschlossene FortiAP sollte nun ersichtlich sein unter:
=== Wo finde ich den Upgrade Pfad um einen FortiAP upzugraden? ===


        WiFi Controller > Manage Access Points > Manage FortiAP
Unter folgendem Link findet man den Upgrade Pfad um einen FortiAP richtig upzugraden:


Sobald der Access Point ersichtlich ist Doppelklicke den Eintrag dieses FortiAP und wähle:
'''Upgradpfad 7.0x:'''
* [[FortiAP:FAQ#Von_welcher_FortiAP_Version_kann_ich_auf_die_Version_7.0_upgraden_(Upgradepfad)%3F|interlink UpgradePfad 7.0]]
'''Upgradpfad 7.2x:'''
* [[FortiAP:FAQ#Von_welcher_FortiAP_Version_kann_ich_auf_die_Version_7.2_upgraden_(Upgradepfad)?|interlink UpgradePfad 7.2]]
'''Upgradpfad 7.4x:'''
* [[FortiAP:FAQ#Von_welcher_FortiAP_Version_kann_ich_auf_die_Version_7.4_upgraden_(Upgradepfad)?|interlink UpgradePfad 7.4]]
----
<small>edit 17.10.2023 - 4Tinu</small>


        Authorize
=== Wie kann ich für einen Forti Access Point ein Firmware Upgrade durchführen? ===


Nun kann unten das entsprechende Profile geladen werden dh. "Swisscom-HotSpot". Sobald bestätigt wird so wird die Konfiguration auf den FortiAP geladen (dauert ca. 3 - 4 Minuten)!
Bevor ein Firmware Upgrade auf einen Forti Access Point durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Dies bedeutet: Vor einem Firmware Upgrade sollte die entsprechende Release Notes für die neue Firmeware des Forti Access Point konsultiert werden. Es muss zwingend der Upgradepfad beachtet werden:
        http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
Ebenso sollte nachfolgender Artikel berücksichtigt werden:


         '''ACHTUNG''' Achte immer auf die Firmware Revisionen der FortiGate und der Access Points dh. weitere Informationen
         [[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]
                betreffend welche Firmware auf der FortiGate und/oder FortiAP eingesetzt werden soll siehe Artikel:
               
                [[FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F]]


Im Grundsatz sind die FortiAP's nun konfiguriert jedoch die angemeldeteten Clients müssen vom DHCP Server der Swisscom eine IP bekommen. Bei "MOBILE" geschieht dies "ohne" eine Authentifizierung (Open). Bei MOBILE-EAPSIM wird erst eine IP vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden benötigen wir auf den entsprechenden SSID's DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und MOBILE-EAPSIM. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:
Wenn verifiziert worden ist welche Firmware Version eingesetzt werden kann, stehen verschiedenen Möglichkeiten zur Verfügung ein Firmware Upgrade durchzuführen:


        SSID MOBILE        (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
        <big>'''Firmeware Upgrade über den FortiGate Wireless Controller'''</big>
        SSID MOBILE-EAPSIM (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
       
        WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
       
        [[Datei:Fortinet-1237.jpg]]
       
        [[Datei:Fortinet-1238.jpg]]
       
        [[Datei:Fortinet-1239.jpg]]


        System > Network > DHCP Server
        <big>'''Firmeware Upgrade über Forti Access Point anhand CLI und TFTP Server'''</big>
       
       
        [[Datei:Fortinet-316.jpg]]
        # restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
       
        Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
        Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
        Artikel:
           
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]


        [[Datei:Fortinet-317.jpg]]
        <big>'''Firmeware Upgrade über Forti Access Point Web Mgmt. Interface Lokal und/oder Remote'''</big>
       
        Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
        Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
        erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:
       
        # config wireless-controller wtp
        # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
        # set login-enable [enable | disable]
        # end
       
        Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
        Point zugewiesene WTP Profile:
       
        # config wireless-controller wtp
        # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
        # set override-allowaccess [enable | disable]
        # set allowaccess [telnet | http | https | ssh]
        # end
       
        # config wireless-controller wtp-profile
        # edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
        # set allowaccess [telnet | http | https | ssh]
        # end
       
        Wenn ein Firmware Upgrade eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem
        Host/Client verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender
        Artikel:
       
        [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
       
        Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
        anhand "telnet" zu verbinden siehe nachfolgenden Artikel:
       
        [[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]
       
        Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
        Access Point erstellt werden:


Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE und MOBILE-EAPSIM Authentifizieren sich in disem Segment, beziehen die IP Adresse sowie "surfen" (Internet Access) über dieses Segment. Dies bedeutet sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir Policy Routen:
        # execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
        FAP22B3U11011877 login: admin
       
        Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:
       
        # cfg -a HTTP_ALLOW_DFLT=1
        # cfg -c
       
        Danach kann ein Upgrade lokal auf dem Forti Access Point durchgeführt werden über folgende Position:
       
        [[Datei:Fortinet-1265.jpg]]


        Router > Static > Policy Route
        <big>'''Bulk Firmeware Upgrade über den FortiGate Wireless Controller anhand CLI und TFTP Server'''</big>
       
       
        [[Datei:Fortinet-318.jpg]]
        Weitere Informationen dazu siehe nachfolgender Artikel:
       
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F]]


        [[Datei:Fortinet-319.jpg]]
=== Wie kann ich einen FortiAP ueber die FortiGate upgraden?===
[[Datei:FortiOS_74.svg||35px|link=]]


Damit die IP des Radius Server "129.132.254.70" (User > Remote > RADIUS) ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:


        Router > Static > Static Route
{| class="wikitable" style="width:850px"
       
|- style="background:#89E871"
        [[Datei:Fortinet-320.jpg]]
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGui:'''
|-
|
Die FortiAPs können unter dem Menu <code>Wifi & Sweitch Controller</code> &rarr; <code> Managed FortiAPs</code> verwaltet und upgegraded werden.
[[Datei:Fortinet-3386.jpg|350px|link=]]
|-
|
Wir sehen hier eine Übersicht der FortiAPs welche von dieser FortiGate verwaltet werden. Zwei APs haben bereits das FortiOS 7.4.3 installiert. Nur der AP ''apaoem-lab-9001'' läuft noch auf der Version 7.4.2
[[Datei:Fortinet-3387.jpg|750px|link=]]
|-
|
[[Datei:Fortinet-3388.jpg|750px|link=]]
Mit einem <code>Rechtsklick</code> auf den AP öffnet sich ein Popup Menu. In diesem können verschiedene Aktionen ausgeführt werden. Um einen Update zu starten auf den Menupunkt <code>Upgrade</code> klicken
[[Datei:Fortinet-3389.jpg|550px|link=]]
# Upgrade über die FortiGuard oder mit <Code>Upload</code> ein manueller Upgrade starten
# Wenn der Upgrade manuell durchgeführt wird kann über <code>+ Browse</code> das Image ausgewähl werden.
[[Datei:Fortinet-3390.jpg|550px|link=]]
|-
|
Sobald die Datei ausgewählt ist, kann mit <code>Upload</code> das Image hochgeladen werden.
[[Datei:Fortinet-3391.jpg|250px|link=]]
Das File wird zuerst auf die FortiGate hochegeladen und dann von der FortiGate auf die entsprechenden APs ausgerollt.
[[Datei:Fortinet-3392.jpg|350px|link=]]
Wenn das File auf dem AP installiert ist, startet dieser neu.


Nun fehlt nur noch die Policy:
|-
|
Nach Zirka 10 Minuten ist der FortiAP wieder online im Dashboard sichtbar und arbeitet mit dem neuen OS.
[[Datei:Fortinet-3393.jpg|750px|link=]]
|-
|
Im Eventlog unter der Rubrik <code>Wifi Events</code> sehen wir einen Logeintrag, dass die Files dem AP apaoem-lab-9001 zugestellt wurde:
[[Datei:Fortinet-3394.jpg|750px|link=]]
|-
|}
----
<small>add 13.06.2024 - 4Tinu</small>


        [[Datei:Fortinet-321.jpg]]
=== Wo finde ich die Firmware für die FortiAP E-Serie? ===
Wenn man für folgende Produkte die Firmware vom Support Portal herunterladen will, findet man diese nicht wie gewohnt im Menu FortiAP sonder im Menu ''FortiAP-W2''!


        [[Datei:Fortinet-322.jpg]]
[[Datei:Fortinet-1909.jpg]]


Nun können die ersten Tests durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Inteface (port2) einen Sniffer über die Console laufen zu lassen:
'''Betroffe FortiAP:'''
* FAP-221E
* FAP-222E
* FAP-223E
* FAP-224E
* FAP-421E
* FAP-423E


        # diagnose sniffer packet port2
=== Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen? ===
Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":


        4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll, kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet: anhand einer Firmeware die für spezifische Forti Access Point's auf den FortiGate Wireless Controller geladen wird, werden alle diese spezifischen Forti Access Point durch ein Kommando angewiesen sich vom FortiGate Wireless Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen müssen gegeben sein:
        4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
        4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
        4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
        4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
        4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
        4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
        4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40


Für das bessere Verständnis nachfolgend noch folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):
        • Verifizierung der eingesetzten Firmeware und der neuen Firmware gemäss Release Notes dh wie und ob ein Upgrade möglich ist
          für die eingesetzte Firmware. Den Upgradepath findet man unter http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/
          Ebenso sollte nachträglicher Artikel konsultiert werden:
         
          [[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]])


         [[Datei:Fortinet-323.jpg]]
         • Installiere einen TFTP Server (FTP ebenfalls möglich) der für den FortiGate Wireless Controller erreichbar ist um das spezifische Image
          für die Forti Access Points vom TFTP Server zum FortiGate Wireless Controller raufzuladen. Als TFTP Server kann zB folgendes eingesetzt
          werden:
         
          SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx


=== Wie erstelle ich ein sicheres WLAN Passwort und was ist dabei zu beachten? ===
Wenn die neue Firmware die eingesetzt werden soll für die Forti Access Points anhand der Releaste Notes verifiziert wurde und der Upgradpath auf http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ beachtet wurde, dann führe folgendes durch:


Damit sich niemand in das WLAN einhacken kann, sollte als Verschlüsselungsverfahren im Router mind. WPA2 eingestellt sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken. Gleichfalls wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB '''RK-WLAN-Keygen'''. Sobald das Tool installiert ist wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren".  Wenn einem das Passwort nicht zusagt, klicken von neuem, um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.
        1. Lade das entsprechende Image für den Bulk Upgrade der Forti Access Points in das "root" Verzeichnis des TFTP Servers zB "image.out"!
 
        2. Führe auf der FortiGate Kommandozeile folgendes aus:
== Wireless Health ==
         
          # execute wireless-controller upload-wtp-image [tftp | ftp] [Name des Images auf dem TFTP Servers zB "image.out] [IPv4 Adresse des TFTP Servers]
         
          Durch diesen Befehl wird der FortiGate Wireless Controller angewiesen vom TFTP Server das entsprechende "image.out" runterzuladen. Pro
          Bulk Update Prozess kann nur ein Image eines spezifischen Forti Access Point Modell's auf den FortiGate Wireless Controller geladen
          werden!
       
        3. Nachdem das entsprechende Image vom TFTP Server runtergeladen wurde kann verifiziert werden ob sich das Image auf dem FortiGate
          Wireless Controller befindet:
         
          # execute wireless-controller list-wtp-image
       
        4. Nun kann ein Bulk Upgrade über den FortiGate Wireless Controller ausgeführt werden. Dies bedeutet: Durch das nachfolgende Kommando werden
          die Forti Access Points angewiesen sich das Image auf dem FortiGate Wireless Controller runter zu laden und das Upgrade durchzuführen.
         
          # execute wireless-controller reset-wtp [Gebe an "all" oder bei unterschiedlichen Modellen die spezifischen Serien Nummern der Forti Access Points für das Upgrade]
         
          Um die verschiedenen Serien Nummern der Forti Access Points auf dem FortiGate Wireless Controller zu verifizieren kann folgender Befehl benutzt werden:
         
          # config wireless-controller wtp
          # get
       
        5. Nach dem das Bulk Upgrade durchgeführt wurde kann das spezifische Image vom FortiGate Wireless Controller gelöscht werden:
         
          # execute wireless-controller delete-wtp-image


=== Gibt es eine Möglichkeit die FortiAP's zu überwachen (Health Monitor)? ===
=== Kann für einen Forti Access Point basierend auf Firmeware 5.2 anhand einer Firmware 5.0 ein "Downgrade" durchführen? ===


Natürlich kann man die FortiAP's über das entsprechende MIB File der FortiGate überwachen. Die Möglichkeiten sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die am Wireless Controller angeschlossenen FortiAP's über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende Widgets für die Uberwachung zur Verfügung:
Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:


         [[Datei:Fortinet-796.jpg]]
         Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
         [[Datei:Fortinet-797.jpg]]
         "verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.


== CAPWAP / DTLS ==
Ab FortiOS 5.2.3 ist ein Downgrade auf FortiOS 5.0.x nicht mehr möglich. Aus diesem Grund ist es in jedem Fall zu empfehlen die entsprechenden Release Notes betreffend eine Upgrade sowie Downgrade zu konsultieren. Bevor ein Downgrade ausgeführt wird muss berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's mit FortiGate's basiernd auf FortiOS 5.0.9 und/oder 5.2 betrieben werden können. Nachfolgender Link gibt detaillierte Auskunft welche Versionen basiernd auf FortiGate 5.0 und/oder 5.2 eingesetzt werden können.


=== Ist der Traffic zwischen dem Ethernet Port des FortiAP und der FortiGate verschlüssel? ===
        [[FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F]]


Wie schon im Artikel [[FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F]] erwähnt wird der Traffic zwischen der FortiGate und dem FortiAP über CAPWAP abgewickelt. Dabei ist der Traffic zwischen der FortiGate und dem FortiAP "Enkapsuliert" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen der FortiGate und den FortiAP's kann DTLS Verschlüsselung Optional zugeschaltet werden (Ab FortiOS 5). Ebenfalls kann sofern notwendig die Verschlüsselung durch "Clear Text" komplett ausgeschaltet werden (Ab FortiOS 5). Was ebenfalls neu in FortiOS 5 ist, wäre die Möglichkeit die konfigurierte SSID mit einem "Local Bridging" zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port gesendet anstelle diesen über den Data Channel Enkapsuliert zum FortiGate WiFi Kontroller zu senden. Dies ermöglicht ebenfalls eine VLAN-ID der SSID zu assignen um das FortiAP Ethernet Interface nach 802.1Q zu taggen.
== Backup ==


=== Wie werden FortiAP's über die Fortigate gesteuert/konfiguriert (CAPWAP)? ===
=== Wie kann ich für einen Forti Access Point Konfiguration ein Backup erstellen? ===


Der Standard der benutzt wird um die FortiAP's über die Fortigate zu konfigurieren/kontrollieren ist '''CAPWAP''' (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich handelt:
Wenn ein Backup einer Forti Access Point Konfiguration durchgeführt wird muss berücksichtigt werden, dass dieses Backup nur die lokale Konfiguration des Forti Access Point enthält dh. dieses Backup enthält nicht die Konfiguration zB der SSID, WTP Profiles usw. Ein Backup eines Forti Access Point's kann über Mgmt. Web Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Mgmt. Web Interface wird im Hintergrund folgender Befehl ausgeführt:


         http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol
         <big>'''Backup der Forti Access Point Konfiguration über CLI'''</big>
 
Die Ports die benutzt werden für CAPWAP sind:
 
        UDP 5246 und 5247
          
          
         '''NOTE''' Ab FortiOS 5.0.3 kann die CAPWAP Funktion sprich ob dies zugelassen ist oder nicht über die
         # cfg -e
            Interface Konfiguration aktiviert und/oder deaktiviert werden:
        BAUD_RATE=9600
           
        ADMIN_TIMEOUT=5
            System > Network > Interfaces > [Wähle das entsprechende Interface]
        AP_IPADDR=192.168.1.2
        AP_NETMASK=255.255.255.0
        IPGW=192.168.1.1
        AP_MODE=0
        DNS_SERVER=208.91.112.53
        AP_MGMT_VLAN_ID=0
        ADDR_MODE=DHCP
        STP_MODE=0
        TELNET_ALLOW=1
        HTTP_ALLOW=1
        AC_DISCOVERY_TYPE=0
        AC_IPADDR_1=192.168.1.1
        AC_HOSTNAME_1=_capwap-control._udp.example.com
        AC_CTL_PORT=5246
        AC_DISCOVERY_MC_ADDR=224.0.1.140
        AC_DISCOVERY_DHCP_OPTION_CODE=138
        AC_DATA_CHAN_SEC=2
        MESH_AP_TYPE=0
        MESH_AP_SSID=fortinet.mesh.root
        MESH_AP_BSSID=
        MESH_AP_PASSWD=fortinet.mesh.root
        MESH_ETH_BRIDGE=0
        MESH_MAX_HOPS=4
        MESH_SCORE_HOP_WEIGHT=50
        MESH_SCORE_CHAN_WEIGHT=1
        MESH_SCORE_RATE_WEIGHT=1
        MESH_SCORE_BAND_WEIGHT=100
        MESH_SCORE_RSSI_WEIGHT=100


Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat basierend (existierende Zertifikate auf dem FortiGate Controller sowie auf dem FortiAP)!
        <big>'''Backup der Forti Access Point Konfiguration über Web Mgmt. Interface'''</big>
 
=== Was bedeutet "WiFi data channel encryption (DTLS)" und wie konfiguriere ich diesen? ===
 
DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benuttz um den Traffic der vom Access Point zum WiFi Controller (FortiGate) zu übermittelnt. Der "Data Channel" wird encapsulated im CAPWAP ([[FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F]]) zum WiFi Controller übermittelt. Per Standard wird dieser Traffic "nicht" verschlüsselt. Um eine Verschlüsselung innerhalb des "Data Channels" zu etablieren wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen das "BEIDE" Seiten dh. FortiGate WiFi Controller und der Access Point gleichermassen konfiguriert werden müssen. Nur wenn beide Seiten DTLS aktiviert haben wird eine Verschlüsselung etabliert ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate WiFi Controller sowie den Access Point durchgeführt. Dabei ist die nötige Performance die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "Clear Text" sowie "DTLS" auf den FortiAP's aktiviert. Somit kann über den FortiGate WiFi Controller die Funktion gesteuert werden. Wenn auf dem FortiGate WiFi Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funkton DTLS und/oder Clear Test wird im entsprechenden Access Point Profile konfiguriert. Wenn das "automatic" Profil das zur Verfügung steht benutzt wird, kann nur "Clear Text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren benutze folgendes:
 
        '''ACHTUNG''' Die Funktion DTLS Verschlüsselung sollte nur dann aktiviert werden, wenn die Komunikation über ein "NICHT" Trusted
                Environment durchgeführt wird dh. zB Internet, öffentliche Netze etc.!
 
        '''Auf dem FortiGate WiFi Controller:'''
          
          
         # config wireless-controller wtp-profile
        Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4
         # edit [Name des entsprechenden Profils]
        Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf
         # set dtls-policy ["dtls-enabled" oder "clear-text"]
        erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:
       
         # config wireless-controller wtp
         # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
         # set login-enable [enable | disable]
         # end
         # end
        '''Auf dem FortiAP:'''
       
        # cfg -a AC_DATA_CHAN_SEC=1
        # cfg -c
          
          
         '''NOTE''' Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:
         Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
        Point zugewiesene WTP Profile:
          
          
            • 0 is Clear Text
        # config wireless-controller wtp
            • 1 is DTLS Enabled
        # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
            • 2 is Clear T ext or DTLS Enabled (default)
        # set override-allowaccess [enable | disable]
        # set allowaccess [telnet | http | https | ssh]
        # end
          
          
        '''NOTE''' Wenn der Access Point über keinen Consolen Port verfügt kann für den Access Point über den WiFi
            Controller eine Telnet Session etabliert werden. Weitere Information siehe folgender Artikel:
           
            [[FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
Natürlich können die Konfigurationen für beide Geräte sei es FortiGate und FortiAP über das WebGui durchgeführt werden!
=== Wie kann ich innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern? ===
Ein Problem, dass nicht nur Fortinet based WiFi Produkte die sich über einen Wireless Controller verwalten lassen haben, ist eine event. IP Fragmentation innerhalb des CAPWAP Tunnels. Eine Fragementierung tritt auf wenn das zu übermittelnde Packet die "max. transmission unit" (MTU) beinahe erreicht jedoch der Overhead des CAPWAP noch dazu kommt. Dann ist das Packet grösser als die MTU und muss Fragmentiert werden. Fragementierung reduziert die Performance und kann sogar zum Datenverlust führen. Die Lösung zu diesem Problem geht FortiOS so an, dass der Wireless Client angewiesen wird kleinere Packete zu senden damit die "max. transmission unit" (MTU) inkl. dem CAPWAP Overhead nicht überschritten wird. Dies kann auf der CLI folgendermassen durchgeführt werden:
         # config wireless-controller wtp-profile
         # config wireless-controller wtp-profile
         # edit [Wähle das entsprechende Profile]
         # edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
         # set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
         # set allowaccess [telnet | http | https | ssh]
        # set tun-mtu-uplink [0 | 576 | 1500]
        # set tun-mtu-downlink [0 | 576 | 1500]
         # end
         # end
       
        # config wireless-controller wtp
        # edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
        # set login-enable enable
         # end
         # end
        '''tcp-mss-adjust'''
        Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den FortiAP den Wireless Client ein "max sgement size" (MSS)
        zu senden. Der FortiAP fügt dem "SYN" Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
        mit dem FortiAP Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
        und somit kann der FortiAP den Overhead des CAPWAP hinzufügen und eine Fragmentierung verhindern.
        '''icmp-unreachable'''
        Ist per Standard deaktiviert und bedeuet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt,
        dass der FortiAP Packet verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine
        Fragmentierung. Wenn dies eintrifft sendet der FortiAP ein Packet zum Wireless Controller:
          
          
         Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
         Wenn ein Backup eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem Host/Client
        verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender Artikel:
       
        [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
       
        Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point
        anhand "telnet" zu verbinden siehe nachfolgenden Artikel:
       
        [[FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F]]
       
        Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti
        Access Point erstellt werden:
          
          
         Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
         # execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
 
        FAP22B3U11011877 login: admin
         '''tun-mtu-uplink'''
       
         Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!  
        Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:
       
        # cfg -a HTTP_ALLOW_DFLT=1
        # cfg -c
       
        Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden und
        ein manuelles Backup unter folgender Position ausgeführt werden:
       
        Status > System Configuration > Last Backup
       
        Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese 
        verschiedenen Positionen erläutert:
       
        WTP_NAME=FP221B3X12001413                                          [Hostname Forti Access Point]
        ADMIN_TIMEOUT=5                                                    [Admin Timeout Default 5 Minuten]
        AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
        AP_NETMASK=255.255.255.0                                          [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
        IPGW=192.168.1.1                                                  [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
        AP_MODE=0                                                          [0 (Thin AP)] | 2 (Site Survey)]
        DNS_SERVER=208.91.112.53                                          [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
        BAUD_RATE=9600                                                    [Geschwindigkeit der Console; Standard 9600]
        ADDR_MODE=DHCP                                                    [IP Adressierungs Mode dh. DHCP oder STATIC]
        STP_MODE=0                                                        [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
        TELNET_ALLOW=1                                                    [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
        HTTP_ALLOW=1                                                      [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
        AC_DISCOVERY_TYPE=0                                                [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
        AC_IPADDR_1=192.168.1.1                                            [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
        AC_HOSTNAME_1=_capwap-control._udp.example.com                    [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
        AC_CTL_PORT=5246                                                  [CAPWAP Comunication Port]
        AC_DISCOVERY_MC_ADDR=224.0.1.140
        AC_DISCOVERY_DHCP_OPTION_CODE=138                                  [DHCP Option Code]
         AC_DATA_CHAN_SEC=2                                                [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
         MESH_AP_TYPE=0                                                    [1 = Mesh Type "leave"; 2 = Mesh Type root]
        MESH_AP_SSID=fortinet.mesh.root                                    [Mesh SSID Name]
        MESH_AP_BSSID=                                                    [Mesh SSID Broadcast Name]
        MESH_AP_PASSWD=fortinet.mesh.root                                  [Mesh SSID Passwort]
        MESH_ETH_BRIDGE=0
        MESH_MAX_HOPS=4
        MESH_SCORE_HOP_WEIGHT=50
        MESH_SCORE_CHAN_WEIGHT=1
        MESH_SCORE_RATE_WEIGHT=1
        MESH_SCORE_BAND_WEIGHT=100
        MESH_SCORE_RSSI_WEIGHT=100
 
Somit kann dieses Backup File herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und dieses als Restore wieder einzuspielen!
 
== Local Bridging ==


        '''tun-mtu-downlink'''
Heute machen wir eine kleine Reise durch die Welt der Netzwerkmodi! Ich stelle euch den Bridge- und den Tunnel-Modus vor und wir schauen uns an,
        Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!
was sie draufhaben - die coolen Eigenschaften und die kleinen Eigenheiten, die sie mitbringen


        '''NOTE''' Wenn "tcp-mss-adjust" oder "icmp-unreachable" aktiviert ist und der Wert für "tun-mtu-uplink/downlink" auf TCP MTU 1500
<Big>'''Bridge Modus'''</big><br>
            wird der Wireless Client angewiesen keine grösseren Packete zu senden als "1500". Dies bewirkt das die Packete die nach
''So funktioniert es: ''
            Erhalt in den CAPWAP Tunnel gesendet werden nicht fragementiert werden müssen.


== Troubleshooting ==
Im Bridge-Modus agiert die SSID wie eine technologische Brücke zwischen den drahtlosen und verkabelten Netzwerken.
Diese intelligente Verbindung ermöglicht es drahtlosen Geräten, nahtlos an demselben Netzwerk teilzunehmen, zu dem auch kabelgebundene
Geräte gehören.


=== Was kann getan werden wenn eine Access Point nicht ersichtlich ist über den FortiGate WiFi Controller? ===
''Was funktioniert:''
* Alle Geräte, ob verkabelt oder drahtlos, befinden sich im gleichen heimeligen Netzwerk.
* Die Geräte können miteinander plaudern, als würden sie sich auf einer Cocktailparty treffen.
* Diese Methode ist ideal für einfache Netzwerkstrukturaufgaben, bei denen die Dinge flach und unkompliziert sein sollen.


Wenn ein Access Point in einem Segment nicht ersichtlich ist über den WiFi Controller der FortiGate, speziell dann wenn er manuell betreffend IP konfiguriert wurde ist dabei zu achten, dass im betreffenden Segment folgende Protokolle korrekt arbeiten und in diesem Segment zugelassen sind:
''Was nicht funktioniert: ''
* Der drahtlose Datenverkehr muss immer noch seinen Weg durch den Router des lokalen Netzwerks finden.
* Du hast nur eingeschränkte Kontrolle über den drahtlosen Datenverkehr, was wie wildes Tanzen auf einer Party sein kann - manchmal macht es Spaß, aber es kann auch chaotisch werden.
* Wenn dein Netzwerk so groß und komplex ist wie eine Gala, ist der Bridge-Modus nicht die beste Wahl.
* Beim Debuggen von Clients auf dem FortiGate (Verwenden von 'diagnose wireless-controller wlac sta_filter <mac> 255') zeigt die Ausgabe nur den Authentifizierungsprozess an, während die DHCP-Nachrichten ein bisschen schüchtern bleiben.


        Broadcast
''Leistung:''
        Multicast
* In kleinen Netzwerken fühlt sich der Bridge-Modus wie ein gemütliches Zuhause an, aber wenn die Gästeliste wächst, könnte es zu einer unangenehmen Überlastung kommen.
        Unicast


Auf einigen Switchen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste, dass diese Protokolle nicht über den Switch geblockt werden. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:
Jetzt, wo wir den Bridge-Modus ausgelotet haben, werfen wir einen Blick auf den faszinierenden "Tunnel-Modus":


        http://www.ietf.org/rfc/rfc5415.txt
<Big>'''Tunnel Modus'''</big>


Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit der Verbindung über Port 5246 ein Problem besteht (CAPWAP Port) kann folgendes durchgeführt werden:
Wie er funktioniert:  


        '''Setze den Debug Filter zurück:'''
Im Tunnel-Modus erstellt die SSID sozusagen einen geheimen Tunnel, durch den alle drahtlosen Daten flitzen. Dieser Datenstrom wird dann zur zentralen Instanz,
       
der FortiGate, gesendet, wo ein neues Interface mit dem Namen der SSID erstellt wird. Dieses Interface verhält sich dann wie ein Superheld, der die Regeln des
        # diagnose debug reset
FortiGate-VLANs befolgt.
       
        '''Setze einen neuen Debug Filter:'''
       
        # diagnose debug application cw_acd 5   


        '''NOTE''' "5" stellt die "verbosity" dar. Diese "verbosity" zeigt ALLE Fehler an sowie den gesamten CAPWAP Prozess (Discovery,
''Was funktioniert:''
            Keep Uplive etc.) Sobald das "debug" nicht mehr benötigt wird muss die Funktion deaktivert sowie gelöschen werden
* Höhere Sicherheit: Die FortiGate überwacht und kontrolliert den gesamten Datenverkehr - so sicher wie ein Banktresor.
            ansonsten läuft der Debug im Hintergrund weiter und der Filter bleibt bestehen!
* Bessere Isolierung: Drahtlose Geräte werden von den Kabelgebundenen getrennt, als wären sie auf einer einsamen Insel.
* Einfachere Verwaltung: Du kannst den Datenverkehr und die Richtlinien so genau steuern wie ein Dirigent ein Orchester leitet.
* Ideal für riesige, komplexe Netzwerke, bei denen die Dinge so groß sind wie ein Musikfestival.


        '''Deaktiviere den Debug Modus:'''
''Was nicht funktioniert:''
       
* Geräte im drahtlosen Netzwerk können nicht einfach mit ihren Kabelverwandten plaudern, ohne über die Firewall zu gehen - wie VIPs, die durch die VIP-Tür müssen.
        # diagnose debug disable
       
        '''Setze den Debug Filter zurück:'''
       
        # diagnose debug reset
       
        '''Kontrolliere den Debug Filter ob dieser zurückgesetzt wurde:'''
       
        # diagnose debug info


Deszweiteren zB um festzustellen ob im Bereich "Unicast" ein Problem besteht kann folgender Befehl auf dem FortiGate Interface auf dem die Access Points angeschlossen sind folgendes durchgeführt werden:
''Leistung:''
* Im Allgemeinen bietet der Tunnel-Modus für große und sicherheitsbewusste Netzwerke eine Top-Leistung und Top-Sicherheit.


        # diagnose sniffer packet any "port 5246" 6 0 a
''Empfehlung:''
* Wenn dein Netzwerk so groß ist wie ein Rockkonzert und strenge Sicherheits- und Verkehrsregeln benötigt, dann ist der Tunnel-Modus die richtige Wahl.
* Wenn du jedoch die Einfachheit bevorzugst und alle Geräte friedlich in derselben Netzwerk-Nachbarschaft leben, kann der Bridge-Modus für kleinere Netzwerke eine Party sein. Aber denke daran, dass er bei zu vielen Gästen vielleicht die Musik leiser drehen muss.


Im Sniffer Output muss die Antwort des Access Point über Unicast (Discovery Request) zum FortiGate Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen.
=== Wie konfiguriere ich für eine Forti Access Point ein Wireless "local-bridging"? ===


=== Wie kann ich Verbindungsprobleme mit einem Wireless Client/Workstation troubleshooten? ===
Wenn für einen Forti Access Point eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:


Folgender Artikel gibt Auskunft wie solch ein Troubleshooting durchgeführt wird:
        • Tunnel to Wireless Controller
        • Local bridge with FortiAP's Interface


        [[Fortigate:FAQ#Wie_kann_ich_Verbindungsprobleme_mit_einem_Wireless_Client.2FWorkstation_troubleshooten.3F]]
Zusätzlich steht die Funktion "Mesh Downlink" zur Verfügung die jedoch nur im Zusammenhang mit "mesh" benutz wird. Wenn die Standard Konfiguration einer SSID benutzt wird dh. "Tunnel to Wireless Controller" so wird der Traffic des Host/Client über den CAPWAP (UDP-5246) Tunnel zum FortiGate Wireless Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen LAN/Segment's, in dem sich der Forti Access Point befindet, direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate Wireless Controller gesendet. Eine Ausnahme bildet die ab FortiOS 5.2 Funktion "Splitt Tunneling" die es erlaubt einen spezifischen IPv4 Adress Range/Subnet von diesem Umstand auszunehmen. Weitere Informationen zu dieser "Split Tunneling" Funktion siehe nachfolgender Artikel:


=== Wie finde ich raus welche Clients mit welcher SSID verbunden sind und mit welcher MAC Adresse? ===
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]


Um herauszufinden welche Clients mit welcher SSID verbunden sind benutze folgenden Befehl:
Soll jedoch der Traffic direkt vom Forti Access Point Interface in das LAN/Segment erlaubt werden in dem sich die Forti Access Points befinden,  muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum FortiGate Wireless Controller exisitert wird in dieser Situation nur zu Management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:


         # diagnose wireless-controller wlac -d sta
         Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
          vf=0 wtp=113 rId=1 wlan=only4also ip=192.168.5.2 mac=9c:b7:0d:de:8f:74 rssi=-41 idle=87 bw=0 use=2 chan=6 radio_type=11N
         die Verbindung zum FortiGate Wireless Controller so werden die Wireless Hosts/Clients nicht beinträchtigt da der Access Point
         * vf=0 wtp=113 rId=1 wlan=only4also ip=0.0.0.0 mac=00:09:0f:f9:29:22 rssi=0 idle=594992 bw=0 use=2 chan=6 radio_type=11N
         im Bridge Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!
         * vf=0 wtp=113 rId=2 wlan=only4guests ip=0.0.0.0 mac=00:09:0f:f9:29:29 rssi=0 idle=594993 bw=0 use=2 chan=11 radio_type=11N


In unserem Beispiel sehen wir, dass ein Client mit der IP 192.168.5.2 verbunden ist mit der MAC Adresse 9c:b7:0d:de:8f:74. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "only4also" sowie "only4guests" mit deren MAC Adresse "00:09:0f:f9:29:22" und "00:09:0f:f9:29:29".
Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:


=== Wie finde ich heraus welche Firmware auf einem Access Point installiert ist? ===
        # config wireless-controller vap
        # edit [Name SSID Profile]
        # set ssid [Name der SSID]
        # set local-bridging [enable | disable]
        # set vlanid [VLAN ID]
        # set local-authentication enable
        # set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
        # set passphrase "[Setze zur SSID das entsprechende Passwort]
        # end
       
Sofern gewünscht kann eine VLAN ID für die SSID vergeben werden! Wenn der Traffic zwischen den Wireless Host/Client über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf "disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable", kann das Interface des Forti Access Point im Bridge Mode nicht mehr verhindern, dass Wireless Hosts/Clients über die gleiche SSID untereinander komunizieren. Wenn ein "local-bridging" auf einem FortiWiFi Device für deren interne "radio's" konfiguriert wird, erscheint folgende Fehlermeldung:


Die Firmware eines Fortinet Access Points ist über das Fortigate WebInterface ersichtlich. Steht dieses aus irgenwelchen Gründen nicht zur Verfügung kann über die Serial Console auf dem Access Point diese ebenfalls direkt ausgelesen werden dh. führe dazu folgendes durch:
        "Maximum number of entries has been reached"


        # fap-get-status
Somit kann keine SSID auf einem FortiWifi Device für deren "radio's" auf "local-bridging" konfiguriert werden. Als Workaround für einen FortiWifi Device, kann jedoch eine SSID im "Tunnel Mode" konfiguriert werden ohne aktivierten DHCP Server auf der SSID. Danach kann diese SSID anhand eines Software Switches, der für Forti Access Points per Grundsatz nicht unterstützt wird, zum "internal" Interface hinzugefügt werden. Damit die Wireless Hosts/Client die auf die SSID verbinden eine IP zugewiesen bekommen, wird auf dem "Software Switch" ein DHCP Server aktiviert! Somit kann diese SSID auf dem FortiWifi Device zusammen mit dem "internal" Interface als lokales und gemeinsames LAN/Segment genutzt werden! Diese Konfiguration gilt nur im Zusammenhang mit FortiWiFi's und ist nicht im Zusammenhang mit Forti Access Points zu benutzen da "Software Switches" in Zusammenhang mit Forti Access Points nicht unterstützt werden. Werden auf dem FortiWifi Devices zusätzliche Forti Access Points betrieben, können diese wie üblich anhand "Local Bridging" konfiguriert werden!
       
        Version: FortiAP-220B v4.0,build222,120109 (MR3)
        Serial-Number: FAP22B1234567890
        BIOS version: 04000010
        Regcode: N
        Hostname: FAP22B1234567890
        Branch point: 222
        Release Version Information:MR3


=== Wie kann ich die Konfiguration eines Access Point manuell auf Factory Defaults setzen? ===
=== Kann ich auf einem Forti Access Point für ein "local bridging" Broadcast/Multicast verhindern (susspression)? ===


Wenn es nötig wird einen Access Point auf Factory Defaults zu setzen kann folgendes Kommando auf dem Access Point über die CLI durchgeführt werden:
Dies ist ab FortiOS 5.2.2 innerhalb einer SSID möglich. Dies wird über CLI folgendermassen konfiguriert:


         # cfg -x
         # config wireless-controller vap
         # reboot
         # edit [Name der SSID]
        # set broadcastsuppression [dhcp-up | dhcp-down | dhcp-starvation | arp-known | arp-unknown | arp-reply | arp-poison | arp-proxy | netbios-ns | netbios-ds | ipv6 | all-other-mc | all-other-bc]
        # end
          
          
         oder auch
Per Standard wird für die Funktion "broadcastsuppession" folgende Werte benutzt:
 
         dhcp-up arp-known
 
Die Werte die unter "broadcastsuppresion" konfiguriert werden können haben folgende Bedeutung:
          
          
         # factoryreset
         dhcp-up            Suppress broadcast uplink DHCP messages.
        dhcp-down          Suppress broadcast downlink DHCP messages.
        dhcp-starvation    Suppress broadcast DHCP starvation req messages.
        arp-known          Suppress broadcast ARP for known wireless clients.
        arp-unknown        Suppress broadcast ARP for unknown wireless clients.
        arp-reply          Suppress broadcast ARP reply from wireless clients.
        arp-poison        Suppress ARP poison messages from wireless clients.
        arp-proxy          Reply ARP requests for wireless clients as a proxy.
        netbios-ns        Suppress NetBIOS name services packets with UDP port 137.
        netbios-ds        Suppress NetBIOS datagram services packets with UDP port 138.
        ipv6              Suppress IPv6 packets.
        all-other-mc      Suppress all other multicast messages.
        all-other-bc      Suppress all other broadcast messages.
 
Grundsätzlich stet der Befehle "broadcastsuppression" auch für eine SSID zur Verfügung die "NICHT" als "Local Bridging" konfiguriert wurde (Tunnel to Wireless Controller). Die Erweiterung wurde jedoch "explizit" hinzugefügt für "Local Bridging" SSID's. Der Grund ist Folgende:


Durch den Befehl "cfg -x" wird der Access Point zurückgesetzt und zware OHNE Neustart des Gerätes im Gegensatz zu "factoryreset"! Die Geräte können ebenfalls auch manuell mit einem Hardware Factory Reset zurückgestellt werden (Reset Knopf). Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:
        Wenn ein Forti Access Point als "local bridging" eingesetzt wird in eine Subnet zB /20 so ist der Broadcast Traffic der zusätzlich
        auf dem Forti Access Point entsteht beträchtlich und beeinträchtigt somit die Performance des Forti Access Point durch die über
        Broadcast gesendeten "frames" vom Subnet über den Forti Access Point zum Client. Durch die gesetzten Optionen werden "frames" nur
        dann vom Forti Access Point zum Client (over the air) gesendet, wenn die "Destination IPv4" Adresse existiert ansonsten werden diese
        verworfen. Im "Tunnel to Wireless Controller" Mode agiert der Forti Access Point in gleicher Weise, jedoch fungiert der Forti Access
        Point als eine Art "ARP Proxy" und sendet ARP Anfrage nur zum Client (over the air) wenn der ARP Anfragen über "get sys arp" vorhanden
        sind. Dies gilt nur innerhalb der gleichen SSID. Diese Funktion resp. Optionen sind nur in "high density" (Hohes Aufkommen von Clients
        in grossen Netzwerken zB /20) Umgebungen zu benützen um die zusätzlicne "frames" zu verhindern (broadcast arp). Somit, unter normalen
        Umständen ist diese Option auf den Standard Werten zu belassen dh. "dhcp-up sowie arp-known".


        '''FAP-210B and FAP-220B'''
== VLAN ==
        Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss
        der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.


        '''FAP-221B, FAP 221C and FAP-223B'''
=== Kann ich für Forti Access Point SSID's "Dynamische VLAN's" vergeben und wie konfiguriere ich diese? ===
         Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo).
 
         Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" zu einer SSID zu vergeben im Zusammenhang mit einem Radius Server zB FortiAuthenticator. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:
        Es wird automatisch ein Neustart ausgeführt.
 
         IETF 64 (Tunnel Type)              = Muss auf VLAN gesetzt werden
        IETF 65 (Tunnel Medium Type)      = Muss auf 802 gesetzt werden
        IETF 81 (Tunnel Private Group ID) = Muss auf die entsprechende VLAN ID gesetzt werden
          
Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig die nötigen Informationen nach erfolgreicher Radius Authentifizierung anhand Radius Attribute zu übermitteln. Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server, wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) über die SSID zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen, ist die Funktion unter der entsprechenden SSID generell zu aktivieren:


         '''FAP-320B and FAP320C'''
         # config wireless-controller vap
         Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
         # edit [Wähle den Namen der entsprechenden SSID]
         Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch
         # set dynamic-vlan [enable | disable]
         ein Neustart ausgeführt.
        # end
          
Um die VLAN Konfiguration lokal auf einem Forti Access Point auszulesen kann folgendes Kommando ausgeführt werden:
   
        # cw_diag show wllbr


        '''FAP-222B'''
Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:
        Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt
        werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.


         '''FAP-11C'''
         [[Datei:Dynamic VLANs.pdf]]
        Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
        auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.


Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:
=== Kann ich auf einem Forti Access Point für eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"? ===


      [[Fortinet:ProduktInfo#FortiAP]]
Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige LAN/Segment gesendet anstelle diesen über den Data Channel Enkapsuliert (CAPWAP) zum FortiGate Wireless Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern, muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Mgmt. Web Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann lokal auf dem Access Points über CLI folgender Befehl abgesetzt werden um die Konfiguration einzusehen:


=== Wie kann ich die Netzwerk Konfiguration eines Access Point manuell auslesen? ===
        # brctl show
        # cat /proc/net/vlan/conf


Die Konfiguration eines Access Point ersieht man im normal Fall über das Fortigate Mgmt. Webinterface. Wenn dies jedoch nicht mehr möglich etc. kann die momentane Netzwerk Konfiguration über CLi ausgelesen werden. Führe dazu folgendes durch:
Die Konfiguration einer VLAN ID für eine SSID kann ab FortiOS 5.2 über Mgmt. Web Interface durchgeführt werden:


         # cfg -s
         WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSDI] > Optional VLAN ID
        AP_IPADDR:=192.168.1.2
        AP_NETMASK:=255.255.255.0
        IPGW:=192.168.1.1
        ADDR_MODE:=DHCP
        TELNET_ALLOW:=0
        AC_DISCOVERY_TYPE:=0
        AC_IPADDR_1:=192.168.1.1
        AC_CTL_PORT:=5246
        AC_DISCOVERY_MC_ADDR:=224.0.1.140
        AC_DISCOVERY_DHCP_OPTION_CODE:=138


=== Wie kann ich per Telnet auf einen Access Point zugreifen wenn der Access Point über keinen Consolen Port verfügt? ===
        [[Datei:Fortinet-1266.jpg]]


Wenn ein Access Point zB FAP-221B/C über keinen Consolen Port verfügt und man dennoch über Telnet auf den Access Point zugreifen möchte um zB ein Debug auszuführen, muss auf der Fortigate dies zuerst freigeschaltet werden. Dies bedeutet, ein direkt Zugriff per Telnet auf den Access Point ist nicht möglich. Der Zugriff erfolgt über die Fortigate. Um die Funktion für Telnet freizuschalten auf der Fortigate führe folgendes aus:
Möchte man die VLAN ID für eine SSID die auf "Local bridge with FortiAP's Interface" konfiguriert wurde über CLI konfigurieren führe folgendes durch:


        - Logge dich auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:
         # config wireless-controller vap
       
         # edit [Name der entsprechenden SSID]
         # config wireless-controller wtp
         # set vdom root
       
         # set ssid [Name der SSID]
        - Ueberprüfe durch "show" welche Access Points existieren:
         # set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
       
         # set passphrase "[Setze zur SSID das entsprechende Passwort]
         # show
         # set local-bridging [enable | disable]
        config wireless-controller wtp
         # set vlanid [Gebe die entsprechende VLAN ID an]
        edit "FAP22B3U11011877"
        set name "FortiAP1"
        set location "FortiAP 220B"
        set wtp-profile "FortiAP1"
        next
        end
       
        - Editiere den entsprechenden Access Point auf dem Telnet freigeschaltet werden soll:
       
         # edit FAP22B3U11011877
         # show
        config wireless-controller wtp
        edit "FAP22B3U11011877"
        set name "FortiAP1"
         set location "FortiAP 220B"
        set wtp-profile "FortiAP1"
         next
        end
       
        - Aktiviere durch "set login-enable enable" den Telnet Zugriff:
       
         # set login-enable enable
         # show
        config wireless-controller wtp
        edit "FAP22B3U11011877"
        set name "FortiAP1"
        set location "FortiAP 220B"
        set wtp-profile "FortiAP1"
        set login-enable enable
        next
        end
        # next
         # end
         # end
       
        - Teste den Zugriff per Telnet auf den entsprechenden Access Point:
       
        # exec telnet 192.168.3.2
        FAP22B3U11011877 login: admin
       
        BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
        Enter 'help' for a list of built-in commands.
       
        #


=== Wie kann vorgegangen werden wenn Performance Problem auf den FortiAP auftreten? ===
== Mesh/Bridging ==


Wenn ein Wireless Infrastruktur aufgebaut wird kommt es nicht selten zu Performance Probleme dh. diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Clients usw. Nun wie soll vorgegangen werden wenn so ein Performance Problem auftritt:
=== Wie konfiguriere ich für einen Forti Access Point ein Wireless "Mesh/Bridging Netzwerk" (manuell/automatisch)? ===


        --> Als Erstes führe Tests durch mit den Clients und auf einem "Freien Kanal" (ganz sicher nicht besetzt
Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:
            oder beeinträchtigt durch andere WiFi Infrastrukturen). Nach Möglichkeit ist der 5 Ghz zu bevorzugen
            vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GhZ Bereich durch
            Interferenzen das Resultat negativ beeinflusst.


         --> Stelle fest/stelle sicher das der Client mit der max. Rate verbunden ist:
         <span style="color:#ba0c2f">'''NOTE'''</span> Fortinet hat speziell betreffend "Mesh" ein spezielle Handbook's Released, dass auf die Konfiguration von "Mesh" eingeht.
       
            Aus diesem Grund lohnt sich ebenfalls diese Handbook's einzusehen:
                      130Mbps für 2Ghz 2x2
           
                      300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
            [[FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]


         --> Folgendes Tool kann auf einem Laptop helfen Störungen und Signalqualität zu identifizieren:
         '''Wireless Mesh (No VLAN Support)'''
          
        Ein Access Point - auch genannt "root" Mesh Access Point - ist direkt verbunden mit dem FortiGate Wireless Controller.
            http://www.metageek.net/support/downloads                    (inSSIDer für Windows / Mac / Android)
         Alle anderen Forti Access Points - auch genannt "leaf" Mesh Access Points - benützen den FortiGate Wireless Controller
            http://www.nirsoft.net/network_tools.html                    (WifiInfoView für Windows)
        in dem diese über den "root" Mesh Access Point sich zum FortiGate Wirelesss Controller verbinden. Für Wireless Hosts/
            http://www.ekahau.com/products/heatmapper/overview.html      (HeatMapper für Windows XP / Windows Vista / Windows 7)
        Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. bemerken nicht, dass
        sie sich zu einem Mesh Netzwerk verbinden.


         --> Vergewissere dich, dass zwischen FortiAP, FortiGate und Server 1000Mbit benutzt wird. Sofern nötig
         '''Wireless bridging (No VLAN Support)'''
            setze den speed fix (set speed 1000full).
        Für ein Bridging werden zwei physische LAN Segmente über Fortinet Access Points verbunden (the backhaul SSID). Die Ethernet
        Anschlüsse resp. Interfaces auf den Forti Access Points ("leaf" Mesh Access Point), die diese LAN Segmente verbinden können
        benutzt werden um ein zusätzliches Wireless Segment für die Wireless Hosts/Clients bereitzustellen. Grundsätzliche sind die
        Clients direkt in dem jeweiligen Segment per LAN oder über ein erweitertes Wireless Netzwerk verbunden.


        --> Führe Tests durch mit einem, mehreren Clients sowie mit mehreren Applikationen.
Daraus ergeben sich folgende Möglichkeiten:


         --> Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung
         <big>'''Forti Access Points werden benützt als "root" Mesh und "leaf" Mesh Access Points'''</big>
            die Auslastung/Auswirkungen auf den CPU und/oder Memory herauszufinden/zu Monitoren:
       
           
        [[Datei:Fortinet-345.jpg]]
            # get sys perf status
            # diagnose sys top


         --> Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance
         <big>'''FortiWiFi Device wird benützt als "root" Mesh Access Point und die Forti Access Points als "leaf" Mesh Access Points'''</big>
            zu erhöhen werden die Packete "aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe
       
            durchgeführt (Block Ack Technique 802.11n). Wenn Packete verworfen werden ist dies ein Hinweis auf
        [[Datei:Fortinet-346.jpg]]
            Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr aufzuzeichnen benötigt
            man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).


         --> Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)
         <big>'''Forti Access Points werden benützt um zwei LAN Segmente zu verbinden (Bridging)'''</big>
           
       
            [[Datei:Jperf-how-to.pdf]]
        [[Datei:Fortinet-347.jpg]]


        --> Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch
Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:
            Counter-Mode/CBC-MAC Protocol ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch
            http://en.wikipedia.org/wiki/CCMP). CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-
            Methode.


      --> Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
        • Alle Forti Access Points die im Mesh Wireless Network eingesetzt werden, müssen über Firmware 5.0 Build 003 oder höher verfügen!
         
         
          [[Datei:Fortinet-332.jpg]]
        • Forti Access Point FAP-222B muss über die Bios Version 400012 oder höher verfügen:
         
          ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out
         
        • Auf dem FortiGate/FortiWiFi Wireless Controller muss FortiOS 5.0 GA oder höher installiert sein!
       
          <span style="color:#ba0c2f">'''NOTE'''</span> Folgende Funktionen sollten möglichst nicht benützt werden auf dem Forti Access Point "radio" auf dem der
              Mesh Link konfiguriert wurde:
         
              [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
              [[FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F]]
              [[FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F]]


      --> Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen)
Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) oder Automatischer Konfiguration:
          verursachen.


      --> Ueberprüfe ob zuviele Broadcast sowie Multicast über das WiFi Netz gelangen/transportiert werden.
        '''<big>AUTOMATISCHE KONFIGURATION WIRELESS MESH</big>'''
 
       
      --> Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. eliminieren)
        Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name].  
 
        Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen werden:
      --> Ueberprüfe ob auf den End Device der User die neusten Treiber sowie WiFi Software installiert ist und
       
          überprüfe deren Datenrate.
         [[Datei:Fortinet-348.jpg]]
 
=== Wie kann ich Multicast über einen FortiAP optimieren resp. die Performance steigern? ===
 
Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" wird durchgeführt. Dieser Umstand "kann" Multicast" Uebermittlung über die FortiAP's verlangsamen. Um diesen Umstand entgegenzutreten kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine "optimale" Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:
 
         # set multicast-enhance [enable | disable]
          
          
         '''NOTE''' Dieses Kommando aktiviert die Konvertierung von Multicast zu Unicast!
         Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:
 
        # set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
          
          
         '''NOTE''' Dieses Befehl setzt die Multicast Erweiterung des Durchschnitts der FortiAP's
         • Konfiguriere einen "root" Mesh Access Point auf einer Forti Access Point oder auf einer FortiWiFi Device.
            dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast
        • Konfiguriere die Forti Access Points für "leaf" Mesh.
            zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (
        • Authorisiere die "leaf" Mesh Forti Access Point damit diese auf den FortiGate/FortiWiFi Controller verbinden können.
            Anzahl FortiAP's).
 
=== Ein Access Point ist über zwei unterschiedliche FortiGate WiFi Controller ersichtlich? ===
 
Nun ein FortiAP ist per Standard im "AC_DISCOVERY_TYPE" 0 was "auto" entspricht. Dies bedeutet der FortiAP sucht in der ganzen Umgebung (Broadcast, Multicast, DHCP) nach FortiGate WiFi Controllern. Nun wenn mehrer FortiGate WiFi Controller in der Umgebung installiert sind erscheinen die FortiAP auf all diesen FortiGate WiFi Controllern. Auch wenn einer dieser FortiGate WiFi Controllern herangezogen wird um den FortiAP zu konfigurieren bleibt der FortiAP auf den anderen FortiGate WiFi Controllern sichtbar. Um dies zu verhindern muss der "AC_DISCOVER_TYPE" auf "static" dh. "1" gesetzt werden. Dadurch wird explizit "statisch" nach der IP Adresse des "AC_IPADDR" gesucht. Aus diesem Grund muss "AC_IPADDR" explizit manuel gesetzt werden oder anhand einer DHCP Option mitgegeben werden [[FortiAP:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_wenn_ein_FortiAP_seine_IP_.C3.BCber_den_Forti_WiFi_Controller_per_DHCP_Server_erh.C3.A4lt.3F]]. Wird "AC_IPADDR" manuell auf dem FortiAP konfiguriert gebe folgenden Befehl ein:
          
          
         '''NOTE''' Wenn der FortiAP über keinen Consolen Port verfügt kann über den WiFi Controller der FortiGate der Access Point
         '''Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points'''
            per Telnet konfiguriert werden:
       
           
        Wähle über das Mgmt. Web Interface folgendes:
            [[FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
       
 
         WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
         # cfg -a AC_IPADDR=[IP Adresse des FortiGate WiFi Controllers]
          
         # cfg -c
         Selektiere den gewünschten Forti Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize".
         # cfg -s
       
 
        Wähle folgendes:
Um den "AC_DISCOVERY_TYPE" auf Statisch zu setzen gebe folgendes auf der CLI ein:
       
 
         Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
         # cfg -a AC_DISCOVERY_TYPE=1
          
         # cfg -c
         <span style="color:#ba0c2f">'''NOTE'''</span> Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
         # cfg -s
            mehr gesetzt werden!
 
               
Wenn der FortiAP auf dem FortiGate WiFi Controller sichtbar ist (Connecting) auf dem dieser nicht konfiguriert wird kann dieser dort gelöscht werden (Eintrag mit der Maus markieren und rechte Maustaste > Delete). Nach der obigen Konfiguration darf nun der FortiAP auf diesem FortiGate WiFi Controller nicht mehr erscheinen.
        [[Datei:Fortinet-349.jpg]]
 
       
=== Wie finde ich heraus über welche Uptime ein FortiAP verfügt? ===
         '''Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points'''
 
       
Wenn vermutet wird, dass ein FortiAP selbständig einen Neustart ausführt kann folgender Befehl ausgeführt werden um die Uptime zu eruieren:
         Verbinde dich auf das Mgmt. Web Interface des Forti Access Point auf dem "leaf" Mesh konfiguriert werden soll.
 
        Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2.
         # cw_diag uptime
        Weitere Informationen siehe nachfolgenden Artikel:
        Current uptime                  : 574652
        WTP daemon start uptime         : 18
        WTP daemon RUN uptime          : 74
        Time since WTP daemon started  : 574634
        Time since WTP daemon connected : 574578
          
          
        Watchdog timer triggered        : 0
        [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
        Watchdog timer action          : 1
       
        Watchdog timer time            : 22
        Auf dem Mgmt. Web Interface unter "Connectivity" konfiguriere folgendes:
 
          
=== Welche Debug Möglichkeiten stehen mir auf einem FortiAP zur Verfügung? ===
         <span style="color:#ba0c2f">'''NOTE'''</span> Betreffend Factory Reset siehe auch folgender Artikel:
 
           
Auf dem FortiAP steht das Kommando "cw_diag" zur Verfügung. Anhand dieses Befehls können verschiedenen Optionen angegeben werden und anhand dieser kann ein Debugging durchgeführt werden:
            [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]
 
          
         # cw_diag help
        Uplink          Mesh
         cw_diag usage:
        Mesh AP SSID    fortinet.mesh.[VDom Name dh. Standard "root"]
        cw_diag help                                --show this usage
        Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
            cw_diag uptime                          --show daemon uptime
       
            cw_diag --tlog  <on|off>                --turn on/off telnet log message.
        [[Datei:Fortinet-350.jpg]]
            cw_diag --clog  <on|off>                 --turn on/off console log message.
       
            cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
        Bestätige die Konfiguration anhand "Apply".
            cw_diag kernel-panic [size [ID]]        --show saved kernel panic log fromflash
       
            cw_diag kernel-panic clear              --clear saved kernel panic log from flash
        '''Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Forti Access Points'''
            cw_diag k-dvlan-debug [0-15]             --enable/disable kernel dynamic vla n debug
       
            cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
        Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Forti Access Points über den "root" Mesh
            cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server i p and port
        Access Points am FortiGate/FortiWiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss
            cw_diag sniff [intf [0|1|2] | clear]     --show, set or clear sniff setting on intf
        jeder "leaf" Mesh Forti Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
            cw_diag stats wl_intf                    --show wl_intf status
       
            cw_diag wl-log                          --get wlan's beacon/probe related i nfo
        WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
            cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
       
            cw_diag pkt-pattern [rId]                --show traffic packet length info.
        Gehe auf "refresh" bis der/die "leaf" Mesh Forti Access Points ersichtlich sind. Danach selektiere den Forti
            cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv inte rval
        Access Point und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Forti Access 
            cw_diag sys-performance                  --show CPU load and memory usage
        Points ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit "OK"
            cw_diag clear debug                      --clear all debug settings
        die Konfiguration.
            cw_diag show debug                      --show all debug settings
       
            cw_diag show control                    --show all -c settings
        Sobald die Konfiguration bestätigt wurde wir der Forti Access Point seinen Status von Offline zu Online wechseln
            cw_diag show all                        --show all debug and -c settings
        (ca. 2 Minuten). Die automatische Konfiguration ist abgeschlossen und kann getestet werden.
            cw_diag -c wtp-cfg                      --show current wtp config params in control plane
 
            cw_diag -c radio-cfg                    --show current radio config params in control plane
        '''<big>AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING</big>'''
            cw_diag -c ssid                          --show current configrued SSIDs
       
            cw_diag -c vap-cfg                      --show current vaps in control plan e
        Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über
            cw_diag -c ap-rogue                      --show rogue APs pushed by AC for o n-wire scan
        den Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen
            cw_diag -c sta-rogue                    --show rogue STAs pushed by AC for on-wire scan
        Port (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf")
            cw_diag -c arp-req                      --show scanned arp requests
        verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging
            cw_diag -c ap-scan                      --show scanned APs
        Mode aktiviert da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point
            cw_diag -c sta-scan                      --show scanned STAs
        (backhaul link) verbindet. Ein Forti Access Point Device für Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist
            cw_diag -c sta-cap                      --show scanned STA capabilities
        empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Wireless Hosts/Client im Wireless Netzwerk.
            cw_diag -c sta-locate                    --show scanned STA locate data
        Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu berücksichtigen:
            cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
       
            cw_diag -c wids                          --show scanned WIDS detections
        • Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
            cw_diag -c mesh                          --show mesh status
        • Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!
            cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
       
            cw_diag -c mesh-veth-vap                --show mesh veth vap
        '''Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''
            cw_diag -c mesh-veth-host                --show mesh veth host
       
            cw_diag -c mesh-ap                      --show mesh ap candidates
        Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
            cw_diag -c vlan                          --show current vlan info in daemon
        "leaf" Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti
            cw_diag -c sta                          --show current station info in daem on
        Access Point direkt mit dem zu verbindenen Segment verbunden!
            cw_diag -c sys-vbr                      --show WTP Vlan Bridges
       
            cw_diag -c net-topo                      --show interface topology
        [[Datei:Fortinet-358.jpg]]
            cw_diag -c k-vap                        --show WTP Kernel local-bridge VAPs
            cw_diag -c k-host                        --show WTP Kernel local-bridge Host s
            cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
            cw_diag -c k-vbr                        --show WTP Kernel local-bridge Vlan Bridges
            cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
            cw_diag -c ap-suppress                  --show suppressed APs
            cw_diag -c sta-deauth                    --de-authenticate an STA


Wenn ein FortiAP "crashed" kann folgender Befehl durchgeführt werden um an die crash Informationen zu kommen:
        '''<big>MANUELLE KONFIGURATION WIRELESS MESH</big>'''
 
       
         # cw_diag kernel-panic 64000
        Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über 
        den Device erhält. Ein Mesh Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
        (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Forti Access Points verbinden
        sich über diesen "root" Mesh AP (backhaul link) zum FortiGate/FortiWiFi Controller. Ein Forti Access Point Device für
        Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4
        GHz für die Wireless Hosts/Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende
        Punkte zu berücksichtigen:
       
        • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
         • Konfiguriere die "leaf" Mesh Access Point's.
          
          
         '''NOTE''' Der Wert 64000 gibt die Grösse an des zu auszugebenden Files!
         '''Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Forti Access Point'''
 
       
== Konfiguration ==
        • Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die Forti Access Points benutzt werden kann.
 
         • Erstelle eine SSID für den "backhaul link".
=== Für den Konfigurationspunkt "Security Mode" können welche Mode's konfiguriert werden? ===
        • Erstelle eine Forti Access Point WPT Profil das die SSID für den "backhaul link" enthält.
 
         • Füge das neue WPT Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
Die üblichen Security Mode wie "WPA2-Enterprise" können über das Web Gui konfiguriert werden. Andere stehen nur über die CLI zur Verfügung dh.:
        • Konfigureire den "root" Mesh Forti Access Point.
 
       
         # config wireless-controller wtp-profile
        Um die SSID für den "backhaul link" zu erstellen wähle im Mgmt. Web Interface der FortiGate folgendes:
        # edit [Profile Name]
          
        # set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
         WiFi Controller > WiFi Network > SSID, select Create New
 
          
=== Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic"? ===
         Konfiguriere folgendes:
 
Dieser Konfigurationspunkt auf der SSID bedeutet, dass die User untereinander nicht komunizieren können (Wird eingesetzt bei Hot-Spot's). Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke von einem Device im selben Segment (SSID). Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Access Point komunizieren können ohne das der Traffic den Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:
 
         # config wireless-controller vaps
        # edit [Name der SSID]
        # set intra-vap-privacy [disable / enable]
        # set local-switching [disable / enable]
 
=== Was bedeutet der Konfigurationspunkt "Rogue AP’s"? ===
 
Rogue bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Access Point Verbund/Netzwerk gehört. Dies bedeutet illegale betriebenen Access Points mit gleicher SSID wie über die regulären Access Points verbreitet werden. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der Wireless Controller indem die Mac Adressen mit den regulären Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Um Global den Wireless Controller für AP-Scan resp. On-Wire-Scan zu aktivieren führe auf der CLI folgendes aus (über WebGui "WiFi Controller > WiFi Network > Rogue AP Settings):
 
         # config wireless-controller setting
         # set ap-scan enable
        # set on-wire-scan enable
        # end
 
Global steht danach die Funktion zur Verfügung. Um nun zB einen dezidierten "Radio" für das Scanning resp. Monitoring zu benutzen muss in einem entsprechenden Profile folgendes konfiguriert werden (über WebGui "WiFi Controller > WiFi Network > Custom AP Profile):
 
        # config wireless-controller wtp-profile
         # edit [Name des Profils]
         # config radio-1
        # set ap-bgscan enable
        # set rogue-scan enable
        # set ap-bgscan-period 300
        # set ap-bgscan-intv 1
        # set ap-bgscan-duration 20
        # set ap-bgscan-idle 100
        # end
        # end
 
Es gibt einige Situationen indem folgendes zu berücksichtigen ist: Wenn ein Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Access Points im gleichen IP Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und WiFi Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)"  befinden. Per Standard gilt "MAC adjacency distance" '''7'''. Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt, wird der Access Point alse "On-Wire rogue" erachtet. Um den Standard Wert 7 anzupassen führe folgendes durch:
 
        # config wireless-controller global
        # set rogue-scan-mac-adjacency [Wert zB 8]
        # end
          
          
         '''NOTE''' "On-wire Rogue-Erkennung" hat einige Einschränkungen! Es muss mindestens ein WiFi Client vorhanden sein auf einem verdächtigen
         Interface Name        [Name des Interfaces zB "mesh-backhaul"]
            Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router
        IP/Netmask            [Belasse die IPv4 Adresse auf 0.0.0.0/0.0.0.0]
            handelt, muss die WiFi MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein.
        SSID                  [Name der SSID zB "mesh-backhaul"]
 
        Preshared Key        [Wähle ein Preshared Key]
=== Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)? ===
       
 
        [[Datei:Fortinet-351.jpg]]
"Automatic Radio Resource Provisioning" oder auch kurz ARRP (DARRP) steht im Zusammenhang mit den "Channels" (2.4 GHz Channel 1 bis 13 sowie 5 GHz Channel 36, 40, 44 und 48) mit denen der Access Point arbeitet dh. um zu verhindert das diese "Channesl" unter vers. Access Points kollidieren kann diese Position aktiviert werden. Wenn diese Position aktiviert ist sucht sich der FortiOS WiFi Controller den oder die besten "Channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "Channel" Benutzung wird alle 5 Minuten evaluiert und falls notwendig dem WiFi Client mitgeteilt damit dieser auf den neuen "Channel" wechseln kann. Es ist empfehlenswert diese Position zu aktivieren speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen im "Channel" Bereich zu verhindern.
       
 
        Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
         # config wireless-controller wtp-profile
       
         # edit [Profile Name]
         # config wireless-controller vap
        # get | grep darrp
         # edit [Name des Interfaces zB "mesh-backhaul"]
 
         # set mesh-backhaul enable
        # config radio-[1 oder 2]
         # set darrp disable
         # end
         # end
       
        Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
       
        [[Datei:Fortinet-352.jpg]]
       
        Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
       
        <span style="color:#ba0c2f">'''NOTE'''</span> Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
            Position "Traffic Mode"
       
        # config wireless-controller vap
        # edit [Name des Interfaces zB "mesh-backhaul"]
        # set ssid "[Name der SSID zB "mesh-backhaul"]"
        # set security wpa2-only-personal
        # set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
        # set encrypt AES
        # set vdom root
        # set mesh-backhaul enable
        # end
       
        Nun muss ein "backhaul" Forti Access Point Profile erstellt werden. Wähle dazu im Mgt. Web Interface der FortiGate folgendes:
       
        WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
       
        - Wähle für das WTP Profile einen Namen zB "mesh-backhaul-root".
        - Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Forti Access Point.
        - Aktiviere die Position "Mesh Downlink".
        - Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
       
        [[Datei:Fortinet-353.jpg]]
       
        <span style="color:#ba0c2f">'''NOTE'''</span> Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
            mehr als Definition innerhalb des WTP Profiles zur Verfügung.
       
        Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
       
        # config wireless-controller wtp-profile
        # edit [Profil Name zB "mesh-backhaul-root"]
        # config platform
        # set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
        # end
        # config radio-1
        # set mode ap
        # set mesh-downlink enable
        # set band 802.11n-5G
        # set channel "36" "40" "44" "48" 
        # set darrp enable
        # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
         # end
         # end
=== Was bedeutet der Konfigurations Punkt "short guard intervall"? ===
"Guard Intervalle", auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt, um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen, gegen die digitale Daten in der Regel sehr anfällig sind. Die Länge des Guard Intervalls entscheidet dabei, wie störanfällig eine Übertragung ist. Je länger ein solches Intervall ist, desto besser schützt es gegen Störungen, desto geringer wird allerdings auch die Kanaleffektivität.
        '''802.11 Guard Interval'''
        Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
        fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
        "short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
        jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
        oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
        könnte entwickelt werden, um herauszufinden ob ein Short Guard Intervall von Vorteil wäre. Um die Komplexität
        zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall.
      # config wireless-controller wtp-profile
      # edit [Profile Name]
      # get | grep short-guard-interval
      # config radio-[1 oder 2]
      # set short-guard-interval disable
      # end
      # end
=== Was bedeutet der Konfigurations Punkt "channel-bonding"? ===
Die Funktion "channel-bonding" (20/40 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat ist der Einsatz kontraproduktiv und störanfällig. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu, auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" nicht zu empfehlen im 2.4 Ghz Bereich! Da die einzelnen Kanäle breiter werden, aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr, dass sich WLANs gegenseitig stören, wenn sie auf angrenzenden Kanälen funken.
=== Was bedeutet der Konfigurations Punkt "WIDS Profile"? ===
Siehe Artikel:
[[FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F]]
=== Was bedeutet "fast-roaming" und wie konfiguriere ich dies? ===
Wenn User sich in einem Netzwerk befinden/verbunden sind -speziell zB mit Mobile Devices- kann die Situation entstehen, dass diese von Access Point zu Access Point wandern dh. ausser Reichweite des einten Access Point sind und in Reichweite zu einem anderen Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen -sich in Reichweite befindenden- Access Point wieder verbunden. Dadurch wird eine nochmalige Authentifizierung ausgelöst. Möchte man diese abermalige Authentifikation verhindern so muss "fast-roaming" aktiviert werden. "fast-roaming" benützt 2 Unterschiedliche Techniken:
        '''• Pairwise Master Key (PMK) Caching'''
        Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im
        Cache abgelegt wird der mit dem ersten AP mit dem sich der User zu Beginn
        verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch
        bekannt als "fast roam back"!
        '''• Pre-authentication oder "fast-associate in advance"'''
        Aktiviert eine 802.11 Access Point der mit einem Client verbunden ist um
        den verbundenen Client auf "event." weiteren Access Points zu verbinden
        authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen
        weiteren Access Points auf dem sich der Client verbinden könnte dh. es
        veranlasst den Access Point auf dem der Client verbudnen ist diesen PMK
        abzulegen um zukünftige Authentifizierung für den Client durchzuführen
        ohne das dieser eine Authentifizierung selber/manuell abermals durchführen
        muss.
        # config wireless-controller vap
        # edit [wtp-profile Name]
        # set fast-roaming enable
         # end
         # end
=== Was bedeutet "Wireless IDS" und wie konfiguriere ich dieses? ===
"Wireless IDS" ist ein Intrusion Detection System (ab FortiOS 5) und überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten. Wenn ein Angriff stattfindet wird dieser auf der FortiGate ins Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen etc.
        • Unauthorized Device Detection
        • Rogue/Interfering AP Detection
        • Ad-hoc Network Detection and Containment
        • Wireless Bridge Detection
        • Misconfigured AP Detection
        • Weak WEP Detection
        • Multi Tenancy Protection
        • MAC OUI Checking
Per Standard existiert ein "default" Profil. Dieses Profile wird innerhalb eine Access Point Profils (WiFi Controller > Managed Access Points > Custom AP Profile), das erstellt wird um dieses einem bestimmten Access Points zuzuweisen, ausgewählt! Das "default" Profile enthält folgendes:
        '''NOTE''' Neu kann ein WIDS Profile über das WebGui konfiguriert werden (ab FortiOS 5.0.1). Die entsprechende Menüposition findet
            man unter "WiFi Controller > WiFi Network > WIDS Profile".
        # config wireless-controller wids-profile
        # edit default
        # get
        name                : default
        comment            : default wids profile
        used-by            :
        wireless-bridge    : enable
        deauth-broadcast    : enable
        null-ssid-probe-resp: enable
        long-duration-attack: enable
        long-duration-thresh: 8200
        invalid-mac-oui    : enable
        weak-wep-iv        : enable
        auth-frame-flood    : enable
        auth-flood-time    : 10
        auth-flood-thresh  : 30
        assoc-frame-flood  : enable
        assoc-flood-time    : 10
        assoc-flood-thresh  : 30
        spoofed-deauth      : enable
        asleap-attack      : enable
        eapol-start-flood  : enable
        eapol-start-thresh  : 10
        eapol-start-intv    : 1
        eapol-logoff-flood  : enable
        eapol-logoff-thresh : 10
        eapol-logoff-intv  : 1
        eapol-succ-flood    : enable
        eapol-succ-thresh  : 10
        eapol-succ-intv    : 1
        eapol-fail-flood    : enable
        eapol-fail-thresh  : 10
        eapol-fail-intv    : 1
        eapol-pre-succ-flood: enable
        eapol-pre-succ-thresh: 10
        eapol-pre-succ-intv : 1
        eapol-pre-fail-flood: enable
        eapol-pre-fail-thresh: 10
        eapol-pre-fail-intv : 1
Um die Profile/Positionen zu konfigurieren stehen folgende Kommandos/Einstellungen zur Verfügung:
        Syntax
        config wireless-controller wids-profile
        edit <wids-profile_name>
        set comment <comment_str>
        set asleap-attack {enable | disable}
        set assoc-frame-flood {enable | disable}
        set auth-frame-flood {enable | disable}
        set deauth-br oadcast {enable | disable}
        set eapol-fail-flood {enable | disable}
        set eapol-fail-intv <int>
        set eapol-fail-thres <int>
        set eapol-logof f-flood {enable | disable}
        set eapol-logoff-intv <int>
        set eapol-logoff-thres <int>
        set eapol-pr e-fail-flood {enable | disable
        set eapol-pre-fail-intv <int>
        set eapol-pre-fail-thres <int>
        set eapol-pr e-succ-flood {enable | disable}
        set eapol-pre-succ-intv <int>
        set eapol-pre-succ-thres <int>
        set eapol-start-flood {enable | disable}
        set eapol-start-intv <int>
        set eapol-start-thres <int>
        set eapol-succ-flood {enable | disable}
        set eapol-succ-intv <int>
        set eapol-succ-thres <int>
        set i nvalid-mac-oui {enable | disable}
        set l ong-duration-attack {enable | disable}
        set long-duration-thresh <int>
        set null-ssid-probe-r esp {enable | disable}
        set spoofed-deauth {enable | disable}
        set weak-wep-iv {enable | disable}
        set wire less-bridge {enable | disable}
        end
Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen Positionen:
        [[Datei:Fortinet-361.jpg]]
        [[Datei:Fortinet-362.jpg]]
=== Was bedeutet "Client Load Balancing Access Point Hand-off" und wie konfiguriere ich diesen? ===
Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing" (ab FortiOS 5). Die Funktionsweise des "Access Point Hand-off" ist die folgende:
        Ein "Hand-off" wird durch den Access Point ausgelöst anhand des "threshold" (Standard 30).
        Wenn der "Load" auf einem Access Point den gesetzten "thresold" übersteigt, wird der WiFi
        Client angewiesen auf den nächsten Access Point und/oder Radio zu wechseln. Für diesen
        Wechsel der "Hand-off" genannt wird ist die Signalstärke des Client entscheidend (RSSI
        threshold). Dieser Wert erhält der Client vom zuständigen Access Point. Um zu verhindern
        das ein Zugriff auf den Client (durch Access Point) verhindert wird, werden wiederholende
        Anfragen zum Access Point - durch den WiFi Client, auf dem Access Point auf dem der WiFi
        Client momentan verbunden ist- akzeptiert. Diese Funktion nennt man "soft-limit".
          
          
         [[Datei:Fortinet-340.jpg]]
         Nun muss das erstellt WTP Profil dem Forti Access Point hinzugefügt werden der als "root" Mesh aggieren soll.
 
        Wähle dazu im WebGui folgendes:
Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden Profil ein- oder auszuschalten sowie den "threshold" zu setzen:
       
 
        WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
         # config wireless-controller wtp-profile
       
         # edit [Name des zu editieren Profil]
        Der "root" Mesh Forti Access Point muss über physisches LAN/Segment angeschlossen sein sowie Verbindung
         # set handoff-sta-thresh [Client thresold]
        zum FortiGate/FortiWiFi Controller haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und
         # config radio-1
        kann selektiert werden. Gehe auf "Authorize" und wähle das entsprechende WTP Profil das erstellt wurde
         # set ap-handoff {disable | enable}
        für den "backhaul link". In unserem Beispiel wäre dies zB  "mesh-backhaul-root"! Nach einiger Zeit geht
         # end
        danach der Forti Access Point auf den Status "Online".
         # config radio-2
       
         # set ap-handoff {disable | enable}
        Um das Profil per CLI zum entsprechenden Profile hinzu zufügen, gehe folgendermassen vor:
         # end
       
         # end
         # config wireless-controller wtp
        # get
        FAP22B3U11005354
       
         # edit FAP22B3U11005354
        # set admin enable
        # set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
         # end
       
        Nun muss der "root" Mesh Forti Access Point als solches definiert werden dh. im Mgmt. Web Interface unter folgender
        Position ist die entsprechende IPv4 Adresse des Forti Access Points zu eruieren:
               
        WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
          
        Wir nehmen an, dass der Forti Access Point dem wir das "backhaul" Profil hinzugefügt haben die IPv4 Adresse 192.168.3.2
        zugewiesen worden ist. Verbinde dich nun anhand dieser IPv4 Adresse auf das Mgmt. Web Interface des Forti Access Point.
        Führe ein Login durch anhand User "admin" und kein "Passwort" sofern keines gesetzt wurde:
       
        http://192.168.3.2
       
        Im Mgmt. Web Interface auf dem Forti Access Point unter "Mesh Configuration" selektiere:
       
        Ethernet with mesh backup support
       
        [[Datei:Fortinet-354.jpg]]
          
        <span style="color:#ba0c2f">'''NOTE'''</span> Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden da
              der Access Point als "root" Mesh konfiguriert ist ignoriert!
       
        Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe Lokal auf der CLI des Forti Access Points folgendes ein:
          
         # cfg -a MESH_AP_TYPE=2
         # cfg –c
       
        Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
       
        # cfg -s
       
        Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
          
         WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
          
          
         '''NOTE''' "handoff-sta-thresh" bedeutet der Durchschnitt (verbundene Clients) der erreicht werden soll auf einem Access Point
         '''Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point'''
              bevor diese angewiesen werden sich auf dem nächsten Access Point zu verbinden!
 
Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-sta-thresh" zu konfigurieren muss die CLI benutzt werden!
 
=== Was bedeutet "Client Load Balancing Frequency Hand-off" und wie konfiguriere ich diesen? ===
 
Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing". Die Funktionsweise des "Access Point Frequenzy Hand-off" (ab FortiOS 5) ist die folgende:
 
        Der Wireless Controller überprüft in gewissen Abständen die WiFi Client betreffend Ihrer
        Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den Wireless Controller betreffend dem
        WiFi Client die RSSI (Signal Stärke) überwacht und das auf den möglichen Frequenzen. Wenn
        ein neuer WiFi Client sich verbinden will, überprüft der Wireless Controller die MAC
        Adresse des Client und schaut gleichzeitig in den "Tabellen" nach in denen die Informationen
        abgelegt sind betreffend Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann
        der Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht:
          
          
         [[Datei:Fortinet-341.jpg]]
         Wie schon beschrieben sind "leaf" Mesh Forti Access Points Devices die das Wireless Netz (nicht physisch verbunden)
        benutzen um sich in das Wireless Netz zu integrieren. Die Verbindung zum FortiGate/FortiWiFi Controller wird über
        den "root" Mesh Access Point bewerkstelligt.
          
          
         Wenn der WiFi Client über KEIN dual-band verfügt:
         Um ein "leafe" Forti Access Point zu konfigurieren benutzen wir das Mgmt. Web Interface des Forti Access Points. Per
        Standard nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2.
        Verbinde dich nun auf den WebBased Manager anhand dieser IP:
          
          
                    --> Wird erlaubt sich mit dem Access Point (2.4 GHz) zu verbinden
        <span style="color:#ba0c2f">'''NOTE'''</span> Betreffend Factory Reset siehe auch folgender Artikel:
           
            [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F]]
          
          
         Wenn der WiFi Client über dual-band verfügt mit "guter" Signal Stärke:
         http://192.168.1.2
          
          
                    --> Antwortet der Wireless Controller nicht auf die Anfrage betreffend 2.4 GHz
        Im WebBased Manager konfiguriere folgendes:
                        sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den Access Point
                        zu verbinden. Um zu verhindern das ein Zugriff auf den Client verhindert wird,
                        werden wiederholende Anfragen zum Access Point - durch den WiFi Client, auf
                        dem Access Point auf dem sich der WiFi Client verbinden will - akzeptiert.
                       
                        '''NOTE''' Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients
                              unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch
                              5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein
                              Beispiel für so einen Device ist das IPad.
 
Folgende Kommandos können unter der CLI im entsprechenden Profil benutzt werden um das "frequency-off" zu konfigurieren sowie den "threshold":
 
        # config wireless-controller wtp-profile
        # edit [Name des zu editieren Profil]
        # set handoff-rssi [RSSI (Signalstärke) threshold]
        # config radio-1
        # set ap-handoff {disable | enable}
        # end
        # config radio-2
        # set ap-handoff {disable | enable}
        # end
        # end
          
          
         '''NOTE''' "handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Client
         Uplink            [Mesh]
              bevor der Client auf den 5 GHz Bereich verschoben wird!
        Mesh AP SSID      [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
 
         Mesh AP Password  [Preshared Key gemäss SSI "mesh-backhaul"]"  
Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi " zu konfigurieren muss die CLI benutzt werden!
               
 
         Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul".  
=== Was bedeutet "TX Power" und wie konfiguriere ich diese Funktion? ===
        Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist.  
 
         Konfiguration mit "Apply":
Bei "TX Power" handelt es sich um die Stärke des Signals für ein Access Point! Nun diese Stärke ist/war unter FortiOS 4.3.x manuell einstellbar. Benützt wird diese Funktion wenn zwei Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern konnte manuell der "TX Power" herabgesetzt werden. Neu unter FortiOS 5 wurde dieser Vorgang -sofern gewünscht- automatisiert. Dies bedeutet
 
        --> Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
         --> Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
 
         '''NOTE''' Die Informationen über die Signalstärke wird durch die Informationen verifiziert die die User durch Ihren Traffic auf den Access Points produzieren.  
            Bei "channel overlapping" kann diese Art der "TX Power" Anpassung solch ein "channel overlapping" verhindern!
           
            [[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F]]
 
Dieser Konfigurationspunkt kann im entsprechenden Access Point Profil konfiguriert werden (WiFi Controller > Managed Access Points > Custom AP Profile")!
 
=== Was ist DFS (Dynamic Frequency Selection) Support und um was handelt es sich dabei? ===
 
Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden, so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wurde. Hierdurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLANs gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wurde, muss unverzüglich ein Wechsel des Kanals initiiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar auf den folgenden FortiAP:
 
         '''FAP-221B/C'''
 
        [[Datei:Fortinet-843.jpg]]
          
          
         [[Datei:DFS_Europe.pdf]]
         [[Datei:Fortinet-355.jpg]]
 
Grundsätzlich gilt:
 
        '''Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:'''
          
          
         UNI1 : 4 Kanäle
         Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
        UNI2 : 4 Kanäle
        UNI2e: 7 Kanäle
        UNI3 : 4 Kanäle
 
        '''Für die Schweiz gilt:'''
          
          
         Indoor:  Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
         Wenn ein Forti Access Point nicht über einen FortiGate Wireless Controller konfiguriert und eingebunden ist sondern Lokal
                Channels: 36 40 44 48 52'''*''' 56'''*''' 60'''*''' 64'''*'''
        über einen Host/Client, ist der Consolen Port per "telnet" über die Standard IP 192.168.1.2 erreichbar. Wird ein Forti
               
        Access Point über einen FortiGate/FortiWiFi Wireless Controller konfiguriert so ist der Forti Access Point über den
                '''*''' Nur mit DFS Support!
        FortiGate/FortiWiFi Controller per "telnet" erreichbar sofern dieser Zugriff aktiviert ist. Folgender Artikel gibt
        Auskunft wie "telnet" aktiviert werden kann:
          
          
         Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
         [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
                Channels: 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''
               
                '''*''' Nur mit DFS Support!
 
        '''NOTE''' Die Channel's "52 56 60 64" dürfen in der Schweiz nur aktiviert werden wenn das Gerät
            DFS unterstützt und nur im Indoor Bereich! Ebenso dürfen die Channels "100 - 140" nur dann
            aktiviert werden wenn der Access Point im Ausenbereich eingesetzt wird. DFS ist zwingend
            für UNI2 und UNI2e!
 
Weitere technische Informationen zum DFS findet man unter folgenden Link:
 
        http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
        http://en.wikipedia.org/wiki/List_of_WLAN_channels
          
          
         http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de
         # cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
 
         # cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
=== Um was handelt es sich beim "802.11g Protection Mode" und wie aktiviere ich diesen? ===
         # cfg -a MESH_AP_TYPE=1
 
         # cfg -c
Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerks! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Ebenfalls ist in der IEEE Spezifikation beschrieben, dass wenn ein 802.11g Gerät ein langsameres 802.11b Gerät erkennt, dieses 802.11g , bevor es das aktuelle Paket sendet. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:
          
 
         Um die Konfiguration zu verifizieren (Es wird ein Neustart des Forti Access Point ausgeführt) geben folgendes ein:
         http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination
          
 
         # cfg -s
Ab FortiGate 5.0.6 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert auf "disable":
 
         # config wireless-controller wtp-profile
         # edit [Name des Profiles]
        # config [Wähle den entsprechenden Radio im 5 GHz Bereich zB "radio-1"]
         # set protection-mode [ctsonly | disable | rtscts]
         # end
         # end
         # end
          
          
         '''NOTE''' Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass
         Als nächsten Schritt muss für die "leaf" Forti Access Points ein Profil angelegt werden. Dazu wähle im Mgmt. Web
            sich 802.11a und/oder 802.11b Clienst verbinden können resp. ausgeschlossen werden!
        Interface folgendes:
          
          
Aus diesen Informtionen stellt sich die Frage "wann" dieser Mode eingeschaltet werden soll und wenn nicht. Die Antwort ist nicht generell zu beantworten jedoch kann man Grundsätzlich von Folgendem ausgehen:
         WiFi Controller > Managed Access Points > Custom AP Profile
 
         --> Wenn der Access Point sowie die Clients ausschliesslich 802.11g und/oder 802.11n benutzen kann der
            Protect Mode ausgeschaltet werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt.
           
        --> Wenn der Access Point sowie die Clients zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen sollte
            der Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b
            zu gewährleisten und diese "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen.
 
Kurzgesagt gilt:
 
        protection-mode disabled            = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
        protection-mode ctsonly oder rtscts  = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b
 
== Channels ==
 
=== Welche Radio Channels existieren in den vers. Ländern? ===
 
Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:
 
        [[Datei:Fortinet-304.jpg]]
          
          
         '''NOTE''' Zu Berücksichtigen ist der DFS (Dynamic Frequency Selection) Support! Weitere Informationen
         Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
            siehe Artikel:
           
            [[FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F]]
 
        [[Datei:Fortinet-305.jpg]]
 
        [[Datei:Fortinet-306.jpg]]
 
=== Was bedeutet "overlapping wifi channels"? ===
 
Wireless-Verbindungen funktionieren auf Frequenzbändern auch Kanäle genannt. Einer der Gründe, dass eine WiFi Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird und somit die Verbindung beeinträchtigt wird. Somit sollte man dieses "overlapping" möglichst verhindern. Nachfolgend eine Abbildung des "overlapping":
 
        [[Datei:Fortinet-330.jpg]]
          
          
         '''NOTE''' Um ein "overlapping" zu verhindern wähle möglichst Kanäle die mind 4 Kanäle auseinanderliegen sprich zB.
         Name          Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
            1 und 6 und/oder 6 und 11.
        Platform      Selektiere die Platform für den entsprechenden Forti Access Point der für "leaf" Mesh eingesetzt werden soll.
 
        Radio 1      Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
Um herauszufinden welchen Kanal in der Umgebung verwendet wird, kann der Monitor auf dem FortiGate WiFi Controller benutzt werden. Dies bedeutet: man setzt einen "Radio" auf einem Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Alle Kanäle anzuwählen und "Radio Provisioning" zu aktivieren ist nicht empfohlen!
        Radio 2      Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
 
       
=== Wie kann ich herausfinden welche Channels ich benutzen soll auf meinen FAP's um overlapping zu verhindern? ===
         [[Datei:Fortinet-356.jpg]]
 
          
Wenn FortiAccessPoints eigerichtet werden müssen die Channels (speziell im 2.4 GHz Bereich) definiert werden. Dazu stehen in der Schweiz (set country CH) 13 Channels zur Verfügung. Alle Kanäle zu selektieren sowie DARRP wäre die falsche Vorgehensweise da es so gezwungenermassen zu einem "ovelrapping wifi channels" kommt. Weitere Informationen zu den Länderspezifischen Channels sowie DARRP siehe folgende Artikel:
         <span style="color:#ba0c2f">'''NOTE'''</span> Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
 
             mehr als Definition innerhalb des WTP Profiles zur Verfügung.
         [[FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F]]
          
         [[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F]]
         Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
         [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F]]
 
Eine Variante ist die Channels über die "Dedicated Monitoring" zu erkennen und zu analysieren. Eine weitere wäre die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_den_FortiAP_auftreten.3F]]
 
Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhilft dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" FortiAccessPoint die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channels" unter der Spalte "overlap-ap" augezeigt. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese Channels aufgeführt. Aus diesen Informationen können dann die freien Channels ausgewählt werden im Profile:
 
        '''NOTE''' Die empfohlene Vorgehensweise um die Channels zu wählen ist immer zwischen den verschiedenen Channels
             mind 4 freizulassen sofern möglich also im nachfolgenden Beispiel zB 2/7/12:
 
         # get wireless-controller rf-analysis
         WTP: FAP14C3X13000543  0-193.193.135.70:5246
            channel    rssi-total  rf-score    overlap-ap  interfere-ap
                  1      90          7            6            11
                  2      45          10          0            11
                  3      127          4            2            11
                  4      33          10          0            11
                  5      38          10          3            16
                  6      19          10          0            10
                  7      23          10          0            10
                  8      45          10          0            8
                  9      192          1            5            16
                10      57          9            0            13
                11      46          10          0            13
                12      63          9            0            13
                13      231          1            8            13
                14      53          10          0            8
          
          
         WTP: FAP22B3U11011877  0-192.168.3.3:5246
         # config wireless-controller wtp-profile
            channel    rssi-total  rf-score    overlap-ap  interfere-ap
        # edit [Namen für das Profil zB "mesh-backhaul-leaf"]
                  1      153          2            6            12
        # config platform
                  2      91          7            0            12
        # set type [Selektiere entsprechend dem Forti Access Point Modell die für "leaf" Mesh eingesetzt werden die Platform]
                  3      270          1            3            12
        # end
                  4     76          8            0            12
        # config radio-1
                  5      76          8            3            17
        # set mesh-downlink enable
                  6      33          10          0            11
        # set band 802.11n-5G
                  7      33          10          0            11
        # set channel "36" "40" "44" "48"
                  8      50          10          0            8
        # set darrp enable
                  9      214          1            5            16
        # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]      
                10      68          8            0            13
        # end
                11      62          9            0            13
        # config radio-2
                12      89          7            0            13
        # set mode ap
                13      329          1            8            13
        # set band 802.11n
                14      79          7            0            8
        # set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
                40      216          1            9            9
        # end
                44      30          10          4            4
        # end
                48      70          8            2            2
       
        Nun muss das entsprechende WTP Profil das erstellt worden ist dem entsprechenden Forti Access Point der für "leaf" Mesh
        Forti Access Point benützt wird, zugewiesen werden. Wähle daszu im Mgmt. Web Interface:
       
        WiFi Controller > Managed A ccess Points > Managed FortiAP
          
          
         Controller: FGT60D4613048017-0
         Wenn der "leaf" Mesh Forti Access Point in Betrieb ist, müsste dieser nun in der Liste der Forti Access Points erscheinen.
            channel    rssi_total
        Selektiere diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird, sollte
                  1      243
        der Forti Access Point die Mesh IPv4 Adresse zeigen. Nach dem "Authorize" kann das entsprechende WTP Profile für die "leaf"
                  2      136
        Mesh Forti Access Point, das vorhergend erstellt worden ist, gewählt werden. Bestätige die Konfiguration anhand "Apply".
                  3      397
        Wenn die Konfiguration auf der CLI durchgeführt werden soll führe folgendes aus:
                  4      109
       
                  5      114
        # config wireless-controller wtp
                  6      52
        # get
                  7      56
        FAP22B3U11d05924
                  8      95
       
                  9      406
        # edit FAP22B3U11d05924
                10      125
        # set admin enable
                11      108
        # set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
                12      152
        # end
                13      560
       
                14      132
        Die Konfiguration der '''Manuelle Konfiguration betreffend Mesh''' ist nun abgeschlossen. Um das "Mesh" Wireless
                40      216
        Netzwerk zu kontrollieren wähle im Mgmt. Web Interface folgendes:
                44      30
       
                48      70
        WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
       
        In dieser View werden alle verbundenen und nicht verbundenen Forti Access Points aufgelistet. Wenn man unter "Column
        Settings" das Feld "Connected Via" einblended, sieht man in diesem Feld "Mesh" für die Forti Access Points die über
        Mesh verbunden sind sowie deren IPv4 Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen
        Forti Access Point durchgeführt werden:
       
        # cw_diag -c mesh
       
        Eine weitere Möglichkeit um an Informationen heranzukommen, ist auf dem Forti Access Point folgender Befehl abzusetzen:
       
        # dmesg


Es kann auch anhand der wtp-id nur ein spezifischer FAP aufgelistet werden:
         '''<big>MANUELLE KONFIGURATION WIRELESS BRIDGING</big>'''
 
         # get wireless-controller rf-analysis FAP22B3U11011877
          
          
         WTP: FAP22B3U11011877  0-192.168.3.3:5246
         Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über den
            channel    rssi-total  rf-score    overlap-ap  interfere-ap
        Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port
                  1      153          2           6            12
        (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Forti Access Point ("leaf")
                  2     91          7            0            12
        verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging Mode
                  3      270          1            3            12
        aktiviert da dieser an einem LAN/Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point (backhaul
                  4      76          8            0            12
        link) verbindet. Ein Forti Access Point Device verfügt für Mesh über 2 Radios (2.4 GHz sowie 5 GHz). Es ist  empfohlen
                  5      76          8            3            17
        5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
                  6      33          10          0            11
        durchzuführen sind folgende Punkte zu berücksichtigen:
                  7      33          10          0            11
       
                  8      50          10          0            8
        • Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
                  9      214          1            5            16
        • Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!
                10      68          8            0            13
       
                11      62          9            0            13
        '''Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point'''
                12      89          7            0            13
       
                13      329          1            8            13
        Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem "leaf"
                14      79          7            0            8
        Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti Access Point
                40      216          1            9            9
        direkt mit dem zu verbindenen Segment verbunden!
                44      30          10          4            4
       
                48      70          8            2            2
        [[Datei:Fortinet-357.jpg]]
 
== Guest Access ==
 
=== Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion? ===
 
Fortinet bietet im Zusammenhang mit der FortiGate Wireless Infrastrukturen zwei verschiedene Arten eines Ticketing System's für Guest Access:


Desweiteren kann mit folgenden Befehl alle Access Points augelistet werden die durch den Scan erkannt werden:
        '''Guest Access Provisioning:'''
        Das "Guest Access Provisioning" basiert auf einem Ticket System dh. durch einen definierten Administrator kann dieser
        die entsprechenden Tickets erstellen resp. generieren. Für dieses "Gues Access Provisioning" können die Tickets selber
        dh. Inhalt und Aussehen nicht modifiziert werden sondern sind vorgegeben. In so einer Situation sollte die "Captive
        Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit
        FortiOS 5.0/5.2 oder höher. Es müssen keine zusätzliche Installationen durchgeführt werden da ein FortiGate Wireless
        Controller alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur Implmenenterung
        siehe:
       
        [[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]


         # get wireless-controller scan
         '''User Self Registration:'''
        CMWF VF  SSID                BSSID              CHAN RATE SIGNAL NOISE  INT CAPS ACT LIVE  AGE WIRED
         In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein "Captive Portal"
                                                                (dBm)  (dBm)
         vorgeschaltet sein, jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self Registration Portal. Die Felder,
        UNNN 0                      00:09:0f:95:30:f0    8  11M  -91    -95  100 ESs  N  336613 52253  ?    WME VEN VEN ATH
         der Inhalt etc. des Self Registration Portal und/oder der Ticket's können vollumfänglich selber betreffend Inhalt und Aussehn
         UNNN 0                      12:09:0f:95:30:f0    8  11M  -92    -95  100 ESs  N  336639 52253  ?    WME VEN VEN ATH
         definiert werden. Für das "Wireless Self Registration" benötigt man einen FortiAuthenticator! Weitere Inoformationen zur
        UNNN 0                      22:09:0f:95:30:f0    8  11M  -92    -95  100 ESs  N  336639 52253  ?    WME VEN VEN ATH
         Implementierung siehe:
         UNNN 0                      32:09:0f:95:30:f0    8  11M  -91    -95  100 ESs  N  336763 52252  ?    WME VEN VEN ATH
          
         UNNN 0                      42:09:0f:95:30:f0    8  11M  -90    -95  100 ESs  N  336618 52253  ?    WME VEN VEN ATH
         [[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]
         UNNN 0  4ourguests          58:97:1e:b3:4c:70    9  216M  -45    -95  102 ESs  Y  343847  203    ?    WME VEN VEN VEN VEN
         UNNN 0                      58:97:1e:b3:4c:71    9  216M  -57    -95  102 ESs  N  343847 1146    ?    WME VEN VEN VEN VEN
         UNNN 0                      58:97:1e:b3:4c:72    9  54M  -57    -95  102 EPSs  N  343847 1144    ?    RSN WPA VEN VEN VEN VEN
         UNNN 0                      58:97:1e:b3:4c:74    9  54M  -42    -95  102 EPSs  Y  343847  548    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:75    9  54M  -59    -95  102 EPSs  Y  343847  544    ?    RSN VEN VEN VEN VEN
        UNNN 0  only4also          58:97:1e:b3:4c:76    9  216M  -44    -95  102 EPSs  Y  343847  203    ?    RSN WPA WME VEN VEN VEN
        UNNN 0  only4also          58:97:1e:b3:4c:79  48  450M  -60    -95  102 EP    Y  343830  811    ?    RSN WPA WME VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7a  48  54M  -60    -95  102 EP    N  342030 9211    ?    RSN VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7b  48  54M  -60    -95  102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7d  48  54M  -59    -95  102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7e  48  450M  -59    -95  102 E    Y  340230  811    ?    WME VEN VEN VEN VEN


=== Gibt es über das Gui eine Uebersicht ob mit irgendwelche fremden AP's ein Overlapping stattfindet (Interfering AP's)? ===
=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Self Registration" Funktion? ===


Wenn Access Points -speziell im 2.4 GHz Bereich- installiert werden muss darauf geachtet werden -bei der Bestimmung der "channels"- dass kein "overlapping" (Interferenzen) mit fremdnen Access Points stattfindet. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:
Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:


         [[FortiAP:FAQ#Wie_kann_ich_herausfinden_welche_Channels_ich_benutzen_soll_auf_meinen_FAP.27s_um_overlapping_zu_verhindern.3F_2]]
         [[FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F]]


Um die Konfiguration nachträglich zu kontrollieren gibt es über folgende Position die Möglichkeit event. "overlapping's" resp. Interferenzen zu eruieren:
Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einem FortiGate Wireless Controller konfiguriert wird:


         WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)
         [[FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F]]


Diese Widget zeigen auf ob der Controller durch die "[[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F |Radio Resource Provisioning]]" Funktion event. "overlapping's" resp. Interferenze bestehen. Dies wird in den "Widget" unter der folgender Position aufgeführt:
=== Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Guest Access Provisioning" Funktion? ===


        [[Datei:Fortinet-1090.jpg]]
Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0/5.2 oder höher) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:


        [[Datei:Fortinet-1091.jpg]]
      <span style="color:#ba0c2f">'''NOTE'''</span> Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt
            werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe
            nachfolgender Artikel:
           
            [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_.22Wireless_Guest_Access_Provisioning.22_ein_Custome_Language_File.3F]]


Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:
      User & Device > User > User Groups
     
      [[Datei:Fortinet-363.jpg]]
     
      Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch durch das System
      erstellt (Batch):
           
            [[Datei:Fortinet-373.jpg]]


        [[Datei:Fortinet-1092.jpg]]
Zur dazugehörigen Gruppe erstellen wir einen Administrator, der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:


        Wird ein entsprechende Position unter "Interfering AP's" angewählt sieht man die Details wie
      System > Admin > Administrators
        "MAC Adresse des fremden AP's, SSID, benutzter Channel und Signalstärke":
     
       
      [[Datei:Fortinet-364.jpg]]
        [[Datei:Fortinet-1093.jpg]]
       
        '''NOTE''' Es ist -je nach Anzahl fremder AP's- nicht immer möglich "overlapping's" resp. Interferenzen im 2.4 GHz
            Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Clients den 5 GHz Bereich
            unterstützen sollte der 2.4 GHz Bereich gemieden werden!


== FortiPlanner ==
Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:


=== Gibt es ein Tool mit dem ich eine Wireless Umgebung betreffend Abdeckung planen kann? ===
      [[Datei:Fortinet-365.jpg]]


Ja, das gibt es dh. der FortiPlanner ermöglicht es über diesen ein Grundriss plan einer Umgebung einzulesen und nachträglich die Dimensionen zu defineren/deklarieren sowie vers. Access Points abzubilden mit deren Abedeckung in dieser erstellten Umgebung. Der FortiPlanner kann über folgenden Link runtergeladen werden:
      [[Datei:Fortinet-366.jpg]]


        http://www.fortinet.com/resource_center/product_downloads.html
Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:
       
        '''NOTE''' Die Grundversion ist frei zu Nutzen (bis 50 Access Points). Darüber muss eine "pro license" erworben werden (unlimited).
              Die "pro license" ermöglicht "dynamic heatmaps" resp. der FortiPlaner kann Informationen aus dem FortiGate Controller
              auslesen. Diese Komunikation zwischen FortiPlaner und FortiGate basiert auf einem SSH Tunnel. Zusätzlich zu den "heatmaps"
              kann zB folgenders ausgelesen werden:
                                                      Momentane Clients auf den Access Points
                                                      Momentan benutzte Channels auf den Access Points
                                                      Momentaner TX Power
                                                      Failed Devices
       
        Quick Start Guide [[Datei:FortiPlanner Quick Start Guide 4.0 MR3.pdf]]
        User Guide Guide  [[Datei:FortiPlanner User Guide 4.0 MR3.pdf]]


== Site Survey ==
      [[Datei:Fortinet-367.jpg]]
 
      [[Datei:Fortinet-368.jpg]]
     
      Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch"
      erstellt (Batch). Dies sieht dann folgendermassen aus:
           
            [[Datei:Fortinet-374.jpg]]
           
            Nach der "automatischen" Erstellung wird folgendes Ausgegeben:
           
            [[Datei:Fortinet-375.jpg]]
           
            Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes:
           
            [[Datei:Fortinet-376.jpg]] 
           
            Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:
           
            [[Datei:Fortinet-377.jpg]]
           
Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing. Vorraussetzung dafür ist jedoch das ein "Email Service" konfiguriert wurde. Dazu siehe nachfolgende Artikel:
 
      [[FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F]]
      [[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_den_.22Email_Service.22_konfigurieren.3F]]
 
      [[Datei:Fortinet-369.jpg]]
 
Wählt man zB Printing so erscheint folgendes:
 
      [[Datei:Fortinet-372.jpg]]
     
      <span style="color:#ba0c2f">'''NOTE'''</span> Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden!


=== Gibt es eine Möglichkeit -ohne FortiGate- die Wireless Abdeckung anhand eines FortiAP's zu testen? ===
Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:


Ja diese Möglichkeit exisitert dh. es ist möglich einen FortiAP Vorort einzusetzen um die Abdeckung zu testen. Dabei kann -ohne eine FortiGate einzusetzen- ein FortiAP so konfiguriert werden, dass dieser eine SSID aussendet mit der die Abeckung Vorort getestet werden kann. Um dies auf einem FortiAP zu konfigurieren führe folgendes durch:
      [[Datei:Fortinet-370.jpg]]
     
Wenn man sich als "regulärer" Administrator wiederum einloggt, kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:


        '''NOTE''' Dieser Vorgang kann mit jedem FortiAP durchgeführt werden!
      User & Device > User > Guest Management
     
      [[Datei:Fortinet-371.jpg]]
     
Ein "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts wie der "Restricted to Provision Guest Accounts" Administrator" erstellen/verwalten! Für die SSID muss nun ein "Captive Portal" ausgewählt jsowie konfiguriert werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:


         1. Verbinde den FortiAP mit einer Workstation über die Ethernet Interface's; Konfiguriere auf der Ethernet Schnittstelle der Workstation
         [[Datei:Fortinet-1267.jpg]]
          folgende IP:
         
          192.168.1.1/24 (Kein Gateway, Kein DNS)
         
        2. Starte den FortiAP; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface folgende IP konfiguriert:
         
          192.168.1.2/24
          
          
        3. Verbinde dich per Telnet auf die FortiAP anhand der IP Adresse:
Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal". Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste der Guest Account die URL abermals eingeben! Als Letzteres muss eine entsprechende Firewall Policy Rule implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Konfiguration getestet werden. Sobald ein Wireless Host/Client die entsprechende SSID aufruft, wird er mit dieser SSID anhand einer IPv4 Adresse die vom DHCP Server stammt der für die SSID konfiguriert wurde, verbunden. Wenn nun ein Wireless Host/Client danach eine Anfrage absetzt dh. eine Web Seite aufruft wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der Wireless Host/Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:
         
 
          telnet 192.168.1.2
        '''Guest Access User Group'''
          
          
         4. Aktiviere den entsprechenden Mode auf dem AP anhand folgenden Befehls:
         # config user group
         
        # edit [Name der Gruppe zB "FortiGroup-Guest"]
          # cfg –a AP_MODE=2
        # set group-type guest
          # cfg -c
        # set user-id [email | auto-generate | specify]
         
        # set password [auto-generate | specify | disable]
          '''NOTE''' AP_MODE=2 bedeutet 2(Site Survey). Per Standard ist konfiguriert 0(Thin AP)! Weitere Informationen
        # set user-name [enable | disable]
                findet man ebenfalls unter folgenden Artikel:
        # set email [enable | disable]
               
        # set mobile-phone [enable | disable]
                [[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_FortiAP_.C3.BCber_die_CLI_eingegeben_werden.3F]]                   
        # set default-expire [seconds]
        # end
 
        '''Guest admin profile options'''
          
          
         5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des FortiAP durchgeführt!
         # config system admin
        # edit [Name des Administrators]
        # set guest-auth [enable | disable]
        # set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
        # end
 
        '''SSID Security Mode option captive-portal'''
          
          
         6. Nachdem Neustart sendet der AP eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann nun die Abedeckung überprüft werden!
         # config wireless-controller vap
          
        # edit [Name des SSID Profiles zB "only4guest"]
         7. Soll die SSID oder andere Werte für die SSID im Survey Mode angepasst werden stehen folgende Einstellungen zur Verfügung:
         # set vdom "root"
         
         # set ssid [Name der SSID zB "only4guest"]
          • SURVEY_SSID='FAP_SURVEY'         --> Diese Option vergibt den Namen für die SSID im Survey Mode.
        # set security captive-portal
          • SURVEY_TX_POWER=30              --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige FortiAP's gilt ein Maximum von 17dBm.
        # set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
          • SURVEY_CH_24=6                  --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
         # set intra-vap-privacy enable
          • SURVEY_CH_50=36                  --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
        # end
          • SURVEY_BEACON_INTV              --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
        # config system interface
         
        # edit [Name des Interface für SSID zB "only4guest"]
          '''NOTE''' Gesetzt werden die Werte folgendermassen:
        # set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
               
        # set allowaccess ping
                # cfg -a [Entsprechende Option mit deren Wert]
        # set devindex 0
                # cfg -c
        # set device-identification enable
               
        # set snmp-index 0
                Soll der FortiAP wieder auf Factory Default gesetzt werden führe aus:
        # end
               
        # config system dhcp server
                # cfg -x
        # edit [Gebe einen Integer an zB 1]
        # set forticlient-on-net-status disable
        # set dns-service default
        # set default-gateway [IPv4 Adresse zB 192.168.10.1]
        # set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
        # set interface [Interface für DHCP Server zB "only4guest"]
        # config ip-range
        # set start-ip 192.168.10.2
        # set end-ip 192.168.10.254
        # end
        # end


          '''NOTE''' Betreffend Factory Reset siehe auch folgender Artikel:
Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:
               
                [[FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F]]


== 802.11 ==
        # diagnose test guest ?
        add    add a guest user
        del    delete guest users
        list    list guest users


=== Wo finde ich weitere Informationen über "IEEE 802.11" Standard? ===  
        # diagnose test guest list
        user_id=new-user-1@beispiel.com
        group=Beispiel-Gruppe
        user_name=gast-1
        password=pwj8m9
        mobile_phone=
        sponsor=
        company=
        email=new-user-1@beispiel.com
        expire=1 Hours


Folgender Link gibt Auskunft über Standard und enthält weitere nützliche Links:
        # diagnose test guest add
        <group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>


         http://en.wikipedia.org/wiki/802.11
         # diagnose test guest del
        12 deleted for group '', user-id ''


=== Wann kommt der 802.11ac Standard und um was handelt es sich dabei? ===
        # diagnose test guest list
        0 found for group '', user-id ''


Fortinet hat ein Dokument veröffentlich indem der neue 802.11ac Standard beschrieben ist wie zB:
=== Wie konfiguriere ich für ein "Wireless Guest Access Provisioning" ein Custome Language File? ===


        '''Do I need to buy new APs to support 802.11ac?'''
Auf einer FortiGate ist das Mgmt. Web Interface und Replacement Messages per Standard Englisch. Unter der folgende Position können andere Sprachen gewählt werden:
        Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
        It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.


         [[Datei:802.11ac_Wireless_LAN_FAQ_-_July_2013.pdf]]
         System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]
        [[Datei:802.11ac_Wireless_LAN_FAQ_-_Januar_2014.pdf]]
        [[Datei:802.11ac_Wireless_LAN_FAQ_-_Februar_2014.pdf]]
       
        '''NOTE''' Im Dokument FAQ vom Februar 2014 kommuniziert Fortinet, dass für die neuesn "C" Modelle
            für FortiOS 5.0.6 sowie FortiManager 5.0.6 ein "special build" zur Verfügung gestellt wird!
           
            Dieser neue "Special Support Build" wurde nun unter folgenden Link für FGT/FWF zur Verfügung gestellt:
           
            ftp://support.fortinet.com/FortiGate/v5.00/Feature_Support/fg_5-0_wifi_11ac/
           
            '''NOTE''' Dieser Link ist nur zugänglich wenn vorgängig in den entsprechenden Support
                  Account eingeloggt wird!
           
            Nur mit diesem "Special Support Build" werden FAP-320C und/oder FAP-221C unterstützt!
           
            '''NOTE''' Der Upgrade Path dieses "Feature_Support" ist gemäss "offiziellen" Upgrade Path dh.
                  ausgehend davon folgendes Beispiel:
                 
                  - Installierte Version 5.0.x
                  - Upgrade gemäss Upgrade Path auf 5.0.6 ([[Datei:FortiOS-Upgradepath.pdf]])
                  - Einspielen des "Feature_Support" Build
                 
                  Der "special" Build der von Fortinet betreffend OpenSSL Vulnerability "heartbleed"
                  herausgegeben wurde ([[Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F |28CVE-2014-0160]]) darf nicht angewandt werden. Fortinet wird für
                  den "Feature_Support" eine neue Version zur Verfügung stellen der dem ([[Fortinet:Support-Alerts#Fortinet_.22Heartbleed.22_OpenSSL_Remote_Memory_Disclosure_Vulnerability_8._April_2014_.28CVE-2014-0160.29.3F |28CVE-2014-0160]])
                  Rechnung trägt. Am 22. April 2014 hat Fortinet den "special" Build der den OpenSSL
                  Vulnerability "heartbleed" Rechnung trägt release unter 5.0.7 Build 4457.


=== Was ist mit 802.11AC MU-MiMo gemeint? ===
Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):


Unter "802.11AC MU-MiMo" ('''MI''' steht somit für zwei oder mehrere Sendeantennen und '''MO''' für zwei oder mehrere Empfangsantennen) versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". Dahinter verbirgt sich im Prinzip ein cleveres Antennen-Management. So kann der Router seine Antennen gezielt aufteilen, wenn er mehrere Gegenstellen zu bedienen hat und damit jedem Konterpart eine besonders stabile und starke Verbindung garantieren:
        • Guest Management Admin Accounts (Guest Access Provisioning)
        • SSL VPN Portal
        • SSL VPN Personal Bookmarks


        [[Datei:Fortinet-326.jpg]]              oder              [[Datei:Fortinet-331.jpg]]
Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:


Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:
        # config system global
        # set gui-custom-language enable
        # end
       
        Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Mgmt. Web Interface auf der FortiGate
        aktiviert:
       
        System > Config > Advanced > Language
       
        [[Datei:Fortinet-1285.jpg]]
       
        Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:
       
        System > Custom Languages
       
        Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann
        als Vorlage um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":
       
        [[Datei:sample-language-template.txt]]
        [[Datei:sample-language-template-54.txt]]
       
        Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:
       
        System > Config > Advanced > Language > Create New
       
        [[Datei:Fortinet-1286.jpg]]


         [[Datei:Fortinet-718.jpg]]
        Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:
       
        System > Custom Languages
       
        Danach kann das File raufgeladen werden:
       
        [[Datei:Fortinet-1287.jpg]]
       
        Damit das entsprechende File benutzt wird für die Funktion des "Wireless Guest Access Provisioning", muss
        dies unter CLI und/oder über Mgmt. Web Interface für den Guest Administrator konfiguriert werden:
       
        System > Admin > Administrators > [Wähle den entsprechenden Guest Administrator] > Language > [Wähle das entsprechende "Sprachfile"]
       
         [[Datei:Fortinet-1289.jpg]]
       
        # config system admin
        # edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
        # set guest-auth enable
        # set guest-lang [Wähle das entsprechende "Sprachfile"]
        # end
        # end
 
=== Wie kann ich für die "Wireless Guest Access Provisioning" Funktion die Erstellung der Tickets (Anzahl) limitieren? ===
 
Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" Ticket erstellen. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket Erstellung in der Anzahl limitiert. Ab FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:
 
        # config user group
        # edit guest-group
        # set group-type guest
        # set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
        # end
        # end
       
Wird die Konfiguration durchgeführt für Guest Administratoren die bereits Tickets erstellt haben, muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert für Anzahl Tickets tiefer als die existierenden "valid" Tickets konfiguriert werden so müssen um den Wert anzupassen zuerst Tickets gelöscht werden um den entsprechenden Wert zu setzen.


Wenn diese Technology für "802.11AC MU-MiMo" - die auch für den FAP-320B/C - benutzt wird eingesetzt werden soll so muss ebenfalls die Client Seite berücksichtigt werden! Dies bedeutet der Client selber - sei es zB Workstation und/oder Server etc - müssen diese Technology durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client (zB IPad) "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte.
=== Gibt es für das Passwort des Guest-Administrators für "Wireless Guest Access Provisioning" eine Passwort Policy? ===


Wenn auf einer FortiGate ein "Wireless Guest Access Provisioning" konfiguriert wird ist die Basis ein Administrator der für Guest definiert wird (Restricted to Provision Guest Accounts). Wie ein "Wireless Guest Access Provisioning" konfiguriert wird siehe nachfolgender Artikel:


== CLI ==
        [[FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F]]


=== Welche Kommandos können auf einem FortiAP über die CLI eingegeben werden? ===
Neu unter FortiOS 5.4.1 kann diesem Administrator der für Guest definiert wurde eine Passwort Policy aktiviert werden. Dies kann jedoch nur in der CLI konfiguriert werden und ist per Standard deaktiviert:


Unter FortiOS 5.0.5 stehen folgende Kommandos zur Verfügung:
        # config system password-policy-guest-admin
        # status [enable | disable]
        # apply-to [guest-admin-password]
        # minimum-length [Minimum Länge des Passwortes]
        # min-lower-case-letter [Minimum Anzahl Kleinbuchstaben im Passwort]
        # min-upper-case-letter [Minimum Anzahl Grossbuchstaben im Passwort]
        # min-non-alphanumeric [Minimum Anzahl Non-Alphanumerischen Zeichen im Passwort]
        # min-number [Minimum Anzahl von Nummerischen Zeichen im Passwort]
        # change-4-characters enable/disable Enable/disable changing at least 4 characters for new password.
        # expire-status [enable | disable]
        # reuse-password [enable | disable]        # end


        [[Datei:Fortinet-342.jpg]]
== Remote ==


        [[Datei:Fortinet-343.jpg]]
=== Wie konfiguriere ich einen Forti Access Point zB. FAP-11C für einen Remote Zugriff? ===
        [[Datei:Fortinet-344.jpg]]


         # cfg -h
Ein Forti Access Point FAP-11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point FAP-11C, FAP-14C sowie fAP-28C da diese Forti Access Point über einen Internal Switch/Hub verfügen der es dem User/Client erlaubt entweder über den Internen Switch/Hub zu arbeiten oder über Wireless resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:
         cfg -h            - output this help
        _________
         cfg -r var       - remove variables
        |         | 193.193.135.70
         cfg -e            - export variables
         | FAP-11C |--|
         cfg -s           - list variables
        |_________|  |
         cfg -x            - resetting to factory defaults
                    WAN
         cfg -c            - commit the change to flash
                    | 193.193.135.66              ___________
         cfg -a var=value  - add or change variables
        ____________|____________                |          |
          
         |                        | 192.168.3.1    | FAP-11C  |
         Supported Variable Names:
        |       Fortigate        |----- DMZ ------|          |
            BAUD_RATE
         |_________________________|                |___________|
                9600, 19200, 38400, 57600, 115200
                    |
            WTP_NAME
                    | 192.168.1.99
            WTP_LOCATION
                    LAN
            FIRMWARE_UPGRADE
 
            LOGIN_PASSWD
In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "dmz" durchgeführt! Dies bedeutet: dieses "dmz" ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen benützt dh. der FAP-11C wird mit der gesamten Konfiguration lokal eingebunden inkl Firewall Policy Rules usw. Diese Konfiguration kann nachträglich für einen Remote Konfiguration komplett übernommen werden. Alle Forti Access Point benützen für deren Komunikation zum FortiGate Wireless Controller CAPWAP (UDP-5246). Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:
            ADMIN_TIMEOUT
 
                Telnet and GUI session admin timeout in minutes
        [[FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_einen_FortiGate_Wireless_Controller_verwaltet.2Fkonfiguriert_.28CAPWAP.29.3F]]
            ADDR_MODE
 
                DHCP, STATIC
Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt, jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden, sind per Standard "clear-text". Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel von und zu dem Forti Access Point zum FortiGate Wireless Controller zu verschlüsseln. Weitere Informationen zu DTLS Funktion siehe nachfolgender Artikel:
            AP_IPADDR
 
            AP_NETMASK
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]
            IPGW
 
            AP_MODE
Die Konfiguration eines Forti Access Point für Remote Zugriff unterscheidet sich Grundsätzlich nicht gegenüber einer lokalen Konfiguration von Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point unter FortiOS 5.0/5.2/5.4 in Betrieb genommen wird und was dabei zu beachten ist:
                0(Thin AP), 2(Site Survey)
         
            DNS_SERVER
         [[FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F]]
            STP_MODE
         
            AP_MGMT_VLAN_ID
Wenn die Grundkonfiguration für den FAP-11C inkl. den Firewall Policy Rule's gemäss vorhergenden Link durchgeführt wurde sowie alle Tests erfolgreich waren, sollte der FAP-11C aus dem "dmz" Segment entfernt. Ist dies geschehen sollte der entsprechende Forti Access Point Eintrag unter "Managed FortiAP's" gelöscht werden:
            TELNET_ALLOW
 
            HTTP_ALLOW
         WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]
            AC_DISCOVERY_TYPE
 
                0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
Als Nächstes muss nun Lokal auf dem Forti Access Point FAP-11C mitgeteilt werden, mit welchen FortiGate Wireless Controller eine Remote Verbindung erstellt werden soll. Dies kann über das lokale Mgmt. Web Interface oder CLI des Forti Access Point FAP-11C durchgeführt werden. Die Informationen die lokal auf dem Forti Access Point konfiguriert werden müssen sind die Folgenden:
            AC_IPADDR_1
 
            AC_IPADDR_2
         IPv4 Adresse
            AC_IPADDR_3
         FQDN (Fully Qualified Domain Name]
            AC_HOSTNAME_1
 
            AC_HOSTNAME_2
Um auf einen Forti Access Point lokal zu verbinden kann die Default IPv4 Adresse des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:
            AC_HOSTNAME_3
 
            AC_DISCOVERY_MC_ADDR
         [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
            AC_DISCOVERY_DHCP_OPTION_CODE
 
            AC_CTL_PORT
Es können für Failover Zwecke bis zu 3 Wireless Controller konfiguriert werden:
            AC_DATA_CHAN_SEC
 
                0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
         [[Datei:Fortinet-700.jpg]]
            MESH_AP_TYPE
 
                0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Wenn in einem späteren Zeitpunkt der Forti Access Point in ein IPv4 Segment zB zu Hause verbunden wird, sucht sich dieses "wan" Interface einen DHCP Server. Werden die DHCP Anfragen des "wan" Interfaces beantwortet, wird auf dem "wan" Interface gemäss der DHCP Server Konfiguration eine IPv4 Adresse, Subnet sowie Default Gateway konfiguriert. Sobald dies der Fall ist, wird über das "wan" Interface versucht den konfigurierten FortiGate Wireless Controller anhand dessen IPv4 Adresse oder den FAQDN über CAPWAP (UDP-5246) zu erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf "Auto" konfiguriert was wiederum bedeutet:
            MESH_AP_SSID
 
            MESH_AP_BSSID
        Broadcast -> Multicast > Static > DNS > DHCP
            MESH_AP_PASSWD
 
            MESH_ETH_BRIDGE
In dieser Reihenfolge versucht der Forti Access Point über CAPWAP den konfigurierten FortiGate Wireless Controller zu erreichen. Damit kein "Auto" für die Suche des FortiGate Wireless Controller durchgeführt wird, sollte "Static" benutzt werden. Wenn ein FQDN benutzt wird, ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS  Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:
                Only take effect with MESH_AP_TYPE 1(mesh) AP
 
            MESH_MAX_HOPS
        # cfg -a DNS_SERVER=[DNS Server IP Adresse]
            MESH_SCORE_HOP_WEIGHT
        # cfg -c
            MESH_SCORE_CHAN_WEIGHT
        # cfg -s
            MESH_SCORE_RATE_WEIGHT
 
            MESH_SCORE_BAND_WEIGHT
Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:
            MESH_SCORE_RSSI_WEIGHT
           
            SURVEY_SSID
        # cfg -a WTP_NAME=FP11C3X12001413                                          [Hostname Forti Access Point]
            SURVEY_TX_POWER
        # cfg -a ADMIN_TIMEOUT=5                                                    [Admin Timeout Default 5 Minuten]
            SURVEY_CH_24
        # cfg -a AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
            SURVEY_CH_50
        # cfg -a AP_NETMASK=255.255.255.0                                          [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
            SURVEY_BEACON_INTV
        # cfg -a IPGW=192.168.1.1                                                  [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
        # cfg -a AP_MODE=0                                                          [0 (Thin AP)] | 2 (Site Survey)]
        # cfg -a DNS_SERVER=208.91.112.53                                          [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
        # cfg -a BAUD_RATE=9600                                                    [Geschwindigkeit der Console; Standard 9600]
        # cfg -a ADDR_MODE=DHCP                                                    [IP Adressierungs Mode dh. DHCP oder STATIC]
        # cfg -a STP_MODE=0                                                        [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
        # cfg -a TELNET_ALLOW=1                                                    [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
        # cfg -a HTTP_ALLOW=1                                                      [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
        # cfg -a AC_DISCOVERY_TYPE=0                                                [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
        # cfg -a AC_IPADDR_1=192.168.1.1                                            [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
        # cfg -a AC_IPADDR_2=                                                      [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
        # cfg -a AC_IPADDR_3=                                                      [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
        # cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com                    [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
        # cfg -a AC_HOSTNAME_2=                                                    [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
        # cfg -a AC_HOSTNAME_3=                                                    [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
        # cfg -a AC_CTL_PORT=5246                                                  [CAPWAP Comunication Port]
        # cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
        # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138                                  [DHCP Option Code]
        # cfg -a AC_DATA_CHAN_SEC=2                                                [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
       
        # cfg -c                                                                    [Speicher Konfiguration in das Flash]
        # cfg -s                                                                    [Liste die Konfiguration auf]
 
Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. Auf dem Forti Access Point ist "DTLS" bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate Wireless Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden Profils]
        # set dtls-policy [dtls-enabled | clear-text]
        # end


Neu können unter FortiOS 5.x auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu sehe Artikel:
Wenn ein Client/Host über den Remote Forti Access Point ein Packet versendet und da der Standard Wert für MTU Size auf den meisten Betriebsystemen auf 1500 konfiguriert ist kann es mit der zusätzlich aktivieren "DTLS" Funktion zu einer Fragmentierung kommen. Der Grund ist der Folgende: Wenn ein Packet über den CAPWAP Tunnel gesendet wird so kommt zum Packet ein kleiner "overhead" des CAPWAP dazu. Dies ist unter normalen Umständen und in den meisten Fällen kein Problem. Kommt jedoch nochmals der "overhead" des "DTLS" dazu, vergrössert sich das Packet dh. mehr als MTU 1500 und somit wird das Packet aufgeteilt dh. es wird eine Fragmentierung durchgeführt. Dies beeinträchtigt die Performance und sollte verhindert werden. Aus diesem Grund empfehlen wir gemäss nachfolgenden Link im WTP Profile dies zu berücksichtigen resp. eine Fragmentierung zu verhindern:


         [[FortiAP:FAQ#Welche_Befehle_k.C3.B6nnen_auf_einem_FortiAP_OS_ben.C3.BCtzt_werden.3F]]
         [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]


== Divers ==
Grundsätzlich kann die "Network Configuration" eines Forti Access Point auch auf "Static" gesetzt werden dh. Ein Forti Access Point ist per Standard mit "DHCP" konfiguriert und sollte unter normalen Umständen so konfiguriert sein. Möchte man jedoch für das "wan" Interface des Forti Access Point eine statische IPv4 Adresse vergeben kann dies über Mgmt. Web Interface oder CLI durchgeführt werden. Für eine Konfiguration über CLI lokal auf dem Forti Access Point stehen folgende Konfigurationspunkte zur Verfügung:
           
        # cfg -a AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
        # cfg -a AP_NETMASK=255.255.255.0                                          [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
        # cfg -a IPGW=192.168.1.1                                                  [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
        # cfg -a AP_MODE=0                                                          [0 (Thin AP)] | 2 (Site Survey)]
        # cfg -a DNS_SERVER=208.91.112.53                                          [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
        # cfg -a BAUD_RATE=9600                                                    [Geschwindigkeit der Console; Standard 9600]
        # cfg -a ADDR_MODE=DHCP                                                    [IP Adressierungs Mode dh. DHCP oder STATIC]
       
        # cfg -c                                                                    [Speicher Konfiguration in das Flash]
        # cfg -s                                                                    [Liste die Konfiguration auf]


=== Wie kann ich auf eine einfache Art bei Performance Problemen Messungen durchführen? ===
        '''DHCP Konfiguration (Default):'''
       
        [[Datei:Fortinet-702.jpg]]


Um in einem Netzwerk sei es WiFi oder Ethernet ist es ratsam eine kleine Client -> Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre '''NetIO''':
        '''Static Konfiguration:'''
 
       
         http://www.ars.de/ars/ars.nsf/docs/netio
         [[Datei:Fortinet-703.jpg]]


Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit '''-s''' der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab die danach ausgewertet werden. Ein Scenario wäre zB:
Damit die Anfragen des Forti Access Point auf den FortiGate Wireless Controller beantwortet wird, muss CAPWAP auf der FortiGate für das "wan" Interface aktiviert werden:


         '''Windows Client --> Windows Server'''
         System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]
          
          
         Windows Server:
         [[Datei:Fortinet-784.jpg]]
        Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
        Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
          
          
         C:\netio131>win32-i386.exe -s
Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP-5246 auf dem "wan" Interface erlaubt. Die "Local-In" Policy erlaubt den UDP-5246 Traffic von jeder Source dh. soll diese eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel:
          
           
         Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein anderer Port definiert werden.
            [[FortiGate-5.0-5.2:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F]]
          
 
         Windows Client:
Wenn nun der Forti Access Point in einer Remote Lokation zB zu Hause benutzt wird so wird folgendes durchgeführt:
         Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
 
         Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
        1. Verbinde das "wan" Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.
          
         
         C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
        2. Dem Forti Access Point wird über DHCP auf das "wan" Interface eine IPv4 Adresse zugewiesen oder das "wan" Interface wurde
          
          mit einer LAN IPv4 Adresse aus dem Segment/Subnet statisch konfguriert.
         Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls  
         
         angegeben werden mit -b. Weitere Optionen sind:
        3. Uber das "wan" Interface werden CAPWAP (UDP-5246) Anfragen an die definierte IPv4 Adresse und/oder FQDN an das "wan"
          
          Interface des FortiGate Devices gesendet.
         Usage: netio [options] [<server>]
         
          
        4. Da CAPWAP auf dem FortiGate "wan" Interface aktiviert wurde und somit die CAPWAP Anfragen vom FortiGate Wireless Controller
           -s            run server side of benchmark (o
          beantwortet werden, erscheint auf dem FortiGate Device unter "Managed Access Point" der entsprechende Forti Access Point:
           -b <size>[k]  use this block size (otherwise
         
           -B -K -M -G  force number formatting to Byte
          WiFi Controller > Managed Access Points
          
         
           -t            use TCP protocol for benchmark
        5. Dem Forti Access Point kann nun das entsprechendes WTP Profile zugewiesen werden.
           -u            use UDP protocol for benchmark
 
           -h <addr>    bind TCP and UDP servers to thi
Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende WTP Profile sowie auf dem Forti Access Point selber durchgeführt werden:
                         (default is to bind to all loca
 
           -p <port>    bind TCP and UDP servers to thi
        '''FortiGate WTP Profile'''
          
       
           <server>      If the client side of the bench
        [[Datei:Fortinet-705.jpg]]
                         a server name or address is req
 
          
        '''Forti Access Point'''
         The server side can run either TCP (-t) or UDP
       
         (default, if neither -t or -u is specified). Th
        [[Datei:Fortinet-706.jpg]]
         these protocols only (must specify -t or -u).
 
 
Wenn man einer der Remote Forti Access Point's einsetzt dh. FAP-11C, FAP-14C sowie FAP-28C hat man nun die Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Bei der Konfiguration des internent Switches/Hubs ist jedoch folgendes zu berücksichtigen: Ein Port eines Switches kann mit "bridge to SSID" auf die SSID konfiguriert werden. Dies bedeutet: Wenn ein Client/Host sich per RJ-45 auf diesen Port verbindet, wird diesem über den konfigurierten DHCP Server der SSID eine IPv4 Adresse zugewiesen. Wenn dies geschieht, wird keine Authentifizierung für die SSID ausgeführt! Um zB eine Security auf diesen Switch Port für "bridge to SSID" zu konfigurieren, kann der DHCP Server auf "block" gesetzt werden und somit werden vom DHCP Server nur IPv4 Adressen den Clients/Host zugewiesen, wenn diese mit deren MAC Adressen im DHCP Server konfiguriert wurden. Dies wird folgendermassen für den DHCP Server der SSID konfiguriert:
         '''Windows Client --> Linux Server'''
 
          
      # config system dhcp server
         Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
      # edit [Wähle den entsprechenden Integer für den DHCP Server der SSID zB "1"]
         Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
      # set mac-acl-default-action [assign | block]
         File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
      # config reserved-Adresse
         zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
      # edit [Setze einen entsprechenden Integer zB "1"]
          
      # set ip [IPv4-Adresse für IP Reservation]
         #./linux-i386 -s
      # set mac [MAC-Adresse Defintion für IP Reservation]
          
      # set action [assign | block | reserved]
         NETIO - Network Throughput Benchmark, Version 1.30
      # end
         (C) 1997-2008 Kai Uwe Rommel
      # end
          
 
         UDP server listening.
Eine andere Variante ist auf dem Interface der SSID (nicht für die SSID Konfiguration) ein "Captive Portal" zu aktivieren dh. wenn dies geschieht, muss sich der Client/Host in jedem Fall auf dem "Captive Portal" des Interface zuerst authentifizieren bevor er Zugriff erhält. Wie die einzelnen Switch/Hub Ports zu konfigurieren sind siehe nachfolgender Artikel:
         TCP server listening.
 
         TCP connection established ...  
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Remote_Forti_Access_Points_FAP-11C.2C_FAP-14C_und_FAP-28C_die_Switch_Ports_konfigurieren.3F]]
         Receiving from client, packet size  1k ...  1364.51 KByte/s
 
         Sending to client, packet size  1k ...  803.63 KByte/s
Desweiteren ist zu berücksichtigen, dass der Traffic des Client/Host der sich über einen Switch/Hub Port der anhand "bridge to SSID" konfiguriert wurde, unweigerlich über CAPWAP zum FortiGate Wireless Controller gesendet wird da die SSID anhand "Tunnel to Wireless Controller" konfiguriert wurde. Möchte der Client/Host jedoch lokale Resourcen ebenfalls erreichen kann ab FortiOS 5.2 ein "Splitt Tunneling" konfiguriert werden. Dies erlaubt einen bestimmten IPv4 Range/Subnet am CAPWAP Tunnel vorbei zu routen. Wie dies konfiguriet wird siehe nachfolgender Artikel:
         Receiving from client, packet size  2k ...  1473.31 KByte/s
 
         Sending to client, packet size  2k ...  645.55 KByte/s
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]
         Receiving from client, packet size  4k ...  1452.13 KByte/s
 
         Sending to client, packet size  4k ...  640.69 KByte/s
Wenn die konfigurierte SSID auf einem Forti Access Point die ebenfalls für die Switch/Hub Ports benutzt wird um "bridge to SSID" zu konfigurieren nicht benötigt wird dh. Client/Hosts die SSID für einen Wireless Zugriff nicht benötigen, sollte diese deaktiviert werden. Dies kann nach Abschluss der Konfiguration im entsprechenden WTP Profile konfiguriert werden in dem der entsprechende "radio" komplett deaktiviert wird!
         Receiving from client, packet size  8k ...  1120.63 KByte/s
 
         Sending to client, packet size  8k ...  716.57 KByte/s
=== Wieviel Bandbreite benötigt ein Forti Access Point für CAPWAP in einer Remote Verbindung? ===
         Receiving from client, packet size 16k ...  1506.04 KByte/s
 
         Sending to client, packet size 16k ...  658.24 KByte/s
Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP (UDP-5246) für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:
         Receiving from client, packet size 32k ...  1433.88 KByte/s
 
         Sending to client, packet size 32k ...  855.72 KByte/s
        • Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
        • Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
 
Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!
 
== LAN Port's / Switch ==
 
=== Wie kann ich für einen Remote Forti Access Points FAP-11C, FAP-14C und FAP-28C die Switch Ports konfigurieren? ===
 
Die Remote Forti Access Points wie FAP-11C, FAP-14C und FAP-28C werden mit einem kleinen Switch/Hub ausgeliefert! Bis FortiOS 5.0.4 sowie für Forti Access Points FortiOS 5.0.5 waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:
 
      '''Fuer die LAN Port Konfiguration gelten folgende Restriktionen:'''
     
      • Beim FortiAP-14C/25D können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration da es sich
        bei den Ports um ein Hub handelt!
     
      • Jeder Client/Host der sich über die LAN Ports verbindet gilt als Authentifiziert!
     
      • Dynamische VLAN Konfiguration für Client/Host die über die LAN Ports verbunden sind wird nicht unterstützt. Weitere Informationen
        zur Dynamischee VLAN Konfiguration siehe nachfolgender Artikel:
       
        [[FortiAP:FAQ#Kann_ich_f.C3.BCr_Forti_Access_Point_SSID.27s_.22Dynamische_VLAN.27s.22_vergeben_und_wie_konfiguriere_ich_diese.3F]]
     
      • RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
     
      • Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden. Dies gilt ab FortiOS 5.0.6
        und Forti Access Point FortiOS 5.0.7!
 
Die LAN Ports können sofern gewünscht komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden WTP Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:
     
      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
      # end
 
Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende Bedeutung:
           
            • offline              Der Port wird komplett deaktiviert!
            • bridge-to-wan        Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
            • bridge-to-ssid      Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
            • nat-to-wan          Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!
 
            '''Bridge to SSID'''
            Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein
            Client/Host über die LAN Ports, wird dem Client über den DHCP Server der für die SSID konfiguriert wurde, eine IPv4 Adresse zugewiesen.
            Der Traffic des Clients/Hosts, der sich am LAN Port verbindet, wird zum FortiGate Wireless Controller gesendet. Ein "local bridging"
            ist nicht möglich! Wireless Clients/Hosts die diese SSID benutzen sowie die Clients/Hosts die über den Switch Port verbunden sind, 
            können untereinander uneingeschränkt komunizieren. Es findet keine Authentifizierung auf den LAN Ports statt! Die Clients/Hosts, die
            über die LAN Ports in diesem Modus verbinden, sind über den folgenden Menüpunkt ersichtlich:
           
            WiFi Controller > Monitor > Client Monitor
           
            Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen: Auf dem Forti Access
            Point steht die DTLS Verschlüsselung per Standard auf "Clear Text oder "DTLS Enabled" dh. der Forti Access Point bietet beides an. Somit
            steuert der FortiGate Wireless Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
           
            [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]
 
            '''Bridge to WAN'''
            Es wird ein "bridge-to-wan" auf das "wan" Interface des Forti Access Point durchgeführt was folgendes bedeutet: Verbindet sich ein
            Client/Host über die Switch Ports, wird dem Client/Host über den DHCP Server sofern dieser im "wan" Segment existiert, eine IPv4
            Adresse zugewiesen. Wireless Clients/Hosts die über eine SSID auf dem Forti Access Point verbunden sind und Clients/Hosts die über
            die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Firewall Policy Rule auf
            der FortiGate konfiguriert wird die diesen Traffic erlaubt! Somit, wenn dies der Fall ist, wird der Traffic über die FortiGate
            Device dh. über CAPWAP abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!
           
            '''NAT to WAN'''
            Es wird ein "nat-to-wan" auf dem "wan" Port des Forti Access Point durchgeführt dh. die Source des Traffic vom LAN Port wird
            übersetzt (translated) anhand der IPv4 Adresse die auf dem "wan" Port existiert/konfiguriert wurde.
 
Die Konfiguration der Switch/Hub Ports kann ebenfalls über Mgmt. Web Interface durchgeführt werden und zwar unter folgender Position sofern es sich um ein WTP Profile eines Forti Access Points handelt der über einen Switch/Hub verfügt:
 
      WiFi Controller > WiFi Network > Forti/Custom AP Profiles
     
      [[Datei:Fortinet-964.jpg]]
 
Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:
 
      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port-ssid [Name der gewünschten SSID]
      # set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # end
      # set dtls-policy [ dtls-enabled | clear-text]
      # end
 
Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:
 
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F]]
 
=== Kann ich für einen Forti Access Points für dessen LAN Interfaces eine "Link Aggregation" konfigurieren? ===
 
Bis anhin war das nicht möglich. Neu ab FortiOS 5.4.1 ist eine Link Aggregation ausschliesslich für folgende Modelle möglich:
 
        • FAP-320B und 320C
 
        <span style="color:#ba0c2f">'''NOTE'''</span> Durch Fortinet Informationen wird ebenfalls explizit erwähnt, dass folgende Forti Access Points keine
            Link Aggregation unterstützen:
           
            • FAP-112B und FAP-112D
 
Diese Forti Access Point's verfügen über 2 Interfaces und diese können über die Shell des Forti Access Point als Link Aggregation konfiguriert werden. Wie man sich auf einen Forti Access Point über Telnet verbindet wenn dieser zB keine Mgmt. Console verfügt (RS-232) siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
Danach muss ein Login durchgeführt werden auf dem Forti Access Point:
 
      # execute [telnet | ssh] [IPv4 Adresse des Forti Access Point]
      FAP22B3U11011877 login: admin
     
      BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
      Enter 'help' for a list of built-in commands.
 
Für die Link Aggregation muss folgendes Kommando ausgeführt werden:
 
        # cfg -a WANLAN_MODE=AGGREGATE
 
Danach muss die Konfiguration geschrieben werden:
 
        # cfg -c
 
Um die geschriebenen Konfiguration auszulesen benutze:
 
        # cfg -s
 
== Sniffer ==
 
=== Kann ich einen Forti Access Point als Sniffer benutzen um den Traffic aufzuzeichnen (capture)? ===
 
Ja diese Möglichkeit existiert jedoch mit folgenden Einschränkungen:
 
        • Nur ein "radio" pro Aufzeichnung kann benutzt werden um den Sniffer auszuführen (capture)!
        • Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden!
        • Sniffer Mode wird für "radio" für 802.11ac nicht unterstützt (FortiOS 5.2.5 Bug ID 301726)!
 
Wenn ein "radio" für den Sniffer Mode konfiguriert wurde so wird lokal auf dem Forti Access Point ein File in folgendes Verzeichnis abgelegt:
 
        /tmp/wl_sniff.pcap
       
Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des Forti Access Point wird durchgeführt, so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none" Persistent Verzeichnis handelt. Aus diesem Grund muss das File vor einem Neustart per TFTP auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren benutze folgende Kommandos:
           
        # cd /tmp
        # ls
        wl_sniff.cap
       
        # tftp
       
        BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
        Usage: tftp [OPTIONS] HOST [PORT]
        Transfer a file from/to tftp server
       
        Options:
       
        -l FILE Local FILE
        -r FILE Remote FILE
        -g      Get file
        -p      Put file
             
Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:
           
        # tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IPv4 Adresse des TFTP Servers] 69
 
Um einen Forti Access Point in den Sniffer Mode zu versetzen, muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:
 
        # config radio-1
        # set mode disabled
        # end
        # config radio-2
        # set mode sniffer
        # set ap-sniffer-bufsize 32
        # set ap-sniffer-chan 1
        # set ap-sniffer-addr 00:00:00:00:00:00
        # set ap-sniffer-mgmt-beacon enable
        # set ap-sniffer-mgmt-probe enable
        # set ap-sniffer-mgmt-other enable
        # set ap-sniffer-ctl enable
        # set ap-sniffer-data enable
        # end
        # end
 
Durch die nachfolgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:
           
        ap-sniffer-add      Definiert einen spezifischen Client/Host anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
        ap-sniffer-chan      Definiert einen spezifischen "channel"
 
Sobald die Konfiguration durchgeführt wurde, ist diese über Mgmt. Web Interface der FortiGate ersichtlich:
 
        [[Datei:Fortinet-699.jpg]]
 
Wenn nun das entsprechende WTP Profile in dem der Sniffer Mode aktiviert wurde einem Forti Access Point zugewiesen wird, so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI lokal auf dem Forti Access Point verifiziert werden:
 
        # iwconfig
 
Durch diesen Befehl werden die entsprechenden lokalen Interfaces des Forti Access Point aufgelistet und das entsprechende Interface ist im "monitor" Mode:
 
        Mode: Monitor
 
== Authentication ==
 
=== Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine "WPA2-Enterprise" Authentifizierung? ===
 
Wenn man für Wireless Clients/Hosts eine Authentifizierung implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme! Speziell wenn die Authentifizierung über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Wireless Client/Host zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung der Passwörter vers. "password hashing schemas" die jedoch nicht kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muesste der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn kein OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte, so ist die bevorzugte Variante eine Radius Server zu implementieren. Diese "Radius Authentication" verifiziert die Credentials des Wireless Clients/Hosts über den Radius Server im Active Directory. Durch diese Art der Authentifizierung wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Wireless Client/Host aus eine Verifizierung des Radius Servers erfolgt, sollte/kann dieser Radious Server anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Trusted CA) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich für die Verifizierung des Radius Servers. Als Radius Server können vers. Produkte eingesetzt werden! Die bevorzugte Variante ist anstelle eines Windows 2008 Server den Fortinet Radius Server zu benutzen resp. den FortiAuthenticator. Weitere Informationen zum FortiAuthenticator findet man unter folgenden Link:
 
        [[FortiAuthenticator:FAQ]]
 
Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers basierend auf Windows 2008 Server:
 
        [[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf]]
        [[Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf]]
 
Um die Radius Server Verbindung auf einem FortiGate Device zu troubelshooten resp. einzusehen siehe nachfolgenden Artikel:
 
        [[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]
 
=== Wie konfiguriere ich für Forti Access Points eine Authentifizierung für Public HotSpot der Swisscom ? ===
 
Nun ein Public HotSpot der Swisscom kennt grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:
 
        '''Alte Variante SSID Hot Spot Swisscom'''
       
        • SSID          MOBILE              (Authentication "Open")
        • SSID          MOBILE-EAPSIM      (Authentication "WPA2-Enerprise" / Radius Port 1645)
 
        '''Neue Variante SSID Hot Spot Swisscom'''
       
        • Swisscom                (Vorher MOBILE)
        • Swisscom_Auto_Login      (Vorher MOBILE-EAPSIM)
 
Die Schreibweise der alten/neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten Zeit lanciert werden benützen bereits die neuen SSID's und nicht mehr die alten!
 
        '''SSID: MOBILE/Swisscom'''
       
        Mit der SSID MOBILE oder Swisscom wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu
        gelangen. Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese
        SSID aufruft wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom
        Login etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten
        Arten wie zB Kreditkarte, Swisscom Login usw.
 
        '''SSID: MOBILE-EAPSIM/Swisscom_Auto_Login'''
       
        Die SSID MOBILE-EAPSIM oder Swisscom_Auto_Login steht ausschliesslich Swisscom Kunden zur Verfügung. Wenn der Kunde
        diese SSID aufruft, wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius
        Authentifizierung durchgeführt. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting
        durchzuführen.
 
Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE oder Swisscom" sowie "MOBILE-EAPSIM oder Swisscom_Auto_Login" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. Im Beispiel werden nur die alten SSID aufgeführt jedoch sollten die neuen hinzugefügt werden. In unserem Beispiel existiert ein dedizierter Port (port2) der exklusiv für die Swisscom Verbindung benutzt wird und deren Segment darstellt. Nachfolgend einen Ueberblick über das Environment der Swisscom für unser Beispiel:
 
        [[Datei:STUE_WSTA.pdf]]
        [[Datei:STUE_WLS.pdf]]
 
Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM oder Swisscom_Auto_Login Authentifizierung einen Radius Server. Erstelle diesen unter:
 
        User > Remote > RADIUS
 
        [[Datei:Fortinet-315.jpg]]
 
Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server konfiguriert. Dies bedeutet: in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem Verantwortlichen der Swisscom mitgeteilt werden, in welcher Art und Weise die MAC Adresse übermittelt wird um die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen. Diese bdeutet wiederum:
 
        • Standard Format Beispiel: 0000.4096.3e4a
        • Unformatiert Beispiel:    000040963e4a
 
Der Swisscom Radius Server in unserem Beispiel arbeitet noch mit dem "old radius port" dh. nicht mit TCP Port 1812 sondern mit TCP Port 1645. Eine FortiGate benützt per Standard TCP Port 1812 und somit muss dieser umkonfiguriert werden auf TCP Port 1645:
           
        # config system global
        # get | grep radius-port
        # set radius-port 1645
        # get | grep radius-port
        # end
               
Um die Radius Server Konfiguration/Anbindung zu überprüfen siehe nachfolgender Artikel:
           
        [[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F]]
 
Für die Konfiguration der SSID "MOBILE oder Swisscom" und "MOBILE-EAPSIM oder Swisscom_Auto_Login" gehe folgendermassen vor: Als Erstes erstelle die SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM / Swisscom_Auto_Login" unter folgendem Punkt:
       
        WiFi Controller > WiFi Network > SSID
 
        [[Datei:Fortinet-310.jpg]]
       
Die IPv4 Adresse plus Subnet 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IPv4 Adresse wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:
           
        System > Network > Interface
 
        [[Datei:Fortinet-311.jpg]]
       
Die IPv4 Adresse plus Subnet 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:
           
        System > Network > Interface
 
Nun erstelle ein WTP Profile in dem die zwei/vier SSID's hinzugefügt werden:
 
        WiFi Controller > Manage Access Points > Custom AP Profile
       
        [[Datei:Fortinet-312.jpg]]
       
Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei/vier SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM und Swisscom_Auto_Login" unter SSID den entsprechenden "radio's" hinzu! Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein seperates Interface auf einer Fortigate sowie einen DHCP Server auf diesem Interface, dass den Forti Access Point für das Management über den DHCP Server die entsprechende IPv4 Adresse vergibt. In unserem Beispiel haben wir ein dezidiertes Forti Access Point Interface dh. "port1":
 
        System > Network > Interface
 
        [[Datei:Fortinet-313.jpg]]
 
Erstelle den dazugehörigen DHCP Server der entsprechenden IPv4 Adressen vergibt für das Management der Forti Access Points:
 
        System > Network > [Interface] > DHCP Server
 
        [[Datei:Fortinet-314.jpg]]
 
Nun kann der Forti Access Point an "port1" resp. in diesem IPv4 Segment angeschlossen werden! Damit ein Forti Access Point mit dem FortiGate Wireless Controller komunizieren kann muss CAPWAP (UDP-5246) anhand Broadcast, Multicast sowie Unicast auf diesem Segmment über die Switches erlaubt werden. Nun muss das vorhergehende WTP Profil "Swisscom-HotSpot" auf den entsprechenden Forti Access Points hinzugefügt werden:
 
        WiFi Controller > Manage Access Points > Manage FortiAP
 
Sobald der Forti Access Point ersichtlich ist, Doppelklicke den Eintrag dieses Forti Access Point und wähle:
 
        Authorize
 
Nun kann unten das entsprechende WTP Profile geladen werden dh. "Swisscom-HotSpot". Wenn das entsprechende WTP Profile dem Forti Access Point zugewiesen wird dauert es ca. 3 - 4 Minuten bis dieser Forti Access Point wiederum mit dem geladenen WTP Profile erscheint! Im Grundsatz sind die Forti Access Point nun konfiguriert und einsatzbereit. Jedoch die angemeldeteten Wireless Clients/Hosts müssen vom DHCP Server der Swisscom eine IPcv4 Adresse zugewiesen bekommen. Bei "MOBILE und Swisscom" geschieht dies "ohne" eine Authentifizierung (Open). Bei "MOBILE-EAPSIM und Swisscom_Auto_Login" wird erst eine IPv Adresse vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's einen DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und Swisscom sowie MOBILE-EAPSIM / Swisscom_Auto_Login. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:
 
        • SSID MOBILE / Swisscom                    (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
        • SSID MOBILE-EAPSIM / Swisscom_Auto_Login  (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
 
        System > Network > [Interface] > DHCP Server
       
        [[Datei:Fortinet-316.jpg]]
 
        [[Datei:Fortinet-317.jpg]]
 
Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment/Subnet konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE / Swisscom und MOBILE-EAPSIM / Swisscom_Auto_Login Authentifizieren sich in diesem Segment, beziehen die IPv4 Adresse sowie browsen über dieses Segment. Dies bedeutet: sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir eine Policy Route im Layer 4 die vor dem normalen Routing Layer 3 greift:
 
        Router > Static > Policy Route
       
        [[Datei:Fortinet-318.jpg]]
 
        [[Datei:Fortinet-319.jpg]]
 
Damit die IPv4 Adresse des Radius Server "129.132.254.70" ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:
 
        Router > Static > Static Route
       
        [[Datei:Fortinet-320.jpg]]
 
Nun fehlt nur noch die Firewall Policy Rule:
 
        [[Datei:Fortinet-321.jpg]]
 
        [[Datei:Fortinet-322.jpg]]
 
Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Interface (port2) einen Sniffer über die Console laufen zu lassen:
 
        # diagnose sniffer packet port2
Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":
 
        4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
        4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
        4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
        4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
        4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
        4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
        4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
        4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
        4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
 
Für das bessere Verständnis Folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM / Swisscom_Auto_Login auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies: Auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):
 
        [[Datei:Fortinet-323.jpg]]
 
=== Wie erstelle ich für einen Forti Access Point ein sicheres WLAN Passwort und was ist dabei zu beachten? ===
 
Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Forti Access Point mindestens WPA2 konfiguriert sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Ebenso Wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares Paswwort zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist, wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste Variante. Allerdings können dann in dieser Variante auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren".  Wenn einem das Passwort nicht zusagt, klicken abermals um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Forti Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.
 
=== Wie kann ich für eine Forti Access Point SSID ein lokales "Captive Portal" konfigurieren? ===
 
Ein "Captive Portal" kann dann konfiguriert/benutzt werden, wenn der Traffic der Wireless Clients/Hosts über CAPWAP (UDP-5246) zum FortiGate Wirless Controller übermittelt wird. Dies bedeutet: Ein "Captive Portal" kann nicht benutzt/konfiguriert werden, wenn für eine SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum FortiGate Wireless Controller übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement (Local Break-Out). Ein "Captive Portal" wird über folgende Position im Mgmt. Web Interface der FortiGate konfiguriert:
 
        WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal
 
        [[Datei:Fortinet-1294.jpg]]
 
Neu ab FortiOS 5.2 stehen im Zusamenhang mit dem "Captive Portal" neue Funktionen zur Verfügung! Speziell sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der Position "Authentication Portal" kann nun neu ab FortiOS 5.2 auch ein externes Portal dh. das sich nicht auf der FortiGate befindet, benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt  List" von der "regulären Gruppe" (User Groups) Ausnahmen definiert werden! Diese "Exempt List" kann jedoch nur verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID benutzt wird. Weitere Informationen betreffend der Benutzung sowie Konfiguration eines externen "Captive Portals" siehe nachfolgenden Artikel:
           
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_externes_.22Captive_Portal.22_konfigurieren.3F]]
           
        [[Datei:Fortinet-1295.jpg]]
           
Um ein "Captive Portal" innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:
           
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set security captive-portal
        # set portal type [auth | auth+disclaimer | disclaimer | email-collect]
        # set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
        # end
        # end
           
Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" definiert werden. Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich nicht anmelden müssen über das "Captive Portal" dh. diese können sich ohne Authentifizierung und ohne "Captive Portal" sowie "Disclaimer" verbinden! Die "Excempt List" wird folgendermassen konfiguriert:
           
        # config user security-exempt-list
        # edit [Name der Liste
        # config rule
        # edit [Vergebe einen entsprechenden Integer zB 1]
        # set description [Bezeichnung der Liste Optional]
        # set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
        # set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
        # end
        # end
        # end
 
=== Wie kann ich für eine Forti Access Point SSID ein externes "Captive Portal" konfigurieren? ===
 
Unter folgenden Artikel sind sind die Möglichkeiten eines "Captive Portals" beschrieben:
 
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]
 
Wie in diesem Artikel beschrieben, ist es möglich ab FortiOS 5.2.3 ein externes "Captive Portal" zu benutzen anstelle des FortiGate "Captive Portals". Dies sollte dann benutzt werden, wenn das FortiGate "Captive Portal" nicht die HTML/Web Konfiguration zulässt die für das "Captvie Portal" notwendig ist wie zB Dynmaischer Inhalt der Seite usw. da solche Inhalte in den "Replacement Message" Page auf einer FortiGate nicht konfiguriert werden können. Nachfolgend wird gezeigt wie so ein Workflow eines externen "Captive Portal" aussieht:
 
        '''L3 External Web Authentication Workflow'''
       
        [[Datei:Fortinet-1365.jpg]]
       
In diesem "Workflow" wird ein Beispiel gezeigt im Zusammenhang mit Radius Server dh. zB einem FortiAuthenticator. Dies bedeutet: Ab dem Zeitpunkt "Submit login form (username, password) via a POST method to FGT" werden die entsprechenden Login Informationen zur FortiGate übermittelt und verarbeitet. Ob nun ein Active Directory auf der FortiGate konfiguriert wurde oder Lokale User ist irrelevant dh. Wichtig ist das die entsprechenden Informationen anhand "POST methode" der FortiGate übermittelt werden!
 
        '''Konfiguration der SSID mit der Definition des external Captive Portal"'''
       
        Als Erstes muss eine entsprechende SSID konfiguriert werden. Inerhalb dieser SSID wird das external Captive Portal
        gewählt mit dessen IPv4 Adresse sowie URL Path. Ebenso muss eine entsprechende Gruppe definiert werden in der sich
        die User befinden oder auf einen zB Radius Server (FortiAuthenticator) verwiesen wird:
       
        [[Datei:Fortinet-1366.jpg]]
       
        Für die definierte Gruppe kann ebenfalls eine "Exempt List" definiert werden. Weitere Informationen wie diese zu
        konfigurieren ist siehe nachfolgenden Artikel:
           
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F]]
           
        Wenn die Konfiguration der SSID auf der Kommandozeile durchgeführt werden soll benutze folgende Befehle:
           
        # config wireless-controller vap
        # edit [Name der SSID]
        # set vdom [Name der VDOM per Standard "root"]
        # set ssid [Name der SSID]
        # set security captive-portal
        # set selected-usergroups [Name der Gruppe für die Authentifizierung]
        # set security-exempt-list [Name der "Exempt List"]
        # set security-redirect-url  [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
        # set intra-vap-privacy enable
        # set local-switching disable
        # set external-web [IPv4 Adresse sowie URL Path zum external Captive Portal zB nach unserem Beispiel "192.168.234.51/portal.php"]
        # next
        # end
       
        Wenn die Option "security-redirect-url" nicht gesetzt ist resp. keine entsprechende URL konfiguriert wurde, wird
        die "Orginal Anfrage" des Users ausfgeführt anstelle des "redirect's". Die "Exempt List" Definition erlaubt "ohne
        Authentifizerung" auf das externe "Captive Portal" zu zugreifen. Für die Option "security-exempt-list" ist folgendes
        auszuführen:
       
        # config user security-exempt-list
        # edit [Name der "Exempt List"]
        # config rule
        # edit 1
        # set devices [Name der Devices zB "ip-phone"]
        # next
        # edit 2
        # set srcaddr [Name des Objektes der Source Adressen zB der SSID des "externen" Captive Portals]
        # next
        # end
        # next
        # end
       
        Wenn die Option "external-web" nicht gesetzt wird so wird das "Captive Portal" der FortiGate aufgerufen. In der
        Option "external-web" muss nicht explizit http oder https aufgeführt werden da http und/oder https über das
        folgendende Kommando gesteuert wird:
       
        # config user setting
        # set auth-secure-http [disable | enable]
        # end
                 
        Die Option "auth-secure-http" ist per Standard mit "disable" konfiguriert dh. der User wird der ein "http" Anfrage
        ausführt für eine Authentifizierung wird "nicht" auf "https" weitergeleitet (redirect)!
 
        '''Konfiguration der Firewall Policy Rule für den Zugriff auf das externe "Captive Portal"'''
       
        Nun muss eine sogenannte "Walled Garden Policy" erstellt werden. Dies bedeutet folgendes: In der nachfolgend
        Firewall Policy Rule wird erlaubt, dass User die verbunden sind mit der SSID des externen "Captive Portals"
        sich ohne Authentifizierung zu diesem externen "Captive Portal" verbinden dürfen um eine Authentifizierung
        durchzuführen. Die Option "captive-protal-exempt enable" ermöglicht dies obwohl eine SSID konfiguriert ist
        mit einer Authentifizierung:
       
        # config firewall address
        # edit [Name des Objekts für die IPv4 Adresse des "external" Captive Portal zB "web-portal-192.168.234.51"]
        # set subnet 192.168.234.51 255.255.255.255
        # next
        # end
       
        # config firewall policy
        # edit [Vergebe einen entsprechender Integer für die Policy]
        # set srcintf [Name der SSID für das "externe" Captive Portal]
        # set dstinf [Name des Interface hinter der sich der "externe" Captive Portal befindet]
        # set srcaddr "all"
        # set dstaddr [Name des Objektes für das "externe" Captive Portal zB "web-portal-192.168.234.51"]
        # set action accept
        # set schedule "always"
        # set service "ALL"
        # set caprive-portal-exempt enable
        # next
        # end
 
Die Grundkonfiguration für den Zugriff für das externe "Captive Portal" ist nun gegeben. In der SSID wurde das externe "Captive Portal" mit dessen IPv4 Adresse und URL konfiguriert. In unserem Beispiel ist das:
 
        192.168.234.51/portal.php
 
Das File "portal.php das unser externes "Captive Portal" darstellt, muss nun die entsprechende HTML/PHP Konfiguration beinhalten um den "Method POST" durchzuführen. Nachfolgend ein Beispiel des Inhaltes ein entsprechendes "portal.php":
 
      --------------- portal.php ---------------
     
      <nowiki><?php
     
      define('login', 'login');
      define('success', 'auth=success');
      define('fail', 'auth=failed');
      define('logout', 'logout=ok');
     
      function getLeft($urlstring, $key)
      {
      $key_pos = strpos($urlstring, $key);
      return substr($urlstring, 0, $key_pos);
      }
     
      function getRight($urlstring, $key)
      {
      $key_pos = strpos($urlstring, $key);
      return substr($urlstring, $key_pos);
      }
     
      $myqury = $_SERVER['QUERY_STRING'];
      $auth_string = 'fgtauth';
      $magic = 'magic=';
      $needle = '&';
      $fgt_post = "post=";
     
      if (stristr($myqury, login)) {
      $pos = strpos($myqury, $fgt_post);
      if ( $pos > 0 ) {
      $start = $pos + strlen($fgt_post);
      $fgt_url = substr($myqury, $start);
      $post_url = getLeft($fgt_url, $auth_string);
      $other_var = getRight($fgt_url, $magic);
      $magic_pair = getLeft($other_var, $needle);
      $magic_id = substr($magic_pair, strlen($magic));
     
      $pre_act ='<table width="300" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
      <tr>
      <form name="form1" method="post" action=';
      $post_act = '>
      <td>
      <table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
      <tr>
      <td colspan="3"><strong>Test Login</strong></td>
      </tr>
      <input type="hidden" name="magic" value=';
      $post_magic = '>
      <tr>
      <td width="78">Username</td>
      <td width="6">:</td>
      <td width="294"><input name="username" type="text" id="username">
      </td>
      </tr>
      <tr>
      <td>Password</td>
      <td>:</td>
      <td><input name="password" type="text" id="password"></td>
      </tr>
      <tr>
      <td>&nbsp;</td>
      <td>&nbsp;</td>
      <td><input type="submit" name="Submit" value="Login"></td>
      </tr>
      </table>
      </td>
      </form>
      </tr>
      </table>';
      $login_form = $pre_act . $post_url . $post_act . $magic_id . $post_magic;
      echo $login_form;
      } else {
      echo "login command without post url";
      }
      }
     
      $mycmd = strtolower($myqury);
     
      switch($mycmd) {
      case success:
      echo "here is success page";
      break;
      case fail:
      echo "here is fail page";
      break;
      case logout:
      echo "here is logout page";
      break;
      }
     
      ?></nowiki>
     
      --------------- portal.php ---------------
 
Der letzte Schritt der Konfiguration der nun vollzogen werden muss, ist was durchgeführt werden soll wenn die Authentifizierung auf dem externen "Captive Portal" erfolgreich durchgeführt wurde. Dabei gibt es zwei Möglichkeiten:
 
        1. In der SSID ist die folgende Option gesetzt:
         
          # config wireless-controller vap
          # edit [Name der SSID]
          # set vdom [Name der VDOM per Standard "root"]
          # set security-redirect-url  [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
          # end
         
          Wenn diese Option benutzt wird so wird der User automatisch nach einer erfolgreichen Authentifizierung zu dieser konfigurierten
          "security-redirect-url" weitergeleitet und es benötigt keine zusätzliche Konfiguration!
 
        2. In der SSID ist die Option "security-redirect-url" nicht gesetz:
         
          In so einer Situation wird die Orginal URL benützt die der User zu Beginn benutzt hat. Damit der User nach einer erfolgreichen
          Authentifizierung zu dieser orginal URL weitergeleitet wird, muss die entsprechende "Replacement Message" Group konfiguriert
          werden. Diese "Replacment Message" Groups arbeiten mit "tags" die dies ermöglichen. Nachfolgend ein Beispiel das für unsere
          Konfiguration benützt werden kann:
         
          # config system replacemsg auth "auth-success-page"
              set buffer "<html>
            <head>
              <title>
                Firewall Authentication
              </title>
            </head>
            <body>
              If JavaScript is not enabled, please
              <a href=\"%%AUTH_REDIR_URL%%\">
                click here
              </a>
              to continue.
              <script language=\\\"JavaScript\\\">
                window.location=\\\"%%AUTH_REDIR_URL%%?usermac=%%USER_MAC%%&apmac=%%AP_MAC%%&apip=%%AP_IP%%&userip=%%USER_IP%%&device_type=%%DEVICE_TYPE%%&continueURL=%%PROTURI%%&portalAddr=%%PORTAL_ADDR%%&redirectURL=%%AUTH_REDIR_URL%%\\\";
              </script>
            </body>
          </html>"
          end
 
Weitere Informationen zu den "Replacement Message" Groups siehe auch nachfolgender Artikel:
 
        [[FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F]]
 
=== Wie kann ich für einen Forti Access Point Traffic für ein "Captive Portal" ohne Authentifizierung erlauben? ===
 
Ein User der eine Anfrage für eine bestimmte Domaine/Zieladresse durchführt, wird automatisch beim ersten Aufruf dieser Domain/Zieladresse zum entsprechenden "Captive Portal" - das für die entsprechende SSID konfiguriert wurde - weitergeleitet. Nachdem der User sich korrekt auf dem "Captive Portal" authentifiziert hat, wird die Anfrage des Users für die Domaine ausgeführt. Wenn man nun für eine bestimmte Domaine/Zieladresse keine Authentifizierung über das "Captive Portal" benützen möchte dh. wenn der User diese Domaine/Zieladresse aufruft, wird dieser direkt "ohne Authentifizierung auf dem Captive Portal" direkt zur entsprechender Domaine/Zieladresse weitergeleitet. Um dies zu konfigurieren muss eine bestimmte Policy erstellt werden und in dieser die Option "captive-portal-exempt" aktiviert werden. Diese Option steht ab FortiOS 5.2 zur Verfügung. Um die Konfiguration durchzuführen führe folgendes aus:
 
        '''Erstellen eines Objektes für Domaine die erlaubt werden soll'''
       
        # config firewall address
        # edit "also.com"
        # set type fqdn
        # set fqdn "also.com"
        # next
        # end
 
        '''Erstellen der Firewall Policy und Aktivierung der Option'''
       
        # config firewall policy
        # edit
        # set srcintf "[Name der SSID auf dem ein Captive Portal konfiguiert wurde]"
        # set dstintf "wan1"
        # set srcaddr "all"
        # set dstaddr "[Name des Adresss Objektes das wir erstellt haben zB "also.com"]"
        # set action accept
        # set schedule "always"
        # set service "[Gebe den entsprechenden Service an zB HTTP]"
        # set captive-portal-exempt enable
        # set nat enable
        # next
        # end
 
=== Wird für eine Forti Access Point SSID Radius Server Authentifizierung die Funktion "Accounting" unterstützt? ===
 
Wenn ein zB WPA2-Enterprise Authentifizierung über Radius Server für eine SSID konfiguriert wird so wir Radius "Accounting" ab FortiOS 5.2 unterstützt. Bei der Radius "Accounting" Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IPv4 Adresse sowie Usernamen zum Radius Server übermittelt. Wenn Radius "Accounting" auf dem Radius Server benutzt wird, beginnt nach einer erfolgreichen Authentifizierung eine interne "Zurechnung". Diese interne "Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server, sendet dieser dem zuständigen Device zB der FortiGate eine "Accounting" Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei Wireless HotSpot's wie Swiccom benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt keine Radius Server "Accounting" Funktion. Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:
 
        http://de.wikipedia.org/wiki/RADIUS_(Protokoll)
 
Um eine Radius Server "Accounting" Funktion seitens FortiGate zu konfigurieren muss folgendes durchgeführt werden:
 
        # config user radius
        # edit [Gebe den entsprechenden Namen ein]
        # config accounting-server
        # edit 1
        # set status enable
        # set server [IPv4 Adresse des Radius Servers]
        # set secret [Definition des Preshared Secrets]
        # end
        # set acct-interim-interval [Zeitintervall in Sekunden 600 - 86400 Sekunden]
        # end
 
Durch diese Konfigurtion sendet die FortiGate dem Radius Server Update Benachrichtigungen betreffend dem "Accounting" durch die konfigurierte "acct-interim-interval" Funktion! Durch die Konfiguration "acct-interim-interval" wird im Hintergrund auf dem API des Radius Servers folgende Information dem Radius Server gesendet, der dieses API unterstüzen/verstehen muss:
 
        Acct-Interim-Interval=600
 
=== Wie wird für eine Forti Access Point SSID Authentifizierung einen MAC Filter (802.11x) Konfiguriert? ===
 
Praktisch jeder Wireless Access Point bietet die Möglichkeit den Zugang zur SSID einzuschränken anhand einer vordefinierten und eingetragener MAC-Adresse (Filter). Eine MAC Adresse (Media Access Control) ist ein 48-Bit lange Adresse im Hexadezimalcode. Jeder Netzwerk basierende Device ist mit einer solchen MAC Adresse ausgestattet und diese wird, um den Datenaustausch zu gewährleisten, über "arp request" zwischen den Devices ausgetauscht. Somit wäre diese MAC Adresse eigentlich eine gute Möglichkeit einen Zugriff einzuschränken jedoch ist folgendes zu berücksichtigen:
 
        Diese MAC Adresse wird nicht durch den Device selber einem Teilnehmer (Device) im Netzwerk weitergegeben sondern über das
        Betriebssystem. Somit ist es möglich die Information auf dem Betriebssystem zu verändern dh. manuell die Mac Adresse des
        Devices zu verändern. Dies ist auch bekannt als "MAC-Spoofing" (Vorgabe einer fingierten MAC Adresse). Um ein "MAC-Spoofing"
        durchzuführen muss man nur den Wireless Traffic sniffen (abhören), denn die Informationen des MAC Adressen Austausch (arp
        request) werden "clear-text" übertragen. Somit ist eine reine Authentifizierung basierend auf MAC Adressen absolut nicht zu
        empfehlen kann jedoch als zusätzliche Security Implementation konfiguriert werden!
 
Nichts desto trotz stellt jedoch eine MAC Adressen basierende Authentifizierung eine gute Möglichkeit dar, den Zugriff zusätzlich einzuschränken. Dabei kann zB der DHCP Server der SSID von "assign" auf "block" gesetzt werden. Dadurch vergiebt der DHCP Server nur IPv4 Adressen an Devices die im DHCP Server mit deren MAC Adressen eingetragen sind (MAC Adress Filer + IP Reservation). Im Zusammenhang mit einer WPA/WPA2 Authentifizierung kann somit durch dies Konfiguration eine zusätzliche Sicherheit gewährleisten werden. Zusätzlich kann ebenfalls eine "Device Authentification" durchgeführt werden dh. es werden nur Devices zugelassen wie zB IPhone's. Nachfolgendes Beispiel zeigt eine solche Erweiterung basierend auf MAC Adressen und Device Authentication. Basis dafür ist eine SSID basierend auf einer "wpa-personal" Authentifizierung. Diese Konfiguration kann jedoch mit jeglicher Authentifizierung durchgeführt werden:
 
        '''Erstelle eine neue SSID basierend auf "wpa2-only-personal":'''
       
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID zB "only4intern"]
        # set vdom "root"
        # set ssid [Name der entsprechenden SSID zB "only4intern"]
        # set intra-vap-privacy enable
        # set security [Setze die entsprechende Security für die SSID zB "wpa2-only-personal"]
        # set passphrase [Passwort für die "wpa-personal" Authentifizierung]
        # end
 
        '''Konfiguriere das Interface für die SSID:'''
       
        # config system interface
        # edit [Name der entsprechenden SSID zB "only4intern"]
        # set ip [IPv4 Adresse für das Interface der SSID zB "192.168.3.1 255.255.255.0"]
        # set allowaccess ping
        # set device-identification enable
        # end
 
        '''Definiere für das Interface der SSID eine DHCP Server basierend auf "block":'''
       
        # config system dhcp server
        # edit [Definiere einen entsprechenden Integer zB "5"]
        # set mac-acl-default-action [Setze den DHCP Server von "assign" auf "block"]
        # set dns-service default
        # set ntp-service default
        # set default-gateway [IPv4 Adresse für Default Gateway zB "192.168.3.1"]
        # set interface [Defniere das Interface für diesen DHCP Server zB "only4intern"]
        # set timezone-option default
        # set netmask [Konfiguriere die Subnet Mask für den IP Range des DHCP Servers zB "255.255.255.0"]
        # config ip-range
        # edit [Definiere einen entsprechenden Integer zB "0"]
        # set start-ip [Definiere die Start IPv4 Adresse des DHCP Servers zB "192.168.3.2"]
        # set end-ip [Definiere die End IPv4 Adresse des DHCP Servers zB "192.168.3.254"]
        # end
        # end
 
        '''Trage eine entsprechende MAC Adresse eines Device für den DHCP Server der SSID ein:'''
       
        # config system dhcp server
        # edit [Gebe einen entsprechenden Integer an zB "5"]
        # config reserved-address
        # edit [Gebe einen entsprechenden Integer an zB "0"]
        # set mac [Definiere die entspechende MAC Adresse zB "94:65:9c:74:47:c6"]
        # set ip [Definiere die IPv4 Adresse die der MAC Adresse zugewiesen werden soll zB "192.168.3.2"]
        # end
        # end
 
Da der DHCP Server von "assign" auf "block" gesetzt wurde, werden keine IPv4 Adressen durch den DHCP Server vergeben mit Ausnahme für Devices die anhand des "MAC Reservation + Access Control" definiert wurden. Diese Konfiguration kann ebenfalls über Mgmt. Web Interface durchgeführt werden für das entsprechenden Interface des FortiGate Devices dh.:
 
        System > Network > [Markiere den Eintrag des Interface der SSID] > Edit > DHCP Server > Advanced > MAC Reservation + Access Control > Create New
 
Unter dieser Positon existiert ein "Standard Eintrag" dh. "Unknown MAC Adresses Block" der zuständig ist das nur definierten MAC Adressen eine IP zugewiesen wird!
 
        '''Konfiguriere für den DHCP Server der SSID eine Device Authentication:'''
       
        # config user device-access-list
        # edit [Gebe einen Namen ein für die "device-access-list" zB "whitelist"]
        # set default-action deny
        # config device-list
        # edit [Gebe einen Integer ein zB "1"]
        # set device [Definiere den entsprechenden Device zB "iphone" (Für mehr Infos benütze "?"]
        # set action accept
        # next
        # end
        # end
       
        # config system interface
        # edit only4intern
        # set device-identification enable
        # set device-access-list [Konfiguriere die entsprechende "device-access-list" zB "whitelist"]
        # next
        # end
 
Ein Device und/oder eine Gruppe von Devices kann ebenfalls manuell definiert werden. Dies ist über Mgmt. Web Interface über folgenden Menüpunkt verfügbar:
 
        User & Device > Device > Device definition > Create New
 
Weitere Informationen beteffend "config user devcie-access-list" findet man auch unter folgenden Artikel:
 
        [[FortiGate-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_die_Device_Identification_Funktion_anhand_einer_Mac_Adresse_einen_Device_blocken_.28802.11x.29.3F]]
 
Somit kann nur der Device mit der MAC "94:65:9c:74:47:c6" der über ein "IPhone" verfügt und vom DHCP Server die IP Adresse "192.168.3.2" zugewiesen wurde über "wpa2-personal" anhand des entsprechenden "Passwortes" auf die SSID "only4intern" zugreifen. Obwohl eine relativ einfache Security anhand "wpa2-personal" gewählt wurde konnte durch zusätzliche Filter die Security erhöht werden.
 
== Wireless Health ==
 
=== Gibt es eine Möglichkeit die Forti Access Points über den FortiGate Wireless Controller zu überwachen (Health Monitor)? ===
 
Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate anhand SNMP überwachen. Die Möglichkeiten über SNMP die Forti Access Points zu überwachen sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die über den FortiGate Wireless Controller angeschlossenen Forti Access Points über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende "Widgets" für die Uberwachung zur Verfügung:
 
        WiFi Controller > Monitor
       
        [[Datei:Fortinet-796.jpg]]
        [[Datei:Fortinet-797.jpg]]
 
Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
== WIDS ==
 
=== Was bedeutet die Funktion "WIDS" (Wireless IDS) innerhalb eines WTP Profiles eines Forti Access Points? ===
 
"Wireless IDS" (WIDS) ist ein Intrusion Detection System und steht ab FortiOS 5.0 zur Verfügung sowie überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten (Log). Wenn ein Angriff stattfindet, wird dieser auf der FortiGate ins Wireless Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen:
 
        • Unauthorized Device Detection
        • Rogue/Interfering AP Detection
        • Ad-hoc Network Detection and Containment
        • Wireless Bridge Detection
        • Misconfigured AP Detection
        • Weak WEP Detection
        • Multi Tenancy Protection
        • MAC OUI Checking
 
Per Standard existiert ein Standard Profil "default". Dieses Profile wird innerhalb eine Access Point WTP Profiles als "default" automatisch unter FortiOS 5.0 ausgewählt! Dies ist jedoch ab FortiOS 5.2 nicht mehr der Fall dh. für die WIDS Funktion wird per Standard kein Profile automatisch ausgewählt. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS 5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet man im nachfolgenden Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]
 
Das "default" Profile für WIDS enthält folgendes:
 
        '''FortiOS 5.0'''
       
        WiFi Controller > WiFi Network > WIDS Profiles
       
        [[Datei:Fortinet1276.jpg]]
       
        # config wireless-controller wids-profile
        # edit default
        # get
        name                : default
        comment            : default wids profile
        used-by            :
        wireless-bridge    : enable
        deauth-broadcast    : enable
        null-ssid-probe-resp: enable
        long-duration-attack: enable
        long-duration-thresh: 8200
        invalid-mac-oui    : enable
        weak-wep-iv        : enable
        auth-frame-flood    : enable
        auth-flood-time    : 10
        auth-flood-thresh  : 30
        assoc-frame-flood  : enable
        assoc-flood-time    : 10
        assoc-flood-thresh  : 30
        spoofed-deauth      : enable
        asleap-attack      : enable
        eapol-start-flood  : enable
        eapol-start-thresh  : 10
        eapol-start-intv    : 1
        eapol-logoff-flood  : enable
        eapol-logoff-thresh : 10
        eapol-logoff-intv  : 1
        eapol-succ-flood    : enable
        eapol-succ-thresh  : 10
        eapol-succ-intv    : 1
        eapol-fail-flood    : enable
        eapol-fail-thresh  : 10
        eapol-fail-intv    : 1
        eapol-pre-succ-flood: enable
        eapol-pre-succ-thresh: 10
        eapol-pre-succ-intv : 1
        eapol-pre-fail-flood: enable
        eapol-pre-fail-thresh: 10
        eapol-pre-fail-intv : 1
 
        '''FortiOS 5.2'''
       
        WiFi Controller > WiFi Network > WIDS Profiles
       
        [[Datei:Fortinet1277.jpg]]
       
        # config wireless-controller wids-profile
        # edit default
        # get
        name                : default
        comment            : Default WIDS profile.
        used-by            :
        ap-scan            : enable
        ap-bgscan-period    : 600
        ap-bgscan-intv      : 1
        ap-bgscan-duration  : 20
        ap-bgscan-idle      : 0
        ap-bgscan-report-intv: 30
        ap-bgscan-disable-day:
        ap-fgscan-report-intv: 15
        ap-scan-passive    : disable
        rogue-scan          : disable
        wireless-bridge    : enable
        deauth-broadcast    : enable
        null-ssid-probe-resp: enable
        long-duration-attack: enable
        long-duration-thresh: 8200
        invalid-mac-oui    : enable
        weak-wep-iv        : enable
        auth-frame-flood    : enable
        auth-flood-time    : 10
        auth-flood-thresh  : 30
        assoc-frame-flood  : enable
        assoc-flood-time    : 10
        assoc-flood-thresh  : 30
        spoofed-deauth      : enable
        asleap-attack      : enable
        eapol-start-flood  : enable
        eapol-start-thresh  : 10
        eapol-start-intv    : 1
        eapol-logoff-flood  : enable
        eapol-logoff-thresh : 10
        eapol-logoff-intv  : 1
        eapol-succ-flood    : enable
        eapol-succ-thresh  : 10
        eapol-succ-intv    : 1
        eapol-fail-flood    : enable
        eapol-fail-thresh  : 10
        eapol-fail-intv    : 1
        eapol-pre-succ-flood: enable
        eapol-pre-succ-thresh: 10
        eapol-pre-succ-intv : 1
        eapol-pre-fail-flood: enable
        eapol-pre-fail-thresh: 10
        eapol-pre-fail-intv : 1
 
        '''FortiOS 5.4'''
       
        WiFi Controller > WIDS Profiles
       
        [[Datei:Fortinet-1696.jpg]]
       
        # config wireless-controller wids-profile
        # edit default
        # get
        name                : default
        comment            : default wids profile
        ap-scan            : disable
        wireless-bridge    : enable
        deauth-broadcast    : enable
        null-ssid-probe-resp: enable
        long-duration-attack: enable
        long-duration-thresh: 8200
        invalid-mac-oui    : enable
        weak-wep-iv        : enable
        auth-frame-flood    : enable
        auth-flood-time    : 10
        auth-flood-thresh  : 30
        assoc-frame-flood  : enable
        assoc-flood-time    : 10
        assoc-flood-thresh  : 30
        spoofed-deauth      : enable
        asleap-attack      : enable
        eapol-start-flood  : enable
        eapol-start-thresh  : 10
        eapol-start-intv    : 1
        eapol-logoff-flood  : enable
        eapol-logoff-thresh : 10
        eapol-logoff-intv  : 1
        eapol-succ-flood    : enable
        eapol-succ-thresh  : 10
        eapol-succ-intv    : 1
        eapol-fail-flood    : enable
        eapol-fail-thresh  : 10
        eapol-fail-intv    : 1
        eapol-pre-succ-flood: enable
        eapol-pre-succ-thresh: 10
        eapol-pre-succ-intv : 1
        eapol-pre-fail-flood: enable
        eapol-pre-fail-thresh: 10
        eapol-pre-fail-intv : 1
        deauth-unknown-src-thresh: 10
 
Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Profile Positionen:
 
        [[Datei:Fortinet-361.jpg]]
        [[Datei:Fortinet-362.jpg]]
 
== Split Tunneling ==
 
=== Wie konfiguriere ich für eine Forti Access Point SSID die Funktion "Split Tunneling"? ===
 
Wenn ein Forti Access Point zB für Remote benutzt wird, sei es als Remote Zugang und/oder in der Remote Lokation, konnten bis anhin im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate Wireless Controller gesendet wird. Ab FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet: anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt über die SSID zu erlauben ohne die SSID als "Local bridge with FortiAP's Interface" zu konfigurieren. Diese neue Funktion wird ausdrücklich nur im "Tunnel to Wireless Controller" Mode empfohlen! VLAN's im Zusammenhang mit der "Split Tunneling" Funktion wird nicht unterstützt. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt resp. muss aktiviert werden. Danach muss im entsprechendne WTP Profile des Forti Access Point das "Split Tunneling" konfiguriert werden:
 
        # config wireless-controller vap
        # edit [Name des entsprechenden SSID Profiles]
        # set split-tunneling enable
        # end
 
        # config wireless-controller wtp-profile
        # set split-tunneling-acl-local-ap-subnet enable
        # config split-tunneling-acl
        # edit [Gebe einen entsprechenden Integer an zB "1"]
        # set dest-ip [IPv4 Adresse plus Subnet Mask zB "192.168.10.0/24"]
        # end
        # end
 
Die Option "split-tunneling-acl-local-ap-subent" bezieht sich auf "ganze" Subnet des Forti Access Point und muss nur dann aktiviert werden, wenn das Subnet in dem sich der Forti Access Point befindet als "ganzes" Subnet freigegeben werden soll! Somit wenn nur eine bestimmte IPv4 Adresse freigegeben werden soll, muss diese Option nicht aktiviert werden und die einzelne IPv4 Adressen können unter "dest-ip" definiert werden. Wenn die Funktion des "split-tunneling" benutzt wird ist folgendes zu berücksichtigen: Im Fall eines aktivierten "split-tunnling" wird ein "NAT" (Network Address Translation) durchgeführt dh. der Client der über eine SSID verbunden ist und eine Anfrage an eine IPv4 Adresse die für ein "split-tunneling" konfiguriert ist, wird hinter der Management IPv4 Adresse des Forti Access Point ein Source NAT durchgeführt (Hide behind outgoing Interface). Somit komuniziert der Wireless Client/Host zur Destination IPv4 Adresse als Source IPv4 Adresse diese Management IPv4 Adresse des Forti Access Point und nicht die IPv4 Adresse die dem Wireless Client/Host über die SSID zugewiesen wurde. Die Management IPv4 Adresse des Forti Access Point, ist die IPv4 Adrresse die dem Forti Access Point zugewiesen wird, wenn sich der Forti Access Point zum Forti Wirless Controller verbindet (CAPWAP).
 
== CAPWAP / DTLS ==
 
=== Wieviel Bandbreite steht mir über CAPWAP auf einem FortiGate Wireless Controller für Forti Access Points zur Verfügung? ===
 
Wenn Forti Access Point über den FortiGate Wireless Controller verwaltet werden und dabei SSID benutzt werden im "Tunnel to Wireless Controller" Mode, stellt sich die Frage wieviel Bandbreite für diese Forti Access Point über CAPWAP zur Verfügung steht. Dies bedeutet: Die CAPWAP Bandbreite gibt die maximale Grösse an die eine FortiGate Wireless Controller verarbeiten kann betreffend Forti Access Points Traffic. Somit wird die CAPWAP Grösse nicht pro Forti Access Point berrechnet sondern als Totale Bandbreite die zur Verfügung steht. Neu wird diese CAPWAP Bandbreite in den FortiGate Datasheet's aufgeführt als HTTP was wiederum bedeutet: Um eine Referenz zu erhalten wird die Bandbreite anhand des HTTP Protokolls referenziert. Weitere Informationen siehe nachfolgendes Dokument:
 
        [[Fortinet:ProduktInfo#FortiGate]]
 
Somit steht diese CAPWAP Bandbreite ebenfalls in Zusamenhang mit den maximal Anzahl Forti Access Points die über einen FortiGate Wireless Controller verwaltet werden können. Weitere Informationen dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F]]
 
Nachfolgend eine Kurzübersicht über diesen "CAPWAP HTTP Throughput" für die Fortinet Produktelinie:
 
        [[Datei:Fortinet-1357.jpg]]
 
Wenn eine FortiGate Device über einen NP6 verfügt, kann dieser grundsätzlich den Traffic beschleunigen (Acceleration). Jedoch ist diese Funktion unter FortiOS 5.2 deaktiviert und nicht in Benutzung. Ab FortiOS 5.4 wird diese Funktion per Standard aktiviert um somit betreffend CAPWAP eine Beschleunigung zu ermöglichen.
 
=== Wird der CAPWAP Traffic zwischen einem FortiGate Wireless Controller und Forti Access Pointse verschlüsselt? ===
 
Der Traffic zwischen dem Ethernet "wan" Interface eines Forti Access Point und dem FortiGate Wireless Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei wird dieser Traffic "encapsulated" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen dem FortiGate Wireless Controller und den Forti Access Point kann die DTLS Verschlüsselung ab FortiOS 5.0 Optional aktiviert werden. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]
 
=== Wie werden Forti Access Point über einen FortiGate Wireless Controller verwaltet/konfiguriert (CAPWAP)? ===
 
Der Standard der benutzt wird um die Forti Access Point über einen Fortigate Wireless Controller zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:
 
        http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol
 
Die Ports die benutzt werden für CAPWAP sind per Standard:
 
        UDP 5246 und 5247
 
Ab FortiOS 5.0.3 kann die CAPWAP Funktion auf den jeweiliegen FortiGate Interfaces über die "Administrative Access" Funktion aktiviert und deaktiviert werden.
 
        System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP
 
Durch die Aktivierung von CAPWAP auf einem FortiGate Interface wird im Hintergrund eine automatische "Local-In" Policy konfiguriert, die den Traffic von CAPWAP vom Segment gemäss der Konfiguration des Interfaces und auf die IPv4 Adresse des FortiGate Interfaces zulässt. Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend dh. Anhand Zertifikate auf dem FortiGate Wireless Controller sowie auf dem Forti Access Point! Per Standard ist der "Data Channel" der durch die Wireless Clients/Hosts benutzen wird um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion auf dem FortiGate Wireless Controller aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:
 
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]
 
Wenn es betreffend Wireless Clients/Hosts im Zusammenhang mit DTLS Verschlüsselung zu Performance Problemen kommt, die zurück zu führen sind auf Defragmentierung, gibt folgender Artikel Auskunft was getan werden kann:
 
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F]]
 
Wenn DTLS Verschlüsselung aktiviert wird so wird empfohlen den oberen Artikel zu berücksichtigen und die Konfiguration zur Verhinderung einer Fragmentierung durchzuführen!
 
=== Wie konfiguriere ich für ein Forti Access Point WTP Profile eine "Data Channel Encryption" (DTLS)? ===
 
DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic der Wireless Clients/Hosts, der vom Forti Access Point "wan" Interface zum FortiGate Wireless Controller übermittelt wird, innerhalb CAPWAP als "Data Channel" zu verschlüsseln. Somti wird der "Data Channel" "encapsulated" im CAPWAP. Per Standard wird dieser Traffic nicht verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen, dasd beide Seiten dh. der FortiGate Wireless Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert. Ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate Wireless Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance, die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate Wireless Controller die Funktion gesteuert werden. Wenn auf dem FortiGate Wireless Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funktion "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn die "automatic" Funktion (kein WTP Profile) die ab FortiOS 5.0 zur Verfügung steht benutzt wird, kann nur "clear-text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren führe folgendes durch:
 
        '''Auf dem FortiGate Wireless Controller:'''
       
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden Profils]
        # set dtls-policy ["dtls-enabled" oder "clear-text"]
        # end
 
        '''Auf dem FortiAP:'''
       
        # cfg -a AC_DATA_CHAN_SEC=1
        # cfg -c
 
Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:
 
        • 0 is Clear Text
        • 1 is DTLS Enabled
        • 2 is Clear T ext or DTLS Enabled (default)
 
Unter FortiOS 5.4 gibt es für DTLS eine zusätzliche Option um DTLS direkt im Kernel zu aktivieren dh. da DTLS im Kernel direkt aktiviert ist, wird die Funktion Perfomanter resp. schneller da die Funktion für DTLS direkt im Memory über den Kernel durchgeführt wird. Um diese Funktion zu aktivieren benutze folgendes CLI Kommando:
 
        '''Auf dem FortiGate Wireless Controller:'''
       
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden Profils]
        # set dtls-in-kernel [enable | disable]
        # end
 
Die Konfiguration auf dem Forti Access Point solle untern normalen Umständen nicht verändert werden da die Standard Konfgiguration "AC_DATA_CHAN_SEC=2" ist was wiederum bedeutet: Der Forti Access Point akzeptiert "clear-text" und/oder "dtls". Dies bedeutet wiederum die Funktion der DTLS Verschlüsselung kann über den FortiGate Wireless Controller gesteuert werden und muss auf dem Forti Access Pont nicht konfiguriert werden da dieser beide Methoden anbietet. Ebenfalls ist es für ein Troubleshooting möglich die Funktion ohne die Konfiguration zu ändern vorübergehend zu deaktivieren. Weitere Informationen dazu siehe nachfolgenden Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_die_DTLS_Funktion_f.C3.BCr_ein_Troubleshooting_vor.C3.BCbergehend_deaktivieren.3F]]
 
=== Wie kann ich für einen Forti Access Point innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern? ===
 
Die MTU Size auf den meisten Betriebsystemen ist auf max MTU Size 1500 gesetzt. Dieser Wert stellt eher ein suboptimalen Wert dar dh. wenn ein Wireless Client/Host ein grosses Packet über ein Forti Access Point sendet verfügt dieses Packet über eine max. MTU Size von 1500. Da dieses Packet auf dem Forti Access Point verschlüsselt werden muss, um über den CAPWAP Tunnel versendet zu werden, muessen Informationen zum 1500 MTU Size grossen Packet hinzugefügt werden. Geschieht dies, kann dieses Packet nicht mehr in einem Packet versendet werden da die Grösse max MTU Size 1500 übersteigt. Somit müssen in dieser Situation zwei Packete versendet werden. Dies stellt eine Defragmentierung dar und beieinträchtigt die Performance da anstelle eines Packets zwei Packete versendet werden müssen. Unter normalen Umständen geschieht dies nicht auf den Forti Access Point zurück zuführen auf den "overhead" des CAPWAP Tunnels da diese Information sehr klein sind. Wird jedoch DTLS Verschlüsselung aktiviert, muss diese Information auf dem Forti Access Point ebenfalls zu den existierendnen Headers hinzugefügt werden und dabei kommt es mit ziemlich grosser Sicherheit zu einer Fragmentierung. Die DTLS Strucktur sieht folgendermassen aus:
 
        '''DTLS Packet Structure and Fields'''
       
        I’ve been digging into the DTLS packet structure, looking for free bytes for some security related ideas I have been playing with.
        This following is the DTLS packet structure:
        | Type | Version | Epoch | Sequence Number | Length | IV | Data | MAC | Padding |
        Type = (1 byte), Version (2 byte)
        Epoch is incremented each rekey (2 byte)
        Seq Num incremented per packet (6 byte)
        Epoch + sequence number = IV for MAC
        Length (2 byte) = IV + MAC + Padding
        IV = Initial Vector = randomizer / seed used by encryption
        Encrypted section: Data, MAC, Padding
        MAC uses epoch and seq number for its sequence number (similar to an IV)
        Padding added to get block size for crypto (16 or AES, 8 for DES)
 
Aus diesem Grund wird empfohlen im Zusammehang mit DTLS Verschlüsselung die nachfolgend Konfiguration durchzuführen. Durch diese nachfolgende Konfiguration wird der Wireless Client/Host angewiesen kleinere Packete zu versenden (max. transmission unit) anstelle der max. MTU Size 1500 um einen Fragementierung durch zusätzlich hinzugefügte TCP Header Informationen zu verhindern. Dabei ist folgendes zu berücksichtigen: Die Grösse der MTU Size hängt von der Punkt zu Punkt Verbindung ab dh. eine MTU Size wird immer über Punkt zu Punkt Verbindung verifiziert dh. Wenn die MTU Size auf zB 1442 gesetzt ist und der CAPWAP Tunnel wird zu einem FortiGate wan1 Interface aufgebaut und dieses ist auf 1462 gesetzt kommt es unweigerlich zur Fragementierung. Dies bedeutet ebenfalls die MTU Size Grösse unterliegt in erster Linie dem kleinsten Wert in einer Punkt zu Punkt Verbindung. Auf dem Forti Access Point dürfen somit nicht grössere Packete als der kleinste Wert in der Punkt zu Punkt Verbindung übermittelt werden. Somit ergiebt sich für den MTU Wert für einen Forti Access Point:
 
        [Kleinster Wert der Punkt zu Punkt Verbindung] Minus [DTLS Crypto Packet Size] = [Wert für "ip-fragment-preventing"]
 
Für die Option "ip-fragment-preventing" stehen zwei Optionen zur Verfügung dh. "tcp-mss-adjust" oder "icmp-unreachable". Dabei ist folgendes zur berücksichtigen. Die Option "tcp-mss-adjust" ist eine Funktion (1 bit) innerhalb eines TCP Headers. Somit wird durch "tcp-mss-adjust" ausschliesslich TCP unterstützt und nicht UDP. Aus diesem Grund empfehlen wir "icmp-unreachable" da diese Funktion TCP und UDP unterschtützt. Die Funktion "ip-fragment-preventing" kann folgendermassen konfiguriert werden:
 
        # config wireless-controller wtp-profile
        # edit [Wähle das entsprechende Profile]
        # set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
        # set tun-mtu-uplink [0 | 576 | 1500]
        # set tun-mtu-downlink [0 | 576 | 1500]
        # end
        # end
 
        '''tcp-mss-adjust'''
        Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS)
        zu senden. Der Forti Access Point fügt dem "SYN" TCP Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client
        mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink"
        und somit kann der Forti Access Point den Overhead des CAPWAP/DTLS hinzufügen und eine Fragmentierung verhindern.
 
        '''icmp-unreachable'''
        Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der Forti
        Access Point Packete verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
        Wenn dies eintrifft, sendet der Forti Access Point ein Packet zum Wireless Controller:
       
        Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
       
        Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
 
        '''tun-mtu-uplink'''
        Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!
 
        '''tun-mtu-downlink'''
        Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!
 
=== Wie kann ich für einen Forti Access Point die DTLS Funktion für ein Troubleshooting vorübergehend deaktivieren? ===
 
Die DTLS Funktion dh. "Data Channel Encryption" wird im entsprechenden WTP Profile eines Forti Access Point aktiviert resp. deaktiviert. Da auf dem Forti Access Point die DTLS Funktion auf "clear-text und "DTLS" zur Verfügung steht, kann die Funktion über den FortiGate Wireless Controller gesteuert resp. konfiguriert werden dh. im entsprechenden WTP Profile aktiviert und/oder deaktiviert werden. Wenn aus irgendwelchen Gründen dies nicht möglich ist und die Funktion nur vorübergehend deaktiviert werden soll, kann dies über "diagnose wireless" Funktion für einen entsprechenden Forti Access Point durchgeführt werden. Dazu muss folgendes ausgeführt werden:
 
        '''Liste alle Forti Access Points auf dem FortiGate Wirless Controller auf:'''
       
        # config wireless-controller wtp
        # get
        == [ FAP14C3X13000543 ]
        wtp-id: FAP14C3X13000543   
        == [ FP221C3X14001296 ]
        wtp-id: FP221C3X14001296   
        == [ FAP21D3U14000144 ]
        wtp-id: FAP21D3U14000144   
        == [ FAP24D3X14000101 ]
        wtp-id: FAP24D3X14000101
        # end
 
        '''Aktiviere vorübergehend die "plain-ctl" Funktion (DTLS deaktiviert) auf einem entsprechenden Forti Access Point:'''
       
        # diagnose wireless wlac plain-ctl FAP21D3U14000144 1
       
        WTP 0-FAP21D3U14000144 Plain Control: '''enabled'''
 
Wenn die Option "1" benutzt wird so wird auf dem FortiGate Wireless Controller die Funktion "Plain Control" aktiviert. Wenn nachträglich die Option "0" benutzt wird so wird die "Plain Control" wiederum deaktiviert! Ebenso kann die Funktion "plain-ctl" Lokal auf dem Forti Access Point über "telnet" aktiviert resp. deaktiviert werden. Nachfolgender Artikel gibt Auskunft wie man Zugriff über "telnet" auf einen Forti Access Point erlangt:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
        '''Aktiviere dei "plain-ctl" Funktion auf dem Forti Access Point:'''
       
        Nachdem einloggen kann folgendes Kommando Lokal auf dem Forti Access Point eingegeben werden um die "plain-ctl" Funktion zu aktivieren:
       
        # cw_diag plain-ctl 1
 
        '''Nachdem Troubleshooting deaktiviere die "plain-ctl" Funktion (DTL aktiviert) auf einem entsprechenden Forti Access Point:'''
       
        # diagnose wireless wlac plain-ctl FAP21D3U14000144 0
       
        WTP 0-FAP21D3U14000144 Plain Control: '''disabled'''
       
        Ebenfalls muss auf dem entsprechenden Forti Access Point die "plain-ctl" Funktion deaktiviert werden:
       
        # cw_diag plain-ctl 0
 
Weitere Informationen zur Funktion DTLS siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F]]
 
== Channel ==
 
=== Welche Radio "channel" muss ich auf dem Forti Access Point für verschiedenen Ländern benutzen? ===
 
Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:
 
        [[Datei:Fortinet-304.jpg]]
       
Für den 5 GHz "channel" ist dabei der DFS (Dynamic Frequency Selection) Support der einzelnen Forti Access Points zur Verfügung steht zu berücksichtigen! Weitere Informationen dazu siehe nachfolgender Artikel:
           
        [[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]
 
        [[Datei:Fortinet-305.jpg]]
 
        [[Datei:Fortinet-306.jpg]]
 
=== Was bedeutet es wenn ein Forti Access Point über den DFS (Dynamic Frequency Selection) Support verfügt? ===
 
Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden und zwar so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Dadurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar nur auf spezifischen Fortinet Modellen wie:
 
        • FAP-221B/C  Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
        • FAP-222C    Ab FortiOS 5.2.3 und nur für "European Union"
        • FAP-320B/C  Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
        • FAP-321C    Ab FortiOS 5.4.2 und nur für "European Union"
        • FAP-323C    Ab FortiOS 5.4.2 und nur für "European Union"
        • FAP-421E    Ab FortiOS 5.4.2 und nur für "European Union"
        • FAP-S421E    Ab FortiOS 5.4.2 und nur für "European Union"
        • FAP-423E    Ab FortiOS 5.4.2 und nur für "European Union"
        • FAP-S423E    Ab FortiOS 5.4.2 und nur für "European Union"
        • FAP-S422E    Ab FortiOS 5.4.2 und nur für "European Union"
 
        [[Datei:Fortinet-843.jpg]]
 
        [[Datei:DFS_Europe.pdf]]
 
Grundsätzlich gilt folgendes:
 
        '''Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:'''
       
        UNI1  : 4 Kanäle
        UNI2  : 4 Kanäle
        UNI2e : 7 Kanäle
        UNI3  : 4 Kanäle
 
        '''Für die Schweiz gilt:'''
       
        Indoor:  Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
                Channels: 36 40 44 48 52'''*''' 56'''*''' 60'''*''' 64'''*''' 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''
               
                '''*''' Nur mit DFS Support!
       
        Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz)
                Channels: 100'''*''' 104'''*''' 108'''*''' 112'''*''' 116'''*''' 120'''*''' 124'''*''' 128'''*''' 132'''*''' 136'''*''' 140'''*'''
               
                '''*''' Nur mit DFS Support!
 
Somit gilt als komplett Uebersicht im 2.4 GHz und 5 GHz Bereich Folgendes:
 
        • WLAN 2.4 GHz nach dem Standart IEEE 802.11b/g darf auf den Kanälen '''1-13''' mit einer Leistung von
          100 mW EIRP '''innerhalb und ausserhalb''' von Gebäuden betrieben werden.
       
        • WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''34-48''' mit einer Sendeleistung
          von 200mW EIRP '''nur innerhalb''' von Gebäuden betrieben werden.
       
        • WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''52-64''' mit einer Sendeleistung
          von 200mW EIRP (100mW ohne TPC) '''nur innerhalb''' von Gebäuden betrieben werden. DFS muss
          aktiviert sein.
         
        • WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen '''100-140''' mit einer Sendeleistung
          von 1W EIRP (500mW ohne TPC) '''innerhalb und ausserhalb''' von Gebäuden betrieben werden. DFS
          muss aktiviert sein.
 
Weitere technische Informationen zum DFS findet man auch unter folgenden Link:
 
        http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
        http://en.wikipedia.org/wiki/List_of_WLAN_channels
       
        http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de
 
=== Was bedeutet "overlapping wifi channels" für einen Radio eines Forti Access Point Konfiguration? ===
 
Wireless Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channel) genannt. Einer der Gründe, dass eine Verbindung Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird durch andere Forti Access Points oder fremde Access Poinst. Dadurch wird die Verbindung und schlussendlich die Performance beeinträchtigt. Aus diesem Grund sollte man dieses "overlapping" möglichst verhindern. Nachhfolgend eine Abbildung für den 2.4 GHz sowie 5 GHz Bereich der die verschiedenen Kanäle aufzeigt und dadurch entstehendes "overlapping":
 
        [[Datei:Fortinet-330.jpg]]
 
Um herauszufinden welchen Kanal in der Umgebung verwendet wird durch eigenen Forti Access Point oder fremde Access Points, kann der Monitor auf dem FortiGate Wireless Controller benutzt werden. Siehe auch:
 
        [[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]
        [[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]
 
Dies bedeutet: man setzt einen "radio" auf einem Forti Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Somit muss in erster Stelle die Umgebung kurz analysiert werden um festzustellen welche Kanäle bereits benutzt werden. Danach kann im entsprechednen WTP Profile die entsprechenden Kanäle speziell im 2.4 GHz Bereich ausgewählt werden. Alle Kanäle zB im 2.4 GHz Bereich zu aktivieren und "Radio Resource Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar das "Radio Resource Provisioning" (DARRP) in jedem Fall zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zum "Radio Resource Provisioning" siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
Desweiteren ist folgendes zu berücksichtigen: Wird eine Umgebung mit mehreren Forti Access Points aufgebaut ist es nicht zu empfehlen für alle Forti Access Points obwohl es sich um die gleichen Modelle handelt das gleiche WTP Profile zu benutzen. Wenn dies dennoch konfiguriert wird und der FortiGate Wireless Controller bemerkt ein "overlapping" wird da alle Forti Access Point das gleiche WTP Profile benutzen für alle den Kanal gewechselt. Damit sollten logisch gesehen für eine Umgebung mit mehreren Forti Access Point diese anhand mehrerer WTP Profiles betrieben werden. Konkret bedeutet dies folgendes: Muss eine Umgebung aufgebaut werden in einem Gebäude zB 3 Stockwerke sollten für jedes Stockwern mind ein WTP Profile konfiguriert werden mit unterschiedlichen Kanälen. Zustätzlich sollte analysiert werden ob die einzelnen Forti Access Points in den einzelnen Stockwerken oder über die einzelnen Stockwerke hinweg sich sehen. Ist dies der Fall sollte auch hier einzelne WTP Profiles konfiguriert werden. Dies kann mit einem einfachen Trick bewerkstelligt werden. Ueber Mgmt. Web Interface oder über CLI konfiguriere ein entsprechendes WTP Profile. Nach der Konfiguration führe auf der CLI folgendes aus:
 
        # show wirless-controller wtp-profile [Name des konfigurierten WTP Profiles]
 
Danach wird als Beispiel folgendes ausgegeben auf der CLI:
 
        config wireless-controller wtp-profile
            edit "FAP-1-Stock-Rechts"
                set comment "FortiAccess Point FAP221C Stock 1 Rechts"
                config platform
                    set type 221C
                end
                set ap-country CH
                config radio-1
                    set band 802.11n
                    set wids-profile "local-default.local"
                    set darrp enable
                    set vap-all disable
                    set vaps "fortinet4guest" "fortinet4intern"
                    set channel "3" "8" "13"
                end
                config radio-2
                    set band 802.11ac
                    set darrp enable
                    set vap-all disable
                    set vaps "fortinet4guest" "fortinet4intern"
                    set channel "36" "40" "44" "48" "52" "56" "60" "64"
                end
            next
        end
 
Nun kopiere den "output" in ein Text File und ändere folgende Position ab:
 
        config wireless-controller wtp-profile
            edit '''"FAP-1-Stock-Links"'''
                set comment '''"FortiAccess Point FAP221C Stock 1 Links"'''
                config platform
                    set type 221C
                end
                set ap-country CH
                config radio-1
                    set band 802.11n
                    set wids-profile "local-default.local"
                    set darrp enable
                    set vap-all disable
                    set vaps "fortinet4guest" "fortinet4intern"
                    set channel '''"1" "6" "11"'''
                end
                config radio-2
                    set band 802.11ac
                    set darrp enable
                    set vap-all disable
                    set vaps "fortinet4guest" "fortinet4intern"
                    set channel "36" "40" "44" "48" "52" "56" "60" "64"
                end
            next
        end
 
Führe dies durch führ jedes WTP Profile resp. Forti Access Point. Danach kann der "output" wiederum 1:1 per copy/paste in die CLI des FortiGate Devices reinkopiert werden. Nun als letzten Schritt muss nur noch das entsprechende WTP Profile dem entsprechenden Forti Access Point zugewiesen werden. Somit verfügt jeder Forti Access Point über sein eigenes kontrollierbares und konfigurierbares WTP Profile und kann bei Problemen angepasst werden. Diese granulare Konfiguratin gewährleistet eine optimale Konfiguration und dauert einige Minuten die zu vernachlässigen sind.
 
=== Wie kann ich auf einem Forti Access Point herausfinden welche "channel" ich benutzen soll um "overlapping" zu verhindern? ===
 
Wenn ein Forti Access Point eigerichtet wird, müssen die "channel" (Kanäle) speziell im 2.4 GHz Bereich definiert/konfiguriert werden. Dazu stehen in der Schweiz 13 Kanäle für den 2.4 GHz Bereich zur Verfügung. Alle Kanäle zu selektieren sowie "Radio Resource Provisioning" (DARRP) wäre die falsche Vorgehensweise da es so gezwungenermassen zu Problemen kommt sowie zu einem "ovelapping wifi channels"t. Weitere Informationen zu den Länderspezifischen Channels sowie "Radio Resource Provisioning" siehe folgende Artikel:
 
        [[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
        [[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
Daher benötigt es speziell im 2.4 GHz Bereich eine Analyse der bereits benutzten "channel" in der Umgebung. Dies kann über die "dedicated monitoring" Analysiert werden. Eine weitere Variante wäre auf einem Client/Host die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F]]
 
Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhelfen dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" aufgelistet. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese "channel" aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden die im WTP Profile konfiguriert werden:
 
        # get wireless-controller rf-analysis
        WTP: FAP14C3X13000543  0-193.193.135.70:5246
            channel    rssi-total  rf-score    overlap-ap  interfere-ap
                  1      90          7            6            11
                  2      45          10          0            11
                  3      127          4            2            11
                  4      33          10          0            11
                  5      38          10          3            16
                  6      19          10          0            10
                  7      23          10          0            10
                  8      45          10          0            8
                  9      192          1            5            16
                10      57          9            0            13
                11      46          10          0            13
                12      63          9            0            13
                13      231          1            8            13
                14      53          10          0            8
       
        WTP: FAP22B3U11011877  0-192.168.3.3:5246
            channel    rssi-total  rf-score    overlap-ap  interfere-ap
                  1      153          2            6            12
                  2      91          7            0            12
                  3      270          1            3            12
                  4      76          8            0            12
                  5      76          8            3            17
                  6      33          10          0            11
                  7      33          10          0            11
                  8      50          10          0            8
                  9      214          1            5            16
                10      68          8            0            13
                11      62          9            0            13
                12      89          7            0            13
                13      329          1            8            13
                14      79          7            0            8
                40      216          1            9            9
                44      30          10          4            4
                48      70          8            2            2
       
        Controller: FGT60D4613048017-0
            channel    rssi_total
                  1      243
                  2      136
                  3      397
                  4      109
                  5      114
                  6      52
                  7      56
                  8      95
                  9      406
                10      125
                11      108
                12      152
                13      560
                14      132
                40      216
                44      30
                48      70
 
Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen "channel" mindestens 4 freizulassen. Dies wäre Optimal kann jedoch nicht immer speziell im 2.4 GHz Bereich konfiguriert werden. Es kann auch anhand der "wtp-id" (Serien Nummer) nur ein spezifischer Forti Access Point aufgelistet werden:
 
        # get wireless-controller rf-analysis FAP22B3U11011877
       
        WTP: FAP22B3U11011877  0-192.168.3.3:5246
            channel    rssi-total  rf-score    overlap-ap  interfere-ap
                  1      153          2            6            12
                  2      91          7            0            12
                  3      270          1            3            12
                  4      76          8            0            12
                  5      76          8            3            17
                  6      33          10          0            11
                  7      33          10          0            11
                  8      50          10          0            8
                  9      214          1            5            16
                10      68          8            0            13
                11      62          9            0            13
                12      89          7            0            13
                13      329          1            8            13
                14      79          7            0            8
                40      216          1            9            9
                44      30          10          4            4
                48      70          8            2            2
 
Desweiteren kann mit folgenden Befehl alle Fortti Access Point's augelistet werden, die durch den Scan erkannt werden:
 
        # get wireless-controller scan
        CMWF VF  SSID                BSSID              CHAN RATE SIGNAL NOISE  INT CAPS ACT LIVE  AGE WIRED
                                                                (dBm)  (dBm)
        UNNN 0                      00:09:0f:95:30:f0    8  11M  -91    -95  100 ESs  N  336613 52253  ?    WME VEN VEN ATH
        UNNN 0                      12:09:0f:95:30:f0    8  11M  -92    -95  100 ESs  N  336639 52253  ?    WME VEN VEN ATH
        UNNN 0                      22:09:0f:95:30:f0    8  11M  -92    -95  100 ESs  N  336639 52253  ?    WME VEN VEN ATH
        UNNN 0                      32:09:0f:95:30:f0    8  11M  -91    -95  100 ESs  N  336763 52252  ?    WME VEN VEN ATH
        UNNN 0                      42:09:0f:95:30:f0    8  11M  -90    -95  100 ESs  N  336618 52253  ?    WME VEN VEN ATH
        UNNN 0  4ourguests          58:97:1e:b3:4c:70    9  216M  -45    -95  102 ESs  Y  343847  203    ?    WME VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:71    9  216M  -57    -95  102 ESs  N  343847 1146    ?    WME VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:72    9  54M  -57    -95  102 EPSs  N  343847 1144    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:74    9  54M  -42    -95  102 EPSs  Y  343847  548    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:75    9  54M  -59    -95  102 EPSs  Y  343847  544    ?    RSN VEN VEN VEN VEN
        UNNN 0  only4also          58:97:1e:b3:4c:76    9  216M  -44    -95  102 EPSs  Y  343847  203    ?    RSN WPA WME VEN VEN VEN
        UNNN 0  only4also          58:97:1e:b3:4c:79  48  450M  -60    -95  102 EP    Y  343830  811    ?    RSN WPA WME VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7a  48  54M  -60    -95  102 EP    N  342030 9211    ?    RSN VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7b  48  54M  -60    -95  102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7d  48  54M  -59    -95  102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
        UNNN 0                      58:97:1e:b3:4c:7e  48  450M  -59    -95  102 E    Y  340230  811    ?    WME VEN VEN VEN VEN
 
=== Gibt es eine Möglichkeit alle Access Points aufzulisten für die ein "overlapping channel" stattfindet (Interfering AP's)? ===
 
Wenn Forti Access Points speziell im 2.4 GHz Bereich installiert werden, muss darauf geachtet werden, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfinden. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:
 
        [[FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F]]
 
Um die Konfiguration der Forti Access Points nachträglich zu kontrollieren, gibt es über folgende Position die Möglichkeit event. "overlapping channel" resp. Interferenzen zu kontrollieren:
 
        WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)
 
Diese Widget zeigt auf ob durch den FortiGate Wireless Controller event. "overlapping channel" (Interferenze) bestehen. Siehe auch:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
Dies wird in den "Widget" unter der folgender Position aufgeführt:
 
        [[Datei:Fortinet-1090.jpg]]
 
        [[Datei:Fortinet-1091.jpg]]
 
Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:
 
        [[Datei:Fortinet-1092.jpg]]
 
Wird ein entsprechende Position unter "Interfering AP's" angewählt, sieht man die Details wie "MAC Adresse des AP's, SSID, benutzter Channel und Signalstärke". Dabei ist die Signalstärke korrekt einzuschätzen dh. Auch wenn ein "overlapping channel" stattfindet jedoch die Signalstärke des Access Points schlecht ist, sind die Interferenzen zu vernachlässigen:
 
        [[Datei:Fortinet-1093.jpg]]
 
Es ist je nach Anzahl der Access Points nicht immer möglich "overlapping channel" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Wireless Clients/Host den 5 GHz Bereich unterstützen, sollte der 2.4 GHz Bereich gemieden werden! Dies wird auf modernen Devices automatisch vollzogen dh. zB ein IPhone unterstützt 2.4 GHz sowie 5 GHz jedoch benützt sofern irgendwie möglich nur 5 GHz!
 
== Site Survey ==
 
=== Gibt es eine Möglichkeit anhand eines Forti Access Point ohne FortiGate Wireless Controller die Wireless Abdeckung zu testen? ===
 
Diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort für einen "Site Survey" einzusetzen und dies ohne FortiGate Wireless Controller. Wenn eine grössere Umgebung mit Forti Access Point ausgerüstet werden soll, muss festgestellt werden wieviele Forti Access Points benötigt werden sowie wo diese installiert werden sollen um eine möglichst gute Abedeckung zu erzielen. Die "Site Survey" Funktion eines Forti Access Point ermöglicht eine definierte SSID auf einem Forti Access Point lokal zu diesem Zweck zu konfigurieren und zu betreiben. Anhand eines Tools auf einem Client/Host zB SSIDer kann nachträglich Vorort die Abedeckung anhand dieser SSID kontrolliert und somit den idealen Standort für den Forti Access Point herausgefunden werden. Diese Funktion des "Site Survey" kann mit jedem Forti Access Point durchgeführt werden, jedoch ist der FAP-221B/FAP-223B sowie FAP-221C/FAP-223C zu empfehlen. Wenn ein Forti Access Point benützt wird für ein "Site Survey" muss berücksichtigt werden, das zB ein FAP-221B/C sowie FAP-223B/C über keinen mitgelieferten Power Adapter verfügt sondern über PoE betrieben werden. Die Power Adapter für diese Modelle können jedoch seperat bestellt werden. Weitere Informationen dazu siehe nachfolgeden Artikel:
 
        [[FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_Forti_Access_Point_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F]]
 
Um auf einem Forti Access Point lokal über CLI eine SSID für "Site Survey" zu konfigurieren führe folgendes aus:
       
        1. Verbinde den Forti Access Point mit einem Client/Host über die Ethernet Interface's; Konfiguriere auf der Ethernet
          Schnittstelle des Client/Host folgende IPv4 Adresse:
         
          192.168.1.1/24 (Kein Gateway, Kein DNS)
 
        2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface
          folgende IPv4 Adresse konfiguriert:
         
          192.168.1.2/24
         
          Weitere Informationen zu "default" IPv4 Adresse eines Forti Access Point siehe nachfolgender Artikel:
               
          [[FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F]]
 
        3. Verbinde dich per "telnet" auf die IPv4 Adresse des Forti Access Point:
         
          > telnet 192.168.1.2
 
        4. Aktiviere den entsprechenden "Site Survey" Mode auf dem Forti Access Point anhand folgenden Befehls:
         
          # cfg –a AP_MODE=2
          # cfg -c
         
          AP_MODE=2 bedeutet "Site Survey". Per Standard ist konfiguriert 0"Thin AP"! Weitere Informationen findet
          man ebenfalls unter folgenden Artikel:
         
          [[FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F]]                   
 
        5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!
 
        6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann
          nun die Abedeckung Vorort mit einem Tool wie zB SSIDer überprüft werden!
 
        7. Soll die SSID oder andere Werte für die SSID im "Survey Mode" angepasst werden stehen folgende Einstellungen
          zur Verfügung:
         
          • SURVEY_SSID='FAP_SURVEY'        --> Diese Option vergibt den Namen für die SSID im "Site Survey" Mode.
          • SURVEY_TX_POWER=30              --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige Forti Access Points gilt ein Maximum von 17dBm.
          • SURVEY_CH_24=6                  --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
          • SURVEY_CH_50=36                  --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
          • SURVEY_BEACON_INTV              --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
         
          Wenn die Werte für "Site Survey" konfiguriert werden müssen diese folgendermassen konfiguriert werden:
         
          # cfg -a [Entsprechende Option mit deren Wert]
          # cfg -c
 
        8. Nach einem "Site Survey" ist es empfohlen den Forti Access Point wieder auf Factory Default zu setzen. Dies
          wird folgendermassen durchgeführt:
         
          # cfg -x
         
          oder
         
          # factoryreset
          # reboot
 
== Konfiguration ==
 
=== Was bedeutet der Konfigurationspunkt "security" (Security Mode) innerhalb einer SSID Konfiguration? ===
 
Für einen SSID auf einem  Forti Access Point können verschiedenen Security Mode benutzt werden dh. zB WPA2 Enterprise. Die üblichen Security Mode's können über das Mgmt. Web Interface konfiguriert werden:
 
        • Open
        • Captive Portal
        • WPA2 Personal
        • WPA2 Personal with Captive Portal
        • WPA2 Enterprise
 
Ueber CLI stehen jedoch weitere Security Mode zur Verfügung:
 
        '''FortiOS 5.0'''
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
        # end
 
        '''FortiOS 5.2/5.4'''
        # config wireless-controller vap
        # edit [Name des SSID Profile]
        # set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
        # end
 
Zusätzlich kann über CLI die Encryption für den Security Mode gesetzt werden sofern WPA benutzt wird. Per Standard wird für WPA die AES Encryption benutzt. Ebenso kann der Key Interface anhand "gtk-rekey-intv" gesetzt werden. Dieser ist per Standard auf 3600 gesetzt:
 
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set encrypt [AES | TKIP | TKIP-AES]
        # set gtk-rekey-intv [Intervall in Sekunden von 60 bis 864000; Standard 3600]
        # end
 
Wenn zB für WEP ein Key definiert werden muss dh. das Passwort ist in den meisten Fällen 1 Passwort zu setzen. Einige Wireless Clients/Hosts dh. Treiber und Software unterstützen die Defintion von mehreren Key's. Wenn dies der Fall ist können mehrer Passwörter definiert werden und somit muss der "keyindex" erweitert werden mit der Anzahl zu definierenden Passwörter:
 
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # keyindex [1 | 2 | 3 | 4]
        # end
 
=== Was bedeutet der Konfigurationspunkt "schedule" innerhalb einer SSID Konfiguration? ===
 
Bis anhin unter FortiOS 5.0 sowie 5.2 war es nicht möglich eine SSID Zeitgesteuert zu aktivieren/deaktivieren. Neu unter FortiOS 5.4 ist dies nun möglich. Per Standard stehen alle konfigurierten SSID auf dem "schedule" Objekt "always". Möchte man Zeitgesteuert eine SSID aktivieren/deaktivieren, muss vorgängig ein "Schedule" Objekt erstellt werden, dass nachträglich unter der SSID konfiguriert werden kann. Ein "Schedule" Objekt wird unter folgender Position konfiguriert:
 
        Policy & Objects > Schedules > Create New > Schedule
 
Danach kann anhand "Recurring" (Wiederholend), "Days" (Tagen) sowie einer "Start Time" und "Stop Time" ein "Schedule" Objekt erstellt werden. Ein zeitgesteuertes Objekt basierend auf "Schedule Group" kann nicht innerhalb einer SSID konfiguriert werden. Nachträglich kann das "Schedule" Objekt innerhalb der SSID konfiguriert werden. Dazu wähle im Mgmt. Web Interface folgendes:
 
        WiFi Controller > SSID > Schedule > [Wähle das entsprechende "Schedule" Objekt]
 
Wenn ein "Schedule" Objekt auf CLI konfiguriert werden soll und dieses nachträglich ebenfalls auf CLI für die entsprechende SSID konfiguriert werden soll führe folgendes aus:
 
        # config firewall schedule [recurring | onetime]
        # edit [Name des entsprechenden "Schedule" Objekt zB "daily-0800-1700-business-hour"]
        # set start [Gebe die Start Zeit ein zB "08:00"]
        # set end [Gebe die End Zeit ein zB "17:30"]
        # set day [Gebe die entsprechenden Tage ein für den "Schedule"; monday | tuesday | wednesday | thursday | friday | saturday | sunday]
        # end
       
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set schedule [Wähle das entsprechende "schedule" Objekt; Standard "always"]
        # end
 
=== Was bedeutet der Konfigurationspunkt "Override Settings/Automatic" innerhalb einer Forti Acces Point Konfiguration? ===
 
Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes WTP Profile zu zuweisen. Dies bedeutet: In diesem WTP Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses WTP Profile, das auf den entsprechenden Forti Access Point abgestimmt is, wird nach dessen Erstellung dem Forti Access Point über "Managed FortiAPs" zugewiesen. Ab FortiOS 5.0 ist es möglich anstelle dieses WTP Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende WTP Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:
 
        [[Datei:Fortinet-333.jpg]]
 
Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt:
 
        # config wireless-controller wtp
        # edit [Name/Serien Nr. des entsprechenden Profiles]
        # set override-profile enable
        # end
        # end
 
Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:
 
        [[Datei:Fortinet-1291.jpg]]
 
=== Was bedeutet der Konfigurationspunkt "Scan Outgoing Connections to Botnet Sites" innerhalb einer SSID Konfiguration? ===
 
Dieser Konfigurationspunkt unter FortiOS 5.4 ist nicht Wireless Spezifisch sondern steht jedem FortiGate Interface zur Verfügung. Weitere Informationen zu dieser Funktion siehe nachfolgender Artikel:
 
        [[FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_Verbindungen_zu_.22botnet.22_Servern_blocken_oder_.C3.BCberwachen.3F]]
 
=== Was bedeutet der Konfigurationspunkt "Active Scanning" innerhalb einer SSID Konfiguration? ===
 
Dieser Konfigurationspunkt steht im Zusammenhang mit "Network Devices" resp. "Device Detection" und steht nur unter FortiOS 5.4 zur verfügung. Wenn "Device Detection" aktiviert wird und diese Funktion der "Device Detection" kann einen entsprechenden Device nicht identifizieren, wird dieser anhand "Active Scanning" Passive gescannt. Dabei wird die gleiche Technik angewandt wie in einem "vulnaribility scan". Diese Funktion wird auf allen Devices die "vulnerability scan" unterstützen per Standard aktiviert. Wir empfehlen im Wireless Bereich zwar die "Device Detection" zu aktivieren jedoch das "Active Scanning" per Standard zu deaktvieren sowie diese Funktion nur punktuell zu benutzen. Um die Funktion "Active Scanning" zu benutze muss "Device Detection" zuerst aktiviert werden. Dies kann im Mgmt. Web Interface durchgeführt werden für die entsprechende SSID oder über CLI:
 
        WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Active Scanning
 
        # config system interface
        # edit [Gebe das entsprechende Interface an zB "dmz"]
        # set device-identification [enable | disable]
        # set device-identification-active-scan [enable | disable]
        # end
 
=== Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic" innerhalb einer SSID Konfiguration? ===
 
Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind, können die User sofern "Block Intra-SSID Traffic" deaktiviert ist, nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke, von einem Device im selben Segment/IP Range (SSID). Dies gilt bis 5.4.0 ausschliesslich für "Tunnel To Wireless Controller" basierende SSID und nicht für "Local bridge with FortiAP's Interface". Ab FortiGate/FortiAP FortiOS 5.4.1 gilt dies für beide Modes dh. auch für "Local bridge with FortiAP's Interface". Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Forti Access Point resp. SSID komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:
 
        '''Block Intra-SSID Traffic Aktiviert'''
       
        # config wireless-controller vaps
        # edit [Name der SSID]
        # set intra-vap-privacy enable
        # set local-switching disable
        # end
 
        '''Block Intra-SSID Traffic Deaktiviert'''
       
        # config wireless-controller vaps
        # edit [Name der SSID]
        # set intra-vap-privacy disable
        # set local-switching enable
        # end
 
=== Was bedeutet der Konfigurationspunkt "Broadcast SSID" innerhalb einer SSID Konfiguration? ===
 
Wenn auf einem Forti Access Point eine SSID konfiguriert wird so wird diese per Standard über Broadcast mitgeteilt. Dies erlaubt dem Wireless Host/Client diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn der Broadcast der SSID unterbunden werden soll, kann dies für FortiOS 5.4 über Mgmt. Web Interface konfiguriert werden oder für FortiOS 5.0 sowie 5.2 in der CLI:
 
        WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Broadcast SSID
 
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set broadcast-ssid [enable | disable]
        # end
 
Die ebenfalls existierende Option "broadcast-suppress" unter der SSID resp. "wireless-controller vap" steht nicht im Zusammenhang mit der Option "broadcast-ssid". Die Option "broadcast-suppress" verhindert das ARP und/oder DHCP Broadcassts nicht zu den Forti Access Point's versendet werden die über die gleiche SSID verfügen resp. konfiguriert haben! Weitere Informationen zu "broadcast-suppress" siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]
 
=== Was bedeutet der Konfigurationspunkt "fast-roaming" innerhalb einer SSID Konfiguration? ===
 
Wenn Wireless Clients/Hosts sich in einem Wireless Netzwerk befinden/verbunden sind speziell zB mit Mobile Devices, kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen sich in Reichweite befindenden Forti Access Point wieder verbunden. Dadurch wird eine erneute Authentifizierung ausgelöst. Möchte man diese erneute Authentifikation verhindern so muss "fast-roaming" aktiviert werden was auf jeder SSID eines Forti Access Point der Fall ist. "fast-roaming" benützt 2 Unterschiedliche Techniken:
 
        '''• Pairwise Master Key (PMK) Caching'''
        Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im Cache abgelegt wird der mit dem ersten Access Point mit dem sich der
        User zu Beginn verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch bekannt als "fast roam back"!
 
        '''• Pre-authentication oder "fast-associate in advance"'''
        Aktiviert einen 802.11 Access Point der mit einem Client/Host verbunden ist um den verbundenen Client/Host auf eventuell weiteren Access Points
        zu authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen weiteren Access Points auf dem sich der Client/Host verbinden könnte
        dh. es veranlasst den Access Point auf dem der Client verbunden ist, diesen PMK abzulegen um zukünftige Authentifizierung für den Client/Host
        durchzuführen ohne das dieser eine Authentifizierung selber/manuell erneut durchführen muss.
 
        # config wireless-controller vap
        # edit [Name der SSID]
        # set fast-roaming enable
        # end
 
=== Was bedeutet der Konfigurationspunkt "multicast-enhance" (Frame Acknoledgement) innerhalb einer SSID Konfiguration? ===
 
Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" durchgeführt. Dieser Umstand kann Multicast" Uebermittlungen über die Forti Access Point's verlangsamen und somit die Performance im Multicast Bereich beeinträchtigen. Um diesen Umstand entgegenzutreten, kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine optimale Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:
 
        # config wirless-controller vap
        # edit [Name der entsprechenden SSID]
        # set multicast-enhance [enable | disable]
        # end
 
Dieses Kommando "multicast-enhance" aktiviert die Konvertierung von Multicast zu Unicast jedoch muss ein "threshold" konfiguriert werden dh. der Zeitpunkt ab dem Multicats zu Unicast umkonvertiert wird. Dies wird anhand "me-disable-thresh" konfiguriert. Dieser "thresold" konfiguriert eine obere Grenze für die Multicast Erweiterung dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (Anzahl Forti Access Point's).
 
        # config wirless-controller vap
        # edit [Name der entsprechenden SSID]
        # set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
        # end
 
=== Was bedeutet der Konfigurationspunkt "probe-resp-suppression" (Probe Respond Suppression) innerhalb einer SSID Konfiguration? ===
 
Um dem Wireless Client/Host eine Verbindung auf einen Forti Access Point zu ermöglichen, sendet der Forti Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22beacon-interval.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
Auf der Wireless Client/Host Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln den "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel: Werden diese "probe request" Frame vom Wireless Client/Host an den Forti Access Point gesendet um über den "probe response" Informationen über einen Wireless Client/Host im gleichen Wireless Netzwerk zu erhalten. Ebenfalls wird zB diese Funktion von Sniffer Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Forti Access Point über die folgende Option gesteuert:
 
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set probe-resp-suppression [enable | disable]
        # set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
        # next
        # end
 
Per Standard ist "probe-resp-suppression" deaktiviert dh. Die Funktion selber kann nicht komplett deaktiviert werden durch "enable". Jedoch kann durch den Werte "dBm" der Wert gesetzt werden in welchem Range ein "prope response" gesendet werden soll. "probe request" ausserhalb des Ranges werden nicht mehr beantwortet mit einem "probe response". Ebenfalls ist zu berücksichtigen, dass viele Mobile Wireless Clients/Hosts diese Funktion sobald eine Verbindung zu einem Forti Access Point etabliert wurde deaktivieren um deren Akkus zu schonen!
 
=== Was bedeutet der Konfigurationspunkt "broadcastsuppression" (Broadcast Suppression) innerhalb einer SSID Konfiguration? ===
 
Innerhalb einer SSID kann die Option "broadcastsuppression" mit verschiedenen Werten gesetzt werden. Dabei können verschiedenen Werte gleichzeitig gesetzt werden und der Fokus der Option liegt darin Broadcast Informationen im Zusammenhang mit ARP zu unterdrücken. Weitere detaillierte Informationen dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F]]
 
=== Was bedeutet der Konfigurationspunkt "pmf" (Protected Management Frames) innerhalb einer SSID Konfiguration? ===
 
Protected Management Frames schützen einige Management Frames wie zB "deauthorization", "disassociation" sowie "action" Frames for Angriffen. Dieses Feature wurde zwingend Notwendig für den Standard 802.11ac um zu verhindern, dass Angreifer "deauthorization/disassociation" Frames sendet um Verbindungen zu unterbrechen oder gänzlich zu verhindern. Diese Funktion PMF wurde spezifiziert in IEE 802.11w. Per Standard ist jedoch diese Funktion nicht aktiviert sollte jedoch aktiviert werden für Fortinet Access Points die über den 802.11ac Standard verfügung wie zB FAP-221C. Die Funktion wird folgendermasse aktiviert:
 
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set pmf [disable | enable | optional]
        # set pmf-assoc-comeback-timeout [1 - 20 Sekunden; Standard 1]
        # set pmf-sa-query-retry-timeout [1 - 5 = 100ms - 500ms]
        # next
        # end
 
Die Option "pmf optional" Bedeutet folgendes:  Optional wird PMF aktiviert und Clients/Workstations ohne PMF werden erlaubt.
 
=== Was bedeutet der Konfigurationspunkt "okc" (Opportunistic Key Caching) innerhalb einer SSID Konfiguration? ===
 
Die Option "okc" innerhalb einer SSID bedeutet: Opportunistic Key Caching und hat folgende Funktion: Wenn ein Client im Zusammenhang mit WPA/WPA2-Enterprise Authentifizierung eine Authentifizerung durchführt und diese Erfolgreich abgeschlossen wird so wird der PMK Identifier auf diesem Fortinet Access Point gespeichert und zu allen anderen Fortinet Access Point Distribuiert resp. in den Cache aller Fortinet Access Points geschrieben. Wenn ein Authentifizierter Client somit den Fortinet Access Point im Fast-Roaming/Roaming Verfahren wechselt, muss kein vollständiger EAP Exchange Voragang mehr ausgeführt werden da die Information für den Client bereits auf den Fortinet Access Points im Cache zur Verfügung steht. Diese Funktion kann innerhalb eine SSID folgendermassen aktiviert werden:
 
        # config wireless-controller vap
        # edit [Name der entsprechenden SSID]
        # set okc [disable | enable]
        # next
        # end
 
=== Was bedeutet der Konfigurationspunkt "Rogue AP’s" innerhalb einer WIDS Konfiguration? ===
 
"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: Illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der FortiGate Wireless Controller in dem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken, werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Ab FortiOS 5.2 ist diese Funktion WTP Profile basierend und wird über ein WIDS Profile konfiguriert und dem entsprechenden WTP Profile zugewiesen! Desweiteren muss berücksichtigt werden, dass auf einem "radio" für 802.11ac kein "Roque AP" Scan benützt werden kann (Stand FortiOS 5.2.5 Bug ID 225550). Um den FortiGate Wireless Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:
 
        '''FortiOS 5.0'''
       
        WiFi Controller > WiFi Network > Rogue AP Settings
       
        [[Datei:Fortinet-1268.jpg]]
       
        # config wireless-controller setting
        # set ap-scan enable
        # set on-wire-scan enable
        # end
 
        '''FortiOS 5.2/5.4'''
       
        [[Datei:Fortinet-1269.jpg]]
       
        # config wireless-controller wids-profile
        # set ap-scan enable
        # set rogue-scan enable
        # end
 
Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden WTP Profile's folgendes konfiguriert werden:
 
        '''FortiOS 5.0'''
       
        WiFi Controller > WiFi Network > Custom AP Profiles
       
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-1
        # set ap-bgscan enable
        # set rogue-scan enable
        # set ap-bgscan-period 300
        # set ap-bgscan-intv 1
        # set ap-bgscan-duration 20
        # set ap-bgscan-idle 100
        # end
        # end
 
        '''FortiOS 5.2/5.4'''
       
        WiFi Controller > WiFi Network > WIDS Profiles
       
        # config wireless-controller wids-profile
        # edit [Name des entsprechenden WIDS Profil]
        # set ap-scan [enable | disable]
        # set ap-scan-passive [enable | disable]
        # set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
        # set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
        # set ap-bgscan-period [Interval in Sekunden; Standard 600]
        # set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
        # set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
        # set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
        # set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
        # end
 
Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration ab FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:
 
        WiFi Controller > WiFi Network > WIDS Profiles
 
        [[Datei:Fortinet-1270.jpg]]
 
Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:Wenn ein Forti Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Forti Access Points im gleichen IPv4 Adress Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und Wireless Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung" muss mindestens ein Wireless Client/Host vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die Wireless MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:
 
        # config wireless-controller global
        # set rogue-scan-mac-adjacency [0 - 7; Standard 7]
        # end
 
=== Was bedeutet der Konfigurationspunkt "Band" (IEEE_802.11 Standard) innerhalb einer WTP Profile Konfiguration? ===
 
Wenn ein WTP Profile innerhalb des Mgmt. Web Interface einer FortiGate konfiguriert wird, stehen unter der Position "Band" folgende Möglichkeiten zur Verfügung:
 
        '''2.4 GHz Band'''
       
        [[Datei:Fortinet-1740.jpg]]
 
        '''5 GHz Band'''
       
        [[Datei:Fortinet-1741.jpg]]
 
In der CLI sieht diese mögliche Konfiguration folgendermassen aus:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-[1 oder 2]
        # set band [802.11a | 802.11b | 802.11g | 802.11n | 802.11n-5G | 802.11ac | 802.11n,g-only | 802.11g-only | 802.11n-only | 802.11n-5G-only | 802.11ac,n-only | 802.11ac-only]
        # end
        # end
 
Weitere Informationen zu den einzelnen IEEE_802.11 Möglichkeiten siehe nachfolgender Link:
 
        https://en.wikipedia.org/wiki/IEEE_802.11
 
=== Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP) innerhalb einer WTP Profile Konfiguration? ===
 
ARRP "Automatic Radio Resource Provisioning" oder DARRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "channels" (Kanäle) für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung (overlapping) der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet: Wenn diese Position aktiviert ist, sucht sich der FortiGate Wireless Controller den oder die besten "channels" raus, die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 1800 Sekunden (Standard) evaluiert und falls notwendig dem FortiGate Wireless Client/Host mitgeteilt damit dieser auf den neuen "channel" wechseln kann. Dieser Standard Wert 1800 Sekunden kann unter folgendem Kommando Konfiguriert werden:
 
        # config wireless-controller timers
        # set darrp-optimize [0 - 86400 Sekunden; Standard 1800 Sekunden]
        # end
 
Ab FortiOS 5.4 kann die DARRP resp. Radiu Resource Provisioning ebenfalls Zeitbasierend aktiviert werden dh. Wenn die Option "darrp-optimize auf "0" gesetzt wird so wird die Zeitgesteuerte DARRP Funktion aktiviert und es kann folgendes Konfiguriert werden:
 
        # config wireless-controller timers
        # set darrp-optimize 0
        # set darrp-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
        # set darrp-time [Zeitangabe im Format hour:minute]
        # end
 
Für die Optionen "darrp-day" sowie "darrp-time" können mehrer Angeben Konfiguriert werden dh. zB :
 
        # config wireless-controller timers
        # set darrp-optimize 0
        # set darrp-day monday | tuesday | wednesday | thursday | friday
        # set darrp-time 06:00 12:00 18:00
        # end
 
Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung zu wissen welche "channels" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F]]
 
Wenn nun feststeht welche "channels" in der Umgebung bereits benutzt werden, kann ein entsprechendes Forti Access Point WTP Profil erstellt werden unter berücksichtigung der zu wählenden "channels" speziell für den 2.4 GHz Bereich. Dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F]]
        [[FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F]]
        [[FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F]]
 
Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrere Access Points in Reichweite sind um diese Kollisionen unter den "channels" zu verhindern. DARRP wird in den entsprechenden WTP Profil "radios" des Forti Access Point für 2.4 GHz sowie 5 GHz konfiguriert. Im Mgmt. Web Interface findet man diese Position im WTP Profile unter:
 
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Radio Resource Provision"]
 
Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-[1 oder 2]
        # set darrp enable
        # end
        # end
 
Um nach der Konfiguration festzustellen ob eine Kollidierung (overlapping) unter den "channels" exisitiert, kann über "Wireless Health Monitor" die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:
 
        [[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]
 
aB FortiOS 5.2 wurde innerhalb des Forti Access Point wtp Profile's unter Radio-1 und/oder 2 die Position "Background Scan" (ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
=== Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse" innerhalb einer WTP Profile Konfiguration? ===
 
Unter FortiOS 5.0 existiert in den Forti Access Point WTP Profile unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health Monitor" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health Monitor" siehe nachfolgenden Artikel:
 
        [[FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F]]
 
Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's" (overlapping channel). "Background Scan" sowie "Spectrum Analyse" sollte unter normalen Umständen deaktiviert werden da diese Funktion enorm Performance Intensiv sind. Diese Funktion sollte nur vorübergehend aktiviert werden um "troubleshooting" oder "Analysen" durchzuführen! Desweiteren ist zu beachten, dass für die Forti Access Point FAP-221B, FAP-223B und FAP-221C im Zusammenhang mit FortiOS 5.2.4/5 diese Funktion nicht benutzt werden sollte (Bug 245323) da durch die Funktion "Spectrum Analyse" auf den Forti Access Point ein "high cpu" produziert wird! Ueber Mgmt. Web Interface findet man diesen Konfigurationspunkt unter:
 
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Background Scan/Spectrum Analyse"]
 
        [[Datei:Fortinet-1271.jpg]]
 
Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:
 
        # config wirless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-[1 oder 2]
        # set ap-bgscan eanble
        # end
        # end
 
        [[Datei:Fortinet-1272.jpg]]
 
        # config wirless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-[1 oder 2]
        # set spectrum-analysis eanble
        # end
        # end
 
Wenn die Funktion "Background Scan/Spectrum Analyse" aktiviert wird, können die entsprechenden Informationen auch über Kommandozeile abgeruft werden anhand folgenden Befehls:
 
        # diagnose wireless wlac -c rf-sa [Name des FAP zB "FP221B3X13843475"]  1
 
Weitere Informationen betreffend dem Troubleshooting Kommando "diagnose wireless" siehe nachfolgenden Artikel:
 
        [[FortiAP:FAQ#Welche_Troubleshooting_Kommandos_.28diagnose.29_stehen_auf_dem_Wireless_Controller_einer_FortiGate_zur_Verf.C3.BCgung.3F]]
 
=== Was bedeutet der Konfigurationspunkt "short guard intervall" innerhalb einer WTP Profile Konfiguration? ===
 
"Guard Intervalle" auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen gegen die digitale Daten die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei wie störanfällig eine Übertragung ist. Je länger ein solcher Intervall ist, desto besser schützt es gegen Störungen sowie geringer wird allerdings auch die Kanaleffektivität (Performance).
 
        '''802.11 Guard Interval'''
       
        Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
        fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
        "short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
        jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
        oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung
        könnte entwickelt werden, um herauszufinden ob ein "short guard intervall" von Vorteil wäre. Um die Komplexität
        zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
        zu erhöhen.
 
Wie beschrieben dient diese Konfiguration der Performance resp. um diese zu erhöhen. Jedoch kann die Aktivierung des "short guard intervall" auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser diese Funktion "short guard intervall" in der ersten Phase nicht zu benutzen resp. zu deaktivieren! "short guard intervall" kann für den 5 GHz Bereich für 40/80 MHz aktiviert/deaktiviert werden:
 
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]
       
        [[Datei:Fortinet-1273.jpg]]
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-[1 oder 2]
        # set short-guard-interval enable
        # end
        # end
 
=== Was bedeutet der Konfigurationspunkt "channel-bonding" (Channel Width) innerhalb einer WTP Profile Konfiguration? ===
 
Die Funktion "channel-bonding" (40/20 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat, ist der Einsatz dieser Funktion kontraproduktiv sowie störanfällig und sollte deshalb nicht benutzt werden. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" für 2.4 GHz nicht im 40 MHz Bereich zu empfehlen! Da die einzelnen Kanäle breiter werden aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr das sich WLANs gegenseitig stören wenn sie auf angrenzenden Kanälen (channel) funken. Die Standard Werte für das "channel-bonding" im 2.4 GHz und 5 GHz Bereich ist 20 MHz. Das "channel-bonding" im 5 GHz Bereich kann unter FortiOS 5.0/5.2 innerhalb der Forti Access Point WTP Profile konfiguriert werden. Unter FortiOS 5.4 steht diese Funktion nur über CLI zur Verfügung.:
 
        '''FortiOS 5.0'''
       
        WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
       
        [[Datei:Fortinet-1274.jpg]]
       
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # config [radio-1 oder 2]
        # set channel-bonding [enable | disable]
        # end
 
        '''FortiOS 5.2'''
       
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
       
        [[Datei:Fortinet-1275.jpg]]
       
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # config [radio-1 oder 2]
        # set channel-bonding [20MHz | 40MHz]
        # end
 
Damit "channel-bonding" aktiviert werden kann für 40 MHz im 2.4 GHz Bereich obwohl dies nicht zu empfehlen ist, müssen zuerst im entsprechende WTP Profile für die "channel" ein "unset" durchgeführt werden:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # config radio-1
        # unset channel
        # set channel-bonding 40MHz
        # end
 
Diese Funktion steht ebenfalls im Zusammenhang mit der Funktion "coexistence". Weitere Informationen dazu siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22coexistence.22_innerhalb_einer_WTP_Profile_Konfiguration.3F]]
 
=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Access Point Hand-off" innerhalb einer WTP Profile Konfiguration? ===
 
Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende: Ein "Hand-off" wird durch den Forti Access Point ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem Forti Access Point den gesetzten "threshold" übersteigt, wird der Wireless Client/Host angewiesen auf den nächsten Forti Access Point und/oder "radio" zu wechseln. Für diesen Wechsel des "Hand-off" ist die Signalstärke des Client/Host entscheidend (RSSI threshold). Dieser Wert erhält der Client/Host vom zuständigen Forti Access Point. Um zu verhindern das der Zugriff auf den Client/Host durch einen Forit Access Point verhindert wird, werden wiederholende Anfragen zum Forti Access Point durch den Wirless Client/Host der auf dem Forti Access Point verbunden ist akzeptiert. Dieser Vorgang nennt man "soft-limit":
 
        [[Datei:Fortinet-340.jpg]]
 
Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden WTP Profil ein- oder auszuschalten sowie den "threshold" zu setzen:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
        # config [radio-1 oder 2]
        # set ap-handoff {disable | enable}
        # end
        # end
 
"handoff-sta-thresh" bedeutet: Der Durchschnitt verbundener Wireless Clients/Host der erreicht werden soll auf einem Forti Access Point, bevor diese Wireless Clients/Hosts durch den Forti Access Point angewiesen werden sich auf dem nächsten Forti Access Point zu verbinden! Die Funktion des "ap-handhoff" kann wie hier gezeigt über Mgmt. Web Interface durchgeführt werden. Jedoch ist die Konfiguration "handoff-sta-thresh" nur über CLI möglich! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:
 
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "AP Handoff"]
 
=== Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Hand-off" innerhalb einer WTP Profile Konfiguration? ===
 
Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Access Point Frequenzy Hand-off" ist die folgende: Der FortiGate Wireless Controller überprüft in gewissen Abständen die Wireless Clients/Hosts betreffend Ihrer Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den FortiGate Wireless Controller betreffend dem Wireless Client/Host die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer Wireless Client/Host sich verbinden will, überprüft der FortiGate Wireless Controller die MAC Adresse des Wireless Client/Host und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen abgelegt sind, wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiGate Wireless Controller entscheiden ob der Device über "dual band" (2.4 GHz / 5 GHz verfügt oder nicht:
 
        [[Datei:Fortinet-341.jpg]]
 
        • Wenn der Wireless Client/Host über "kein" Dual-Band verfügt: Wird dem Wireless Client/Host erlaubt sich mit dem Access Point
          (2.4 GHz) zu verbinden!
         
        • Wenn der Wireless Client/Host über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiGate Wireless Controller
          nicht auf die Anfrage betreffend 2.4 GHz sondern der Wireless Client/Host wird angewiesen sich mit 5 GHz auf den Forti Access
          Point zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Forti
          Access Point durch den Wireless Client/Host auf dem Forti Access Point auf dem sich der Wireless Client/Host verbinden will
          akzeptiert (soft-limit).
 
Einige Wireless Clients/Hosts unterstützen diesen Vorgang dh. diese Wireless Client/Host unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 5 GHz benutzt. Auf den Wireless Clients/Hosts wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices. Das "frequency-off" respektive der "threshold" wird unter der CLI folgendermassen konfiguriert:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # set handoff-rssi  [Grenzwert des handoff; Standard 25]
        # config [radio-1 oder 2]
        # set frequenciy-handoff {disable | enable}
        # end
        # end
 
"handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Wireless Client/Host bevor der Wireless Client/Host auf den 5 GHz Bereich verschoben wird! Die Konfiguration des "frequenciy-handoff kann ebenfalls im Mgmt. Web Interface durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:
 
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Frequency Handoff"]
 
=== Was bedeutet der Konfigurationspunkt "Auto TX Power Control" innerhalb einer WTP Profile Konfiguration? ===
 
Bei "Auto TX Power Control" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Auto TX Power Control" aktiviert und somit herabgesetzt werden. AB FortiOS 5.0 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:
 
        • Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
         
        • Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
 
Die Informationen über die Signalstärke wird durch den FortiGate Wireless Controller im Hintergrund gesammelt und ausgewertet. Aus diesem Grund erkennt der FortiGate Wireless Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der über dessen FortiGate Wireless Controller verwaltet wird. Desweiteren ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das wenn 50% TX Power benützt wird  folgendes gilt:
 
            50% of 100mW = 50mW was wiederum 17dBm entspricht
           
              0 dBm =  1 mW
              3 dBm =  2 mW
              6 dBm =  4 mW
              9 dBm =  7.9 mW
            12 dBm =  15.8 mW
            15 dBm =  31.6 mW
            18 dBm =  61.1 mW
            21 dBm = 125.9 mW
            24 dBm = 251.2 mW
 
Dieser Konfigurationspunkt kann im entsprechenden Forti Access Point WTP Profil konfiguriert werden:
 
        WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control"]
 
        [[Datei:Fortinet-1278.jpg]]
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # config [radio-1 oder 2]
        # set auto-power-level [enable | disable]
        # set power-level [Setze den entsprechenden Wert in % dh. 1 - 100; Standard 100]
        # end
 
=== Was bedeutet der Konfigurationspunkt "protection-mode" (802.11g Protection Mode) innerhalb einer WTP Profile Konfiguration? ===
 
Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:
 
        http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination
 
Ab FortiGate 5.06 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert für "protection-mode" auf "disable":
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # config [radio für 5 GHz]
        # set protection-mode [ctsonly | disable | rtscts]
        # end
        # end
        # end
 
Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder 802.11b Wireless Clients/Hosts verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt. Aus diesen Informtionen stellt sich die Frage wann dieser Protection Mode aktiviert werden soll und wenn nicht. Die Antwort ist nicht Generell zu beantworten! Jedoch kann man Grundsätzlich von Folgendem ausgehen:
 
        • Wenn der Forti Access Point sowie die Wireles Clients/Hosts ausschliesslich 802.11g und/oder 802.11n benutzen, kann der
          Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:
         
          protection-mode disabled            = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
 
        • Wenn der Forti Access Point sowie die Wireless Clients/Hosts zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der
          Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten und diese
          "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:
         
          protection-mode ctsonly oder rtscts  = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b
 
=== Was bedeutet der Konfigurationspunkt "beacon-interval" innerhalb einer WTP Profile Konfiguration? ===
 
Ein Forti Access Point sendet in einstellbaren Intervallen (beacon-intervall) kleine Datenpakete, sogenannte "beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die "beacons" enthalten unter anderem folgende Informationen:
 
        • Netzwerkname ("Service Set Identifier", SSID)
        • Liste unterstützter Übertragungsraten
        • Art der Verschlüsselung
 
Dieses "Leuchtfeuer" (beacons) erleichtert den Verbindungsaufbau ganz erheblich, da die Wireless Clients/Hosts lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität und zwar auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. "beacons" werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet um somit ein erfolgreiche Empfang des "Leuchtfeuers" garantiert wird. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate im WTP Profile steht dieser Wet auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch, bedeutet dies eine hohe Kapazität auf dem Forti Access Point sprich viele Wireless Clients/Hosts können sich auf dem Forti Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Wireless Clients/Hosts benötigen eine sehr lange Zeit bis die Verbindung zustande kommt, da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert, werden die passiven Scan's der Wireless Clients/Hosts schneller beantwortet. Also ist die Verbindung schneller jedoch sinkt die Kapazität des Forti Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen (overlapping channel) sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Wireless Clients/Hosts sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:
 
        # config system wireless-controller wtp-profile
        # edit [Name des entsprechendend WTP Profile]
        # config radio-[1 | 2]
        # set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
        # end
 
Der Standard Wert 100 für "beacon's" sollte unter normalen Umständen nicht manipuliert werden! Kommt es zu Problemen, sollte bevor der Interval der "beacon's" manipuliert wird eventuell die Option "probe-resp-suppresion" konsultiert werden, Dazu siehe nachfolgender Artikel:
           
        [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22probe-resp-suppression.22_.28Probe_Respond_Suppression.29_innerhalb_einer_SSID_Konfiguration.3F]]
 
=== Was bedeutet der Konfigurationspunkt "ekahau-blink-mode" innerhalb einer WTP Profile Konfiguration? ===
 
Die Option "ekahau-blink-mode" stellt einen Service dar für das "Real-Time Location System" von Ekahau Vision. Diese Funktion erlaubt es Informationen basierend auf dem Ekahau Vision zum diesem Dienst von Ekahau Vision zu senden um das "Real-Time Location System" zu benützen. Dies bedeutet: Diese Option steht nur im Zusammenhang mit diesem Dienst und muss auch nur dann aktiviert werden wenn dieser Dienst genutzt wird:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config lbs
        # set ekahau-blink-mode [enalbe | disable]
        # set ekahau-tag [ Mac Adresse xx:xx:xx:xx:xx:xx]
        # set erc-server-ip [IPv4 Adresse]
        # set erc-server-port [Port Nummer]
        # end
        # end
 
=== Was bedeutet der Konfigurationspunkt "coexistence" innerhalb einer WTP Profile Konfiguration? ===
 
Wenn man ein WTP Profile konfiguriert existiert in den "radio-1 oder 2" settings eine Option mit dem Namen "coexistence". Diese Option steht im Zusammenhang mit den Modi "802.11n und 802.11ac" und somit für 2.4GHz und 5GHz. Die Konfiguration für "coexistence" kann nur über CLI durchgeführt werden und zwar folgendermassen:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profils]
        # config radio-[1 | 2]
        # set channel-bonding [20MHz | 40MHz | 80MHz]
        # set coexistence [enable | disable]
        # end
        # end
 
Die Option steht im direkten Zusammenhang mit dem "channel-bonding". Dies bedeutet: ist das "channel-bonding" auf 20MHz gesetzt steht die Option "coexistence" nicht zur Verfügung da der 40MHz Bereich nicht aktiviert ist. Wenn das "channel-bounding" auf 40MHz gesetzt ist kann die "coexsistence" aktiviert werden was wiederum bedeutet: 20MHz und 40MHz koesistierten resp. beide sind erlaubt. Die Option "coexistence" definiert den HT20 resp. HT40 Mode was wiederum bedeutet:
 
        HT20 = Einzelner 20MHz Channel
        HT40 = 2 X 20Mhz Channels und Autoselektierung des Sekundären höherer und tieferen Channels
 
Wenn somit ein "channel-bounding" aktiviert wird auf 40MHz  jedoch die "coexistence" deaktiviert ist so wird 20MHz als Sekundärer Channel ausgeschlossen. Aus kompatibilitäts Gründen sollte dies nicht konfiguriert werden, kann jedoch in Ausnahmen Sinn machen wenn die Performance ausschlaggeben ist jedoch klar damit gerechnet wird das Geräte im 20MHz Bereich damit ausgeschlossen werden.
 
=== Was bedeutet der Konfigurationspunkt "max-distance" (ACK timeout) innerhalb einer WTP Profile Konfiguration? ===
 
Das "ACK timeout" auf einem Forti Access Point wird über die Option "max-distance" innerhalb eines WTP Profiles gesteuert. Dies wird in der CLI wie folgt beschrieben:
 
        Setzt das erwartete Maximum in Meter zwischen dem Forti Access Point und den Wireless Clients. Dieser Wert verändert
        "ACK timeout" auf dem Forti Access Point um einen maximalen throughput für die maximale definierte Distanz zwischen
        Forti Access Point und Wireless Client zu erreichen. Mögliche Werte sind zwischen 0 und 20'000 Meter (Standard 0).
 
Unter normalen Umständen sollte dieser Wert dh. "0" belassen werden. Wird jedoch eine Punkt zu Punkt Verbindung konfiguriert/etabliert über lange Distanzen zB eine Bridge, kann dieser Wert angepasst werden um ein grosszügiges "ACK timeout" zu erlauben. Für ein Troubleshooting kann dieses Timeout auf dem Forti Access Point angepasst werden. Folgender Befehl Lokal auf dem Forti Access Point gibt den momentanen Wert aus für "ACK timeout" aus:
 
        # iwpriv wifi0 get_acktimeout
        wifi0      get_acktimout:64  (0x40)
 
Um den das "ACK timeout" auf dem FortiAP anzupassen führe folgendes durch:
 
        # Iwpriv wifi-acktimeout [ Wert zB "120"]
 
Wie Lokaler Zugriff erlangt wird auf einen Forti Access Point beschreibt nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
=== Was bedeutet der Konfigurationspunkt "transmit-optimize / powersave-optimize" (PowerSave) innerhalb einer WTP Profile Konfiguration? ===
 
Die Optionen "transmit-optimize / powersave-optimize" die in einem WTP Profile innerhalb von "radio-1" gesetzt werden können stehen im Zusammenhang mit der "Strom-Spar / Power-Saving" Funktion und 2.4 GHz. Diese Funktion kommt vor allem in mobilen und damit Akku-betriebenen Geräten zu Zuge. Zum Beispiel: Smartphones, Tablets und Notebooks. Um die Akku-Laufzeit dieser Geräte zu verlängern gibt es spezielle Strom-Spar- und Power-Management-Funktionen. Die Traffic-Indicator-MAP (TIM) ist eine Liste, die der Access Point erstellt, um dort alle Wireless-Stationen zu speichern. Um diese Liste aktuell zu halten, schickt der Access Point regelmäßig TIM-Signale (Beacons), die die Wireless-Stationen aufwecken. Die Delivery-Traffic-Indicator-MAP (DTIM) ist auch eine Liste, die vom Access Point gepflegt wird. Der DTIM-Beacon ist ein Broadcast-Signal, das mit einem größeren zeitlichen Abstand gesendet wird, als der TIM-Beacon. Im Regelfall werden WLAN-Netzwerkkarten nur mit dem DTIM-Beacon aufgeweckt um die Laufzeit mobiler Geräte noch weiter zu erhöhen. Unter normalen Umständen sollte die standard Konfiguration nicht verändert werden. Ist dies denoch nötig stehen unter den Optionen folgende Möglichkeiten zur Verfügung:
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profil]
        # config [radio-1]
        # set transmit-optimize [disable | power-save | aggr-limit | retry-limit | sendbar]
        # end
        # end
 
Die möglichen Optionen haben folgende Bedeutung:
 
        • disable:      Disable transmit optimization.
        • power-save:  Mark a client as power save mode if excessive transmit retries happen.
        • aggr-limit:  Set aggregation limit to a lower value when data rate is low.
        • retry-limit:  Set software retry limit to a lower value when data rate is low.
        • send-bar:    Do not send BAR frame too often.
 
Per Standard steht die Option "transmit-optimize" auf folgende Werte:
 
        # set transmit-optimize power-save aggr-limit retry-limit sendbar
 
Zusätzlich gibt es die Möglichkeit im 2.4 GHz Bereich den nicht mehr unterstützten 802.11b Bereich komplett zu deaktivieren. Dies wird erreicht in dem die Sendetzeit heruntergesetzt wird für die "beacons" der Management Frames. Damit wird das Signal mit Minimum 6Mbps gesendet anstellt 1Mbps und somit wird 802.11b ausgeschlossen: 
 
        # config wireless-controller wtp-profile
        # edit [Name des entsprechenden WTP Profil]
        # config [radio-1]
        # set powersave-optimize no-11b-rate
        # end
        # end
 
Unter "powersave-optimize" stehen weitere Optionen zur Verfügung die jedoch nur in speziellen Situationen benutzt werden sollten:
 
        • tim                  TIM bit for client in power save mode.
        • ac-vo                Use AC VO priority to send out packets in the power save queue.
        • no-obss-scan          Do not put OBSS scan IE into beacon and probe response frame.
        • no-11b-rate          Do not send frame using 11b data rate.
        • client-rate-follow    Adapt transmitting PHY rate with receiving PHY rate from a client.
 
== Wireless Client ==
=== Welcher Wireless Client unterstützt welche Kanaele? ===
[[File:info.svg|35px|link=]]
 
Auf der folgenden Listen kann man entnehmen, welche Wireless Clients welche Kanäle unterstützen:
  [[Datei:Client-DFS-CapabilitiesSupport-Tabelle.pdf]]
 
Diese Liste habe ich von folgender Quelle:
https://clients.mikealbano.com/
----
<small>''add 18.03.2022 - 4Tinu''</small>
 
== CLI ==
 
=== Welche Kommandos können Lokal auf einem Forti Access Point über die CLI eingegeben werden? ===
 
Grundsätzlich wird eine Konfiguration eine Forti Access Points über den FortiGate Wireless Controller durchgeführt. Nichts desto trotz verfügt ein Forti Access Point Lokal über Befehlsatz der es erlaubt zB eine statische IPv4 Konfiguration durchzuführen oder ein Troubleshooting. Um Lokal auf einem Forti Access Point per "telnet" zu verbinden muss dieser Zugriff aktiviert werden. Danach kann über den FortiGate Wireless Controller per "telnet" eine Verbindung zu einem entsprechenden Forti Access Point erstellt werden um Lokal auf dem Forti Access Point die Kommandos einzugeben. Weitere Informationen wie dieser Zugriff aktiviert wird siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
Unter FortiOS 5.0/5.2/5.4 stehen folgende Kommandos zur Verfügung:
 
        <big>'''FortiOS 5.0'''</big>
       
        '''# fap-get-status'''
        Version: FortiAP-220B v5.0,build064,140117 (GA)
        Serial-Number: FAP22B3U11011877
        BIOS version: 04000010
        Regcode: E
        Hostname: FAP22B3U11011877
        Branch point: 064
        Release Version Information:GA
       
        '''# help'''
        FortiAP commands:
        -----------------
                brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
                diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
                fap-get-status, fap-set-hostname, restore, radartool
       
        '''# brctl -h'''
        brctl: invalid argument '-h' to 'brctl'
       
        BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary
       
        Usage: brctl COMMAND [BRIDGE [INTERFACE]]
       
        Manage ethernet bridges.
       
        Commands:
                show                    Show a list of bridges
                showmacs BRIDGE        Show a list of mac addrs
                addbr BRIDGE            Create BRIDGE
                delbr BRIDGE            Delete BRIDGE
                addif BRIDGE IFACE      Add IFACE to BRIDGE
                delif BRIDGE IFACE      Delete IFACE from BRIDGE
                setageing BRIDGE TIME          Set ageing time
                setfd BRIDGE TIME              Set bridge forward delay
                sethello BRIDGE TIME            Set hello time
                setmaxage BRIDGE TIME          Set max message age
                setpathcost BRIDGE COST        Set path cost
                setportprio BRIDGE PRIO        Set port priority
                setbridgeprio BRIDGE PRIO      Set bridge priority
                stp BRIDGE [1|0]                STP on/off
       
        '''# cw_test_radio -h'''
        /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       
        '''# diag_console_debug -h'''
        Usage:
       
                diag_console_debug <on|off>              --turn on/off console log message
       
        '''# diag_debug_crashlog'''   
        Usage:
       
                diag_debug_crashlog clear                    --clear crash log
                diag_debug_crashlog read                      --read crash log and print
       
        '''# cfg -h'''
        cfg -h            - output this help
        cfg -r var        - remove variables
        cfg -e            - export variables
        cfg -s            - list variables
        cfg -x            - resetting to factory defaults
        cfg -c            - commit the change to flash
        cfg -a var=value  - add or change variables
       
        Supported Variable Names:
            BAUD_RATE
                9600, 19200, 38400, 57600, 115200
            WTP_NAME
            WTP_LOCATION
            FIRMWARE_UPGRADE
            LOG IN_PASSWD
            ADM IN_TIMEOUT
                Telnet and GUI session admin timeout in minutes
            ADDR_MODE
                DHCP, STATIC
            AP_IPADDR
            AP_NETMASK
            IPGW
            AP_MODE
                0(Thin AP), 2(Site Survey)
            DNS_SERVER
            STP_MODE
            AP_MGMT_VLAN_ID
            TELNET_ALLOW
            HTTP_ALLOW
            AC_DISCOVERY_TYPE
                0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
            AC_IPADDR_1
            AC_IPADDR_2
            AC_IPADDR_3
            AC_HOSTNAME_1
            AC_HOSTNAME_2
            AC_HOSTNAME_3
            AC_DISCOVERY_MC_ADDR
            AC_DISCOVERY_DHCP_OPTION_CODE
            AC_CTL_PORT
            AC_DATA_CHAN_SEC
                0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
            MESH_AP_TYPE
                0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
            MESH_AP_SSID
            MESH_AP_BSSID
            MESH_AP_PASSWD
            MESH_ETH_BRIDGE
                Only take effect with MESH_AP_TYPE 1(mesh) AP
            MESH_MAX_HOPS
            MESH_SCORE_HOP_WEIGHT
            MESH_SCORE_CHAN_WEIGHT
            MESH_SCORE_RATE_WEIGHT
            MESH_SCORE_BAND_WEIGHT
            MESH_SCORE_RSSI_WEIGHT
            SURVEY_SSID
            SURVEY_TX_POWER
            SURVEY_CH_24
            SURVEY_CH_50
            SURVEY_BEACON_INTV
       
        '''# cw_diag help'''
        cw_diag usage:
            cw_diag help                            --show this usage
            cw_diag uptime                          --show daemon uptime
            cw_diag --tlog  <on|off>                --turn on/off telnet log message.
            cw_diag --clog  <on|off>                --turn on/off console log message.
            cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
            cw_diag kernel-panic [size [ID]]        --show saved kernel panic log fromflash
            cw_diag kernel-panic clear              --clear saved kernel panic log from flash
            cw_diag k-dvlan-debug [0-15]            --enable/disable kernel dynamic vlan debug
            cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
            cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
            cw_diag sniff [intf [0|1|2] | clear]    --show, set or clear sniff setting on intf
            cw_diag stats wl_intf                    --show wl_intf status
            cw_diag wl-log                          --get wlan's beacon/probe related info
            cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
            cw_diag pkt-pattern [rId]                --show traffic packet length info.
            cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
            cw_diag sys-performance                  --show CPU load and memory usage
            cw_diag clear debug                      --clear all debug settings
            cw_diag show debug                      --show all debug settings
            cw_diag show control                    --show all -c settings
            cw_diag show all                        --show all debug and -c settings
            cw_diag -c wtp-cfg                      --show current wtp config params in control plane
            cw_diag -c radio-cfg                    --show current radio config params in control plane
            cw_diag -c ssid                          --show current configrued SSIDs
            cw_diag -c vap-cfg                      --show current vaps in control plane
            cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
            cw_diag -c sta-rogue                    --show rogue STAs pushed by AC for on-wire scan
            cw_diag -c arp-req                      --show scanned arp requests
            cw_diag -c ap-scan                      --show scanned APs
            cw_diag -c sta-scan                      --show scanned STAs
            cw_diag -c sta-cap                      --show scanned STA capabilities
            cw_diag -c sta-locate                    --show scanned STA locate data
            cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
            cw_diag -c wids                          --show scanned WIDS detections
            cw_diag -c mesh                          --show mesh status
            cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
            cw_diag -c mesh-veth-vap                --show mesh veth vap
            cw_diag -c mesh-veth-host                --show mesh veth host
            cw_diag -c mesh-ap                      --show mesh ap candidates
            cw_diag -c vlan                          --show current vlan info in daemon
            cw_diag -c sta                          --show current station info in daemon
            cw_diag -c sys-vbr                      --show WTP Vlan Bridges
            cw_diag -c net-topo                      --show interface topology
            cw_diag -c k-vap                        --show WTP Kernel local-bridge VAPs
            cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
            cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
            cw_diag -c k-vbr                        --show WTP Kernel local-bridge Vlan Bridges
            cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
            cw_diag -c ap-suppress                  --show suppressed APs
            cw_diag -c sta-deauth                    --de-authenticate an STA
 
        <big>'''FortiOS 5.2'''</big>
       
        '''# get system status'''
        Version: FortiAP-221C v5.2,build490,140616 (GA)
        Serial-Number: FP221C3X14001296
        BIOS version: 04000003
        Regcode: E
        Base MAC: 08:5b:0e:5d:f7:0c
        Hostname: FP221C3X14001296
        Branch point: 212
        Release Version Information: GA
       
        '''# help'''
        FortiAP commands:
        -----------------
                brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
                diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
                fap-get-status, fap-set-hostname, restore, radartool
       
        '''# cw_test_radio -h'''
        /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       
        '''# diag_console_debug -h'''
        Usage:
       
                diag_console_debug <on|off>              --turn on/off console log message
       
        '''# diag_debug_crashlog'''     
        Usage:
       
                diag_debug_crashlog clear                    --clear crash log
                diag_debug_crashlog read                      --read crash log and print
       
        '''# cfg -h'''
        cfg -h            - output this help
        cfg -r var        - remove variables
        cfg -e            - export variables
        cfg -s            - list variables
        cfg -x            - resetting to factory defaults
        cfg -c            - commit the change to flash
        cfg -a var=value  - add or change variables
       
        Supported Variable Names:
            BAUD_RATE
                9600, 19200, 38400, 57600, 115200
            WTP_NAME
            WTP_LOCATION
            FIRMWARE_UPGRADE
            LOGIN_PASSWD
            ADMIN_TIMEOUT
                Telnet and GUI session admin timeout in minutes [0-480]
            ADDR_MODE
                DHCP, STATIC
            AP_IPADDR
            AP_NETMASK
            IPGW
            AP_MODE
                0(Thin AP), 2(Site Survey)
            DNS_SERVER
            STP_MODE
            AP_MGMT_VLAN_ID
            TELNET_ALLOW
            HTTP_ALLOW
            DDNS_ENABLE
            DDNS_PORT
            DDNS_SERVER
                0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
            DDNS_UNIQUE_LOCATION
            AC_DISCOVERY_TYPE
                0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
            AC_IPADDR_1
            AC_IPADDR_2
            AC_IPADDR_3
            AC_HOSTNAME_1
            AC_HOSTNAME_2
            AC_HOSTNAME_3
            AC_DISCOVERY_MC_ADDR
            AC_DISCOVERY_DHCP_OPTION_CODE
            AC_CTL_PORT
            AC_DATA_CHAN_SEC
                0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
            MESH_AP_TYPE
                0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
            MESH_AP_SSID
            MESH_AP_BSSID
            MESH_AP_PASSWD
            MESH_ETH_BRIDGE
                Only take effect with MESH_AP_TYPE 1(mesh) AP
            MESH_MAX_HOPS
            MESH_SCORE_HOP_WEIGHT
            MESH_SCORE_CHAN_WEIGHT
            MESH_SCORE_RATE_WEIGHT
            MESH_SCORE_BAND_WEIGHT
            MESH_SCORE_RSSI_WEIGHT
            SURVEY_SSID
            SURVEY_TX_POWER
            SURVEY_CH_24
            SURVEY_CH_50
            SURVEY_BEACON_INTV
       
        '''# cw_diag help'''
        cw_diag usage:
            cw_diag help                            --show this usage
            cw_diag uptime                          --show daemon uptime
            cw_diag --tlog  <on|off>                --turn on/off telnet log message.
            cw_diag --clog  <on|off>                --turn on/off console log message.
            cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
            cw_diag kernel-panic [size [ID]]        --show saved kernel panic log fromflash
            cw_diag kernel-panic clear              --clear saved kernel panic log from flash
            cw_diag k-dvlan-debug [0-15]            --enable/disable kernel dynamic vlan debug
            cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
            cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
            cw_diag sniff [intf [0|1|2] | clear]    --show, set or clear sniff setting on intf
            cw_diag stats wl_intf                    --show wl_intf status
            cw_diag deauth wl_intf sta-mac          --deauthenticate the sta from wl_intf
            cw_diag disassoc wl_intf sta-mac        --disassociate the sta from wl_intf
            cw_diag ksta                            --show clients on the FortiAP
            cw_diag wl-log                          --get wlan's beacon/probe related info
            cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
            cw_diag pkt-pattern [rId]                --show traffic packet length info.
            cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
            cw_diag sys-performance                  --show CPU load and memory usage
            cw_diag clear debug                      --clear all debug settings
            cw_diag show debug                      --show all debug settings
            cw_diag show control                    --show all -c settings
            cw_diag show all                        --show all debug and -c settings
            cw_diag -c wtp-cfg                      --show current wtp config params in control plane
            cw_diag -c radio-cfg                    --show current radio config params in control plane
            cw_diag -c ssid                          --show current configrued SSIDs
            cw_diag -c vap-cfg                      --show current vaps in control plane
            cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
            cw_diag -c sta-rogue                    --show rogue STAs pushed by AC for on-wire scan
            cw_diag -c arp-req                      --show scanned arp requests
            cw_diag -c ap-scan                      --show scanned APs
            cw_diag -c sta-scan                      --show scanned STAs
            cw_diag -c sta-cap                      --show scanned STA capabilities
            cw_diag -c sta-locate                    --show scanned STA locate data
            cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
            cw_diag -c wids                          --show scanned WIDS detections
            cw_diag -c mesh                          --show mesh status
            cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
            cw_diag -c mesh-veth-vap                --show mesh veth vap
            cw_diag -c mesh-veth-host                --show mesh veth host
            cw_diag -c mesh-ap                      --show mesh ap candidates
            cw_diag -c vlan                          --show current vlan info in daemon
            cw_diag -c sta                          --show current station info in daemon
            cw_diag -c sys-vbr                      --show WTP Vlan Bridges
            cw_diag -c net-topo                      --show interface topology
            cw_diag -c k-vap                        --show WTP Kernel local-bridge VAPs
            cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
            cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
            cw_diag -c k-vbr                        --show WTP Kernel local-bridge Vlan Bridges
            cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
            cw_diag -c ap-suppress                  --show suppressed APs
            cw_diag -c sta-deauth                    --de-authenticate an STA
 
        <big>'''FortiOS 5.4'''</big>
       
        '''# get system status'''
        Version: FortiAP-221C v5.4,build0327,160107 (GA)
        Serial-Number: FP221C3X14001296
        BIOS version: 04000003
        System Part-Number: P15285-01
        Regcode: E
        Base MAC: 08:5b:0e:5d:f7:0c
        Hostname: FP221C3X14001296
        Branch point: 327
        Release Version Information: GA
       
        '''# help'''
        FortiAP commands:
        -----------------
                brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
                diag_console_debug, diag_debug_crashlog, diag_sniffer
                dmesg, factoryreset, fap-get-status, fap-set-hostname
                ft_rate_config, restore, radartool, reboot
       
        '''# cw_test_radio -h'''
        /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       
        '''# diag_console_debug -h'''
        Usage:
       
                diag_console_debug <on|off>              --turn on/off console log message
       
        '''# diag_debug_crashlog'''     
        Usage:
       
                diag_debug_crashlog clear                    --clear crash log
                diag_debug_crashlog read                      --read crash log and print
       
        '''# cw_test_led'''
        /sbin/cw_test_led <all|power|status|wifi1|wifi2> <all|0|1|2|3|4> [interval]
        lan is controlled by hardware, we don't test it here
                  0: Off
                  1: On-Amber
                  2: On-Green
                  3: On-Flashing Amber
                  4: On-Flashing Green
          interval: Period in each state when all is selected for state
       
        '''# dmesg'''
       
        '''# ft_rate_config'''
        ft_rate_config usage:
        command and options:
                -n <dev_name> -p
                -n <dev_name> -m [11bg|11a|11n|11ac] -s <string_256>
                -n <dev_name> -a
                -n <dev_name> -r
                -p print out current rate configuration
                -m radio mode
                -s configure rate set
                    11a string format is (6|6-basic,9|9-basic,12|12-basic,18|18-basic,24|24-basic,36|36-basic,48|48-basic,54|54-basic)
                    11bg string format includes 11a string format and also (1|1-basic,2|2-basic,5.5|5.5-basic)
                    11n string format is (mcs0/1,mcs1/1,...,mcs6/1,mcs7/1,mcs8/2,mcs9/2,...,mcs15/2,mcs16/3,mcs17/3,...,mcs31/4)
                    11ac string format is (mcs0/1,mcs1/1,mcs2/1,...,mcs8/1,mcs9/1,mcs0/2,mcs1/2,...,mcs9/4)
                -a apply the current configuration to radio
                -r reset the user configuration from the ssid
       
        '''# cfg -h'''
        cfg -h            - output this help
        cfg -r var        - remove variables
        cfg -e            - export variables
        cfg -s            - list variables
        cfg -x            - resetting to factory defaults
        cfg -c            - commit the change to flash
        cfg -a var=value  - add or change variables
       
        Supported Variable Names:
            BAUD_RATE
                9600, 19200, 38400, 57600, 115200
            WTP_NAME
            WTP_LOCATION
            FIRMWARE_UPGRADE
            LOGIN_PASSWD
            ADMIN_TIMEOUT
                Telnet and GUI session admin timeout in minutes [0-480]
            ADDR_MODE
                DHCP, STATIC
            AP_IPADDR
            AP_NETMASK
            IPGW
            AP_MODE
                0(Thin AP), 2(Site Survey)
            DNS_SERVER
            STP_MODE
                0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
            AP_MGMT_VLAN_ID
            ALLOW_TELNET
                0(Telnet disable), 1(Telnet enable), 2(controlled by AC)
            ALLOW_HTTP
                0(Http disable), 1(Http enable), 2(controlled by AC)
            DDNS_ENABLE
            DDNS_PORT
            DDNS_SERVER
                0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
            DDNS_UNIQUE_LOCATION
            AC_DISCOVERY_TYPE
                0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
            AC_IPADDR_1
            AC_IPADDR_2
            AC_IPADDR_3
            AC_HOSTNAME_1
            AC_HOSTNAME_2
            AC_HOSTNAME_3
            AC_DISCOVERY_MC_ADDR
            AC_DISCOVERY_DHCP_OPTION_CODE
            AC_DISCOVERY_FCLD_APCTRL
            AC_DISCOVERY_FCLD_ID
            AC_DISCOVERY_FCLD_PASSWD
            AC_CTL_PORT
            AC_DATA_CHAN_SEC
                0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
            MESH_AP_TYPE
                0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
            MESH_AP_SSID
            MESH_AP_BSSID
            MESH_AP_PASSWD
            MESH_ETH_BRIDGE
                Only take effect with MESH_AP_TYPE 1(mesh) AP
            MESH_MAX_HOPS
            MESH_SCORE_HOP_WEIGHT
            MESH_SCORE_CHAN_WEIGHT
            MESH_SCORE_RATE_WEIGHT
            MESH_SCORE_BAND_WEIGHT
            MESH_SCORE_RSSI_WEIGHT
            SURVEY_SSID
            SURVEY_TX_POWER
            SURVEY_CH_24
            SURVEY_CH_50
            SURVEY_BEACON_INTV
            LED_STATE
                0(LED on), 1(LED off), 2(controlled by AC)
               
        '''# cw_diag help'''
        cw_diag usage:
            cw_diag help [module [mod name]]  --show this usage
            cw_diag uptime                    --show daemon uptime
            cw_diag --tlog  <on|off>          --turn on/off telnet log message.
            cw_diag --clog  <on|off>          --turn on/off console log message.
            cw_diag --flog  <size in MB>      --turn on/off log message to /tmp/var_log_wtpd.
            cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
            cw_diag kernel-panic [size [ID]]  --show saved kernel panic log fromflash
            cw_diag kernel-panic clear        --clear saved kernel panic log from flash
            cw_diag k-dvlan-debug [0-15]            --enable/disable kernel dynamic vlan debug
            cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
            cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
            cw_diag sniff [intf [0|1|2] | clear]    --show, set or clear sniff setting on intf
            cw_diag stats wl_intf                    --show wl_intf status
            cw_diag deauth wl_intf sta-mac          --deauthenticate the sta from wl_intf
            cw_diag disassoc wl_intf sta-mac        --disassociate the sta from wl_intf
            cw_diag ksta [HHHH]                      --show clients on the FortiAP
            cw_diag wl-log                          --get wlan's beacon/probe related info
            cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
            cw_diag pkt-pattern [rId]                --show traffic packet length info.
            cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
            cw_diag sys-performance                  --show CPU load and memory usage
            cw_diag clear debug                      --clear all debug settings
            cw_diag show debug                      --show all debug settings
            cw_diag show control                    --show all -c settings
            cw_diag show all                        --show all debug and -c settings
            cw_diag -c wtp-cfg                      --show current wtp config params in control plane
            cw_diag -c fcld-cfg                      --show current forticloud client config
            cw_diag -c radio-cfg                    --show current radio config params in control plane
            cw_diag -c ssid                          --show current configrued SSIDs
            cw_diag -c vap-cfg                      --show current vaps in control plane
            cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
            cw_diag -c sta-rogue                    --show rogue STAs pushed by AC for on-wire scan
            cw_diag -c arp-req                      --show scanned arp requests
            cw_diag -c ap-scan                      --show scanned APs
            cw_diag -c sta-scan                      --show scanned STAs
            cw_diag -c sta-cap                      --show scanned STA capabilities
            cw_diag -c sta-locate                    --show scanned STA locate data
            cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
            cw_diag -c wids                          --show scanned WIDS detections
            cw_diag -c mesh                          --show mesh status
            cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
            cw_diag -c mesh-veth-vap                --show mesh veth vap
            cw_diag -c mesh-veth-host                --show mesh veth host
            cw_diag -c mesh-ap                      --show mesh ap candidates
            cw_diag -c vlan                          --show current vlan info in daemon
            cw_diag -c sta                          --show current station info in daemon
            cw_diag -c sys-vbr                      --show WTP Vlan Bridges
            cw_diag -c net-topo                      --show interface topology
            cw_diag -c wev                          --show queued wireless events to report
            cw_diag -c k-vap                        --show WTP Kernel local-bridge VAPs
            cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
            cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
            cw_diag -c k-vbr                        --show WTP Kernel local-bridge Vlan Bridges
            cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
            cw_diag -c ap-suppress                  --show suppressed APs
            cw_diag -c sta-deauth                    --de-authenticate an STA
 
Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:
 
        [[FortiAP:FAQ#Welche_Linux_Befehle_k.C3.B6nnen_auf_einem_FortiOS_f.C3.BCr_einen_Forti_Access_Point_ben.C3.BCtzt_werden.3F]]
 
=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Uptime eines Forti Access Point herauszufinden? ===
 
Wenn vermutet wird, dass ein Forti Access Point selbständig einen Neustart ausführt, kann folgender Befehl Lokal auf der CLI des Forti Access Point ausgeführt werden um die Uptime des entsprechenden Forti Access Point zu eruieren:
 
        # cw_diag uptime
        Current uptime                  : 574652
        WTP daemon start uptime        : 18
        WTP daemon RUN uptime          : 74
        Time since WTP daemon started  : 574634
        Time since WTP daemon connected : 574578
       
        Watchdog timer triggered        : 0
        Watchdog timer action          : 1
        Watchdog timer time            : 22
 
Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
=== Welche Kommandos kann ich auf einem Forti Access Point benützen um über die CLI die Netzwerk Konfiguration auszulesen? ===
 
Die Netzwerk Konfiguration eines Forti Access Point kann über das Forti Access Point Mgmt. Web Interface ausgelesen werden. Wenn dies jedoch nicht möglich ist, kann die momentane Netzwerk Konfiguration über CLi Lokal auf dem Forti Access Point ausgelesen werden. Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
Nachdem der Zugriff gewährleistet ist, kann folgendes Kommando ausgeführt werden um die Netzwerk Konfiguration Lokal auf dem Forti Access Point auszulsen:
 
        # cfg -s
        AP_IPADDR:=192.168.1.2
        AP_NETMASK:=255.255.255.0
        IPGW:=192.168.1.1
        ADDR_MODE:=DHCP
        TELNET_ALLOW:=0
        AC_DISCOVERY_TYPE:=0
        AC_IPADDR_1:=192.168.1.1
        AC_CTL_PORT:=5246
        AC_DISCOVERY_MC_ADDR:=224.0.1.140
        AC_DISCOVERY_DHCP_OPTION_CODE:=138
 
=== Welche Kommandos kann ich auf einem Forti Access Point benützen um die Firmware Version eines Forti Access Points herauszufinden? ===
 
Die Firmware eines Forti Access Points ist über das Mgmt. Web Interface der Fortigate unter "Managed FortiAPs" ersichtlich. Zusätzlich kann Lokal auf dem Forti Access Point nachfolgender Befehl durchgeführt werden um die Firmware Version resp. FortiOS zu verifizieren:
 
        # fap-get-status
        Version: FortiAP-220B v4.0,build222,120109 (MR3)
        Serial-Number: FAP22B1234567890
        BIOS version: 04000010
        Regcode: N
        Hostname: FAP22B1234567890
        Branch point: 222
        Release Version Information:MR3
 
Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:
 
        [[FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F]]
 
== Troubleshooting ==
 
=== Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten? ===
 
Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Wireless Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:
 
        •  Als Erstes führe Tests durch mit den Wireless Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher
            nicht besetzt oder beeinträchtigt durch "fremde" andere Wireless Infrastrukturen). Nach Möglichkeit ist der 5 Ghz
            zu bevorzugen vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch
            Interferenzen das Resultat negativ beeinflusst. In diesen Test's sollten vers. Wireless Client's/Workstation benutzt
            werden um festzustellen ob das Problem basierend auf einer spezifischen Gruppe von Wireless Client's/Workstation ist.
            Ebenfalls sollte für die Wireless Client's/Workstations nur die neusten Wireless Treiber verwendet werden. Ziel ist
            es zu versuchen das Problem einzugrenzen auf spezifische Wireless Client's/Workstation oder Bereich wie 5 GHz und
            oder 2.4 GHz usw.
 
        •  Stelle fest/sicher das der Wireless Client/Workstation mit der max. Rate verbunden ist:
           
            130Mbps für 2Ghz 2x2
            300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
 
        •  Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:
           
            http://www.metageek.net/support/downloads                    (inSSIDer für Windows / Mac / Android)
            http://www.nirsoft.net/network_tools.html                    (WifiInfoView für Windows)
            http://www.ekahau.com/products/heatmapper/overview.html      (HeatMapper für Windows XP / Windows Vista / Windows 7)
 
        •  Vergewissere dich, dass zwischen den Forti Access Point, FortiGate Wireless Controller und Server 1000Mbit benutzt wird. Sofern
            nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.
 
        •  Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen
            auf den CPU und/oder Memory herauszufinden/zu Monitoren:
           
            # get sys perf status
            # diagnose sys top
 
        •  Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete
            "aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete
            verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr
            aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).
 
        •  Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)
           
            [[Datei:Jperf-how-to.pdf]]
 
        •  Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol
            ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:
           
            http://en.wikipedia.org/wiki/CCMP
           
            CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.
 
        •  Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
         
          [[Datei:Fortinet-332.jpg]]
 
        •  Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.
 
        •  Ueberprüfe ob zuviele Broadcast sowie Multicast über das Wireless Netz gelangen/transportiert werden.
 
        •  Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. deaktivieren)
 
        •  Ueberprüfe ob auf den End Devices der User die neusten Treiber sowie Wireless Software installiert ist und überprüfe deren Datenrate.
 
=== Wie kann vorgegangen werden wenn auf einem Forti Access Point für Performance Probleme Messungen durchgeführt werden sollen? ===
 
Um in einem Netzwerk sei es Wireless oder Ethernet Messungen durchzuführen, ist es ratsam eine kleine Client to Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:
 
        http://www.ars.de/ars/ars.nsf/docs/netio
 
Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab, die danach ausgewertet werden. Ein Scenario wäre zB:
 
        '''Windows Client --> Windows Server'''
       
        Windows Server:
        Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
        Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
       
         C:\netio131>win32-i386.exe -s
          
         Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein  
        anderer Port definiert werden.
          
         Windows Client:
         Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
         Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
          
         C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
          
         Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls  
         angegeben werden mit -b. Weitere Optionen sind:
          
         Usage: netio [options] [<server>]
          
           -s            run server side of benchmark (o
           -b <size>[k]  use this block size (otherwise
           -B -K -M -G  force number formatting to Byte
          
           -t            use TCP protocol for benchmark
           -u            use UDP protocol for benchmark
           -h <addr>    bind TCP and UDP servers to thi
                         (default is to bind to all loca
           -p <port>    bind TCP and UDP servers to thi
          
           <server>      If the client side of the bench
                         a server name or address is req
          
         The server side can run either TCP (-t) or UDP
         (default, if neither -t or -u is specified). Th
         these protocols only (must specify -t or -u).
 
         '''Windows Client --> Linux Server'''
          
         Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
         Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
         File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
         zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
          
         #./linux-i386 -s
          
         NETIO - Network Throughput Benchmark, Version 1.30
         (C) 1997-2008 Kai Uwe Rommel
          
         UDP server listening.
         TCP server listening.
         TCP connection established ...  
         Receiving from client, packet size  1k ...  1364.51 KByte/s
         Sending to client, packet size  1k ...  803.63 KByte/s
         Receiving from client, packet size  2k ...  1473.31 KByte/s
         Sending to client, packet size  2k ...  645.55 KByte/s
         Receiving from client, packet size  4k ...  1452.13 KByte/s
         Sending to client, packet size  4k ...  640.69 KByte/s
         Receiving from client, packet size  8k ...  1120.63 KByte/s
         Sending to client, packet size  8k ...  716.57 KByte/s
         Receiving from client, packet size 16k ...  1506.04 KByte/s
         Sending to client, packet size 16k ...  658.24 KByte/s
         Receiving from client, packet size 32k ...  1433.88 KByte/s
         Sending to client, packet size 32k ...  855.72 KByte/s
         Done.
         Done.
         TCP server listening.
         TCP server listening.
Zeile 3.714: Zeile 7.911:
         Packet size 32k bytes:  1472.19 KByte/s Tx,  796.44 KByte/s Rx.
         Packet size 32k bytes:  1472.19 KByte/s Tx,  796.44 KByte/s Rx.
         Done.
         Done.
=== Was muss ich in Zusammenhang mit meinem WLAN beachten, wenn ich die FortiGate auf 6.4.2 uprade? ===
[[Datei:FortiOS_64.svg|35px|link=]]<br>
Wir haben von Partnern Rückmeldungen erhalten, dass nach dem updaten der FortiGate, welche als WLAN-Kontroller funktionieren, die CPU-Auslastung auf der FortiGate immens hoch wird ( <90% )
Wenn der CLI-Befehl ''diagnose sys top'' ausgeführt wird um die CPU Auslastung auf der FortiGate anzuzeigen, kann man erkennen dass der Prozess '''cwWtpd''' über 90% der Ressourcen nutzt.
[[File:Fortinet-2821.jpg|800px|link=]]
'''Workaround:'''<br>
Man kann auf der FortiGate für die AP den Spectrum-SCAN bis zum nächsten Reboot oder die nächste Rekonfiguration mit folgendem Befehl deaktivieren:
{| class="wikitable" style="width:750px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
diagnose wireless-controller wlac spectral-scan [SERIENUMMER_FAP] [RADIO] disable
</pre>
----
'''Beispiel:'''
<pre style="background-color:#252269;color: #FFFFFF">
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 0 disable
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 1 disable
</pre>
|}
[[File:Fortinet-2822.jpg|750px|link=]]
----
''Vielen Dank an Stefan von UCC Pro''
=== Wieso kommen die ForiAPs nach dem Upgrade auf FortiOS 7.0 nicht mehr online? ===
[[Datei:FortiOS_70.svg|35px|link=]]
Die 3DES- und SHA1-Verschlüsselungen wurden aus der strong cipher Liste im FortiOS v7.0.0 entfernt.<br>
Dies führt dazu, dass FortiAPs mit älteren FortiAP Images welche noch schwächere Chipher benutzen sich nicht mehr mit der FortiGate verbinden können.
Um dieses Problem zu umgehen muss auf der FortiGate folgendes konfiguriert werden:
{| class="wikitable" style="width:800px"
|- style="background:#89E871"
| [[file:config_cli.png|25px|link=]] '''Konfiguration über die CLI:'''
|-
|
<pre style="background-color:#252269;color: #FFFFFF">
# config system global
    set ssl-static-key-ciphers enable
    set strong-crypto disable
end
</pre>
{| class="wikitable" style="width:750px"
|-
| style="width:50px;background-color: #DE8A2E;"| <span>[[File:tipp.png|50px|link=]]</span>
| style="background-color: #ffe29b"|
Nach der Konfigurationsänderung ist es erforderlich, den ''acd Demon'' neu zu starten.
<pre style="background-color:#252269;color: #FFFFFF">
# execute wireless-controller restart-acd
</pre>
'''ACHTUNG''', Alle AP welche mit dieser FortiGate verbunden sind, werden disconectet und dann wieder reconectet
|}
|}
<!-- Referenz: https://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD52029&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=229244548&stateId=1%200%20229246049%27) -->
<!-- Artikel erfasst 11.06.2021 , 4Tinu -->
=== Wieso kann mein altes Mobile Gerät sich nicht mit der SSID auf der FortiGate verbinden? ===
[[File:tipp.svg|50px|link=]]
Wenn man ältere Mobile Geräte (z.B Samsung Alpha) verwendet kann es sein, dass man sich nicht mit einer SSID verbinden kann. <br>
Dies kann folgende Ursache haben:<br>
'''Grund:'''<br>
Die SSID setzt sich aus mehr als acht Zeichen zusammen.
'''Workaround:'''<br>
Abhilfe schaft man damit, sich für diese Geräte eine eigene SSID mit nicht mehr als Acht Zeichen auf dem Controller der FortiGate konfiguriert.
----
Folgende Geräte sind uns gemeldet, welche eine SSID mit mehr als acht Zeichen nicht unterstützen:
* Samsung Galaxy A6 (Model SM-A600FN, Android Version 10)
* HTC U11, Android Version 9
<!-- Add 4Tinu - 21.12.2021-->

Aktuelle Version vom 18. Oktober 2024, 07:23 Uhr

FortiAP:FAQ

FAQ-FortiAP.png

Vorwort

Diese FAQ's sind für FortiAP Systeme basierend auf OS 6.4 sowie 7.x. Die FortiAPs werden über die FortiGate Controller Funktion konfiguriert.

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:


edit 20.03.2024 - 4Tinu

Wo finde ich die Administrations Guides für den FortiAP ?


edit 18.10.2024 - 4Tinu

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

Firmware

Wo finde ich die Release Notes für die Version 7.0?

FortiOS 70.svg

FortiAP Release Notes


FortiAP 2W - Release Notes


edit 21.03.2024 - 4Tinu

Wo finde ich die Release Notes für die Version 7.2?

FortiOS 72.svg
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.2.x aufgelistet.

Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:


Die Aktuellen Release Notes für die FortiAP-2W, können jeweils unter folgendem Link heruntergeladen werden:


edit 03.05.2024 - 4Tinu

Wo finde ich die Release Notes für die Version 7.4?

FortiOS 74.svg
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.4.x aufgelistet.

Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:


Die Aktuellen Release Notes für die FortiAP-2W, können jeweils unter folgendem Link heruntergeladen werden:


edit 18.10.2024 - 4Tinu

Wo finde ich die Release Notes für die Version 7.6?

FortiOS 76.svg
Hier sind die momentan verfügbaren ReleaseNotes der Version 7.6.x aufgelistet.

Die Aktuellen Release Notes können jeweils unter folgendem Link heruntergeladen werden:


add 19.08.2024 - 4Tinu

Von welcher FortiAP Version kann ich auf die Version 7.0 upgraden (Upgradepfad)?

FortiOS 70.svg
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.2

Upgrade Pfad für FortiAP auf die Version 7.0.7

UpgradePath-FortiAP-70.jpg

Upgrade Pfad für FortiAP-W2 auf die Version 7.0.7

UpgradePath-FortiAP2W-70.jpg

Den Upgradepfad ist auch in diesem Dokument zu entnehmen:


add 17.10.2023 - 4Tinu

Von welcher FortiAP Version kann ich auf die Version 7.2 upgraden (Upgradepfad)?

FortiOS 72.svg
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.2

Upgrade Pfad für FortiAP auf die Version 7.2.5

UpgradePath-FortiAP-72.jpg

Upgrade Pfad für FortiAP-W2 auf die Version 7.2.4

UpgradePath-FortiAP2W-72.jpg

Den Upgradepfad ist auch in diesem Dokument zu entnehmen:


edit 03.05.2024 - 4Tinu

Von welcher FortiAP Version kann ich auf die Version 7.4 upgraden (Upgradepfad)?

FortiOS 74.svg
In der folgenden Grafik ist abgebildet, welche Schritte beim Upgraden eingehalten werden müssen, damit es keine bösen Überaschungen gibt beim Updaten auf die Version 7.4

link=https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/0c84aa20-a117-11ee-8673-fa163e15d75b/FortiAP-7.4.2- Supported_Upgrade_Paths.pdf
UpgradePath-FortiAP74-2.jpg

Den Upgradepfad ist auch in diesem Dokument zu entnehmen:


edit 18.10.2024 - 4Tinu

Von welcher FortiAP Version kann ich auf die Version 7.6 upgraden (Upgradepfad)?

FortiOS 76.svg

Den Upgradepfad um einen FortiAP auf das OS 7.6.0 upzugraden findest du in diesem Dokument:


add 19.08.2024 - 4Tinu

Welche FortiAP Modelle sind vom FortiOS 7.2.x unterstützt?

FortiOS 72.svg
Folgende FortiAP Unterstützen das FortiOS 7.2:
Wifi 6 Modelle:

  • FAP-231F
  • FAP 234F
  • FAP-23JF
  • FAP-431F
  • FAP-432F
  • FAP-433F
  • FAP-831F

Wifi 6E Modelle:

  • FAP-231G --> Build 4789 und 5072
  • FAP 233G --> Build 4789 und 5072
  • FAP-431G --> Build 4789 und 5072
  • FAP-433G --> Build 4789 und 5072

Folgende FortiAP-2W Unterstützen das FortiOS 7.2:

  • FAP-221E
  • FAP-222E
  • FAP-223E
  • FAP-224E
  • FAP-231E

edit 18.10.2024 - 4Tinu

Welche FortiAP Modelle sind vom FortiOS 7.4.x unterstützt?

FortiOS 74.svg
Folgende FortiAP Unterstützen das FortiOS 7.4.3:
Wifi 5 Modelle:

Wifi 6 Modelle:

Wifi 6E Modelle:

Wifi 7 Modelle:


edit 19.08.2024 - 4Tinu

Welche FortiAP Modelle sind vom FortiOS 7.6.x unterstützt?

FortiOS 76.svg
Folgende FortiAP Unterstützen das FortiOS 7.6.0:
Wifi 6 Modelle:

Wifi 6E Modelle:


add 19.08.2024 - 4Tinu

Welche FortiAP OS Version verwende ich mit welchem FortiOS?

FortiOS 6x.svg FortiOS 7x.svg

Fortinet empfiehlt die FortiAP-Firmware-Version mit der entsprechenden FortiOS-Version abzustimmen, sofern diese Verfügbar ist. Andere Varianten von FortiOS- und FortiAP-Versionen können technisch gesehen für den niedrigsten gemeinsamen Funktionssatz funktionieren. Sollten jedoch Probleme auftreten, wird der Fortinet-Support darum bitten, die Versionen wie empfohlen abzugleichen, bevor eine Fehlerbehebung erfolgt.

Die fogenden Modelle unterstützen keine strong chiphers. Damit die Verbindung mit der FortiGate funktioniert muss auf der FortiGate folgendes Kommando konfiguriert werden:

  • FAP-C24JE
  • FAP-221C
  • FAP-320C
  • FAP-321C
Config cli.png Konfiguration über die CLI:

Für das FortiOS 7.0.0:

 
config system global
set ssl-static-key-ciphers enable
set strong-crypto disable
end

Ab dem FortiOS 7.0.1:

 
config wireless-controller global
set tunnel-mode compatible
end

In den folgenden Dokumenten findest du die FortiAP und FortiOS Kompatibilitäts Matrixen. In diesen Matrixen wird beschrieben, welches FortiOS der FortiGate mit welchem FortiOS auf den APs funktionieren. Diese Liste immer vor einem Upgrade der FortiGate hinzuziehen, damit es keine Überraschungen gibt.

Info.svg

FortiOS 7.x FortiOS 7x.svg

Datei:FortiAP-FortiOS-7.x-FirmwareCompatibilityMatrix.pdf
|Link zu den Docs

FortiOS 6.x FortiOS 6x.svg

Datei:FortiAP-FortiOS-6.x-FirmwareCompatibilityMatrix.pdf
|Link zu den Docs

edit 19.08.2024 - 4Tinu

Design

Auf was muss ich beim Aufbau eines WLAN Netzes achten?

Bereit, die Geheimnisse der drahtlosen Welt zu ergründen? Wir zeigen dir heute einige Regeln für die Einrichtung von WLAN-Netzwerken, damit du in dieser technischen Achterbahnfahrt den Durchblick behältst.

Schritt 1: Die passive Standortuntersuchung:

Okay, du willst also ein drahtloses Netzwerk aufbauen. Aber halt! Bevor du loslegst, müssen wir sicherstellen, dass deine Access Points an den richtigen Orten stehen. Stell dir vor, du bist ein WLAN-Detektiv auf der Suche nach dem perfekten Versteck. Du sammelst Infos über andere Access Points, ihre Signalstärke, SNR und ob sie Störsignale aussenden. Mit einer speziellen Spektrumanalyse enttarntst du die Übeltäter – Wi-Fi-Störungen haben keine Chance!

Schritt 2: Die aktive Standortuntersuchung:

Jetzt geht's ans Eingemachte! Dein drahtloses Netzwerk ist live, aber die Dinge können sich ändern. Möbel werden verschoben, Wände werden gebaut, und dein Netzwerk verändert sich. Du musst es während und nach den Geschäftszeiten überwachen, um sicherzustellen, dass alles rund läuft. Manchmal musst du vielleicht ein paar FortiAPs verschieben oder sogar neue in die Schlacht werfen!

Schritt 3: Die prädiktive Standortbestimmung:

Jetzt wird es richtig magisch! Wir tauchen ein in die Welt der WLAN-Zauberei. Mit speziellen Tools simulierst du die Ausbreitung von WLAN-Signalen in deinem Raum. Du lädst Karten mit Wänden, Möbeln und Decken, als wärst du ein digitaler Innenarchitekt. Das Ergebnis? Eine magische Vorhersage, wie viele Access Points du brauchst und wo sie stehen sollten. Aber merk dir: Das ist keine 100%ige Prophezeiung. Manchmal gibt es geheime Wi-Fi-Interferenzen, die die Zukunft beeinflussen. Du bist jetzt bereit, die Welt der WLAN-Einrichtung zu erobern! Schnapp dir deinen FortiAP und mach dich bereit für ein technisches Abenteuer!

Folgende Fragen und Punkte helfen dir sicher weiter für ein optimales WLAN Netzwerk:

  • Wie viele Nutzer werden das 2,4-GHz-Band verwenden?
  • Wie viele Benutzer werden das 5-GHz-Band verwenden?
  • Kann ich das 2,4-GHz-Band deaktivieren, um Leistungseinbussen zu vermeiden?
  • Prüfen wir die Anforderungen, die unsere Anwendung bei der Verwendung einer Wi-Fi-Verbindung erfüllen muss, z.B. Sprache, Video, RTLS und Daten.
  • Welche Art von Client-Geräten haben wir in unserer Umgebung?
  • Lass uns mindestens 3 SSIDs beibehalten, um eine Überlastung der Verwaltungsrahmen zu vermeiden.
  • Die von unseren Geräten unterstützten Datenübertragungsraten können variieren, da wir uns nach der schwächsten Wireless-Karte des Benutzers richten.
  • Lass uns ein sekundäres FortiAP mit der gleichen Abdeckung wie das primäre FortiAP validieren; das ist eine gute Backup-Methode für Anwendungen wie Sprache und Video.
  • Wir sollten den RSSI (Receive Signal Strength Indicator) von -65 dBm oder -67 dBm mit einem eigenen SNR von 25-30 dBm für Sprachanwendungen im Auge behalten, um die Sendezeit pro Benutzer zu minimieren und höhere Datenraten zu erzielen.
  • Beachten wir, dass einige spezielle Wireless-Karten unterschiedliche Funktionen wie Kanäle, Authentifizierungs- und Verschlüsselungsmethoden und Empfangsempfindlichkeit aufweisen.
  • Lass uns das drahtlose Netzwerk für zukünftiges Wachstum entwerfen. Die aktuelle Anforderung beträgt vielleicht 50 Clients, aber wir sollten mögliche Unterbrechungen im Netzwerk und mehrere Wartungsfenster vermeiden.
  • Schauen wir, wie wir Sendezeit sparen können, wenn eine Anwendung verwendet wird, unter Berücksichtigung des verwendeten Bands, der Geräteleistung und der Kanalbreite. Geräte, die mit höheren Geschwindigkeiten übertragen, können das Medium freigeben und anderen Geräten ermöglichen, so schnell wie möglich mit der Übertragung zu beginnen.
  • Nutzen wir eine Kanalbreite von 20 MHz, um Interferenzen in dicht besiedelten Umgebungen zu vermeiden, im Vergleich zu 40 oder 80 MHz.
  • Versuchen wir, niedrigere Datenraten wie 802.11b zu isolieren, um eine geringe Leistung im drahtlosen Netzwerk zu vermeiden.
  • Manchmal benötigen wir möglicherweise mehr FortiAPs, wenn unser Unternehmen wächst und der Datenverkehr zunimmt. Bevor wir jedoch weitere FortiAPs hinzufügen, sollten wir Faktoren wie CCI, Sendeleistung, Datenraten und Frequenzbänder berücksichtigen.
  • Überprüfen wir die Gebäudestruktur und berücksichtigen wir die Dämpfungsfaktoren auf den verschiedenen Etagen.
  • Stellen wir sicher, dass wir die richtigen Regelungsbereiche und Kanäle verwenden.
  • Denken wir daran, dass ein Design für die Kapazität und ein anderes für die Abdeckung nicht dasselbe ist.
  • Berücksichtigen wir einige Dämpfungsfaktoren aus der folgenden Tabelle:
Material Dämpfung bei 2,4 GHz Dämpfung bei 5 GHz
Glas/Fenster 2-3 dB 6-8 dB
Stoff, Jalousien, Deckenplatten 1 dB 1,5 dB
Kabinenwand 2-5 dB 4-9 dB
Trockenbauwände innen 3-4 dB 3-5 dB
Stahl-/Fluchttür 13-19 dB 25-32 dB
Holztür (hohl - massiv) 3-4 dB 6-7 dB
Beschichtetes Doppelscheibenglas 13 dB 20 dB
Ziegel-/Betonwand 6-18 dB 10-30 dB

Zusammen gefasst können wir folgendes über ein WLAN Netz schreiben: Das WLAN ist nicht wie das Verlegen von Kabeln – es ist eine ganz eigene Herausforderung. Und weisst du was? Die Arbeit hört nach der Einrichtung nicht auf. Es ist ein ständiger Prozess, denn unser Netzwerk braucht Pflege, wie eine Pflanze Wasser. Wir müssen regelmässig nachschauen, ob alles in Ordnung ist. Glaub mir, du willst keine Abdeckungsprobleme haben. Stell dir vor, du verlierst deine WLAN-Verbindung, wenn du dich nur einen Schritt zu weit bewegst – das wollen wir nicht! Und dann sind da noch die Kapazitätsprobleme. Wenn zu viele Leute gleichzeitig im Netzwerk unterwegs sind, kann es ziemlich chaotisch werden. Und last but not least: Sicherheit. Das ist ein Dauerbrenner. Wir müssen unser Netzwerk ständig auf Bedrohungen überprüfen, wie ein digitaler Superheld, der die Bösewichte in Schach hält.

Letztendlich ist der Aufbau eines drahtlosen Netzes nicht dasselbe wie der eines kabelgebundenen Netzes, es ist eine andere Herausforderung, und nach der Einrichtung geht die Arbeit weiter, denn es muss ständig gewartet werden. Es muss regelmässig überprüft werden, um Abdeckungsprobleme, Kapazitätsprobleme und Sicherheitsbedrohungen zu vermeiden.


add 10.10.2023 - 4Tinu

Was ist der Unterschied zwischen dem Bridge-Modus und dem Tunnel-Modus?

Heute machen wir eine kleine Reise durch die Welt der Netzwerkmodi! Ich stelle euch den Bridge- und den Tunnel-Modus vor und wir schauen uns an, was sie draufhaben - die coolen Eigenschaften und die kleinen Eigenheiten, die sie mitbringen

Bridge Modus
So funktioniert es:

Im Bridge-Modus agiert die SSID wie eine technologische Brücke zwischen den drahtlosen und verkabelten Netzwerken. Diese intelligente Verbindung ermöglicht es drahtlosen Geräten, nahtlos an demselben Netzwerk teilzunehmen, zu dem auch kabelgebundene Geräte gehören.

Was funktioniert:

  • Alle Geräte, ob verkabelt oder drahtlos, befinden sich im gleichen heimeligen Netzwerk.
  • Die Geräte können miteinander plaudern, als würden sie sich auf einer Cocktailparty treffen.
  • Diese Methode ist ideal für einfache Netzwerkstrukturaufgaben, bei denen die Dinge flach und unkompliziert sein sollen.

Was nicht funktioniert:

  • Der drahtlose Datenverkehr muss immer noch seinen Weg durch den Router des lokalen Netzwerks finden.
  • Du hast nur eingeschränkte Kontrolle über den drahtlosen Datenverkehr, was wie wildes Tanzen auf einer Party sein kann - manchmal macht es Spaß, aber es kann auch chaotisch werden.
  • Wenn dein Netzwerk so groß und komplex ist wie eine Gala, ist der Bridge-Modus nicht die beste Wahl.
  • Beim Debuggen von Clients auf dem FortiGate (Verwenden von 'diagnose wireless-controller wlac sta_filter <mac> 255') zeigt die Ausgabe nur den Authentifizierungsprozess an, während die DHCP-Nachrichten ein bisschen schüchtern bleiben.

Leistung:

  • In kleinen Netzwerken fühlt sich der Bridge-Modus wie ein gemütliches Zuhause an, aber wenn die Gästeliste wächst, könnte es zu einer unangenehmen Überlastung kommen.

Jetzt, wo wir den Bridge-Modus ausgelotet haben, werfen wir einen Blick auf den faszinierenden "Tunnel-Modus":

Tunnel Modus

Wie er funktioniert:

Im Tunnel-Modus erstellt die SSID sozusagen einen geheimen Tunnel, durch den alle drahtlosen Daten flitzen. Dieser Datenstrom wird dann zur zentralen Instanz, der FortiGate, gesendet, wo ein neues Interface mit dem Namen der SSID erstellt wird. Dieses Interface verhält sich dann wie ein Superheld, der die Regeln des FortiGate-VLANs befolgt.

Was funktioniert:

  • Höhere Sicherheit: Die FortiGate überwacht und kontrolliert den gesamten Datenverkehr - so sicher wie ein Banktresor.
  • Bessere Isolierung: Drahtlose Geräte werden von den Kabelgebundenen getrennt, als wären sie auf einer einsamen Insel.
  • Einfachere Verwaltung: Du kannst den Datenverkehr und die Richtlinien so genau steuern wie ein Dirigent ein Orchester leitet.
  • Ideal für riesige, komplexe Netzwerke, bei denen die Dinge so groß sind wie ein Musikfestival.

Was nicht funktioniert:

  • Geräte im drahtlosen Netzwerk können nicht einfach mit ihren Kabelverwandten plaudern, ohne über die Firewall zu gehen - wie VIPs, die durch die VIP-Tür müssen.

Leistung:

  • Im Allgemeinen bietet der Tunnel-Modus für große und sicherheitsbewusste Netzwerke eine Top-Leistung und Top-Sicherheit.

Empfehlung:

  • Wenn dein Netzwerk so groß ist wie ein Rockkonzert und strenge Sicherheits- und Verkehrsregeln benötigt, dann ist der Tunnel-Modus die richtige Wahl.
  • Wenn du jedoch die Einfachheit bevorzugst und alle Geräte friedlich in derselben Netzwerk-Nachbarschaft leben, kann der Bridge-Modus für kleinere Netzwerke eine Party sein. Aber denke daran, dass er bei zu vielen Gästen vielleicht die Musik leiser drehen muss.

add 17.10.2023 - 4tinu

Wie platziere ich einen Accesspoint optimal?

Um eine optimale Leistung zu erreichen, ist es wichtig, einige Grundregeln für die Platzierung von Access Points zu beachten. Es macht nicht immer Sinn, die Access Points dort zu platzieren, wo sie im Plan des Architekten oder Bauplaners eingezeichnet sind.

Um einen Access Point optimal zu platzieren, solltest du folgende technische Aspekte beachten:

  1. Vermeidung von Interferenzen: Platziere den Access Point fern von anderen Geräten, die im 2,4-GHz- oder 5-GHz-Frequenzband arbeiten, um Interferenzen zu minimieren. Beispiel: Vermeide die Nähe zu Mikrowellenherden oder Bluetooth-Geräten.
  2. Abstand zu Metallstrukturen: Halte einen Abstand von mindestens 1,8 Metern zu Metallstrukturen ein, da diese das Abstrahlverhalten beeinträchtigen können. Beispiel: Vermeide die Platzierung in der Nähe von Metallregalen oder großen Metallmöbeln.
  3. Zentrale Positionierung: Platziere den Access Point möglichst zentral im Raum, um eine gleichmäßige Abdeckung zu gewährleisten und Signalstörungen durch Wände zu minimieren. Beispiel: Montiere den Access Point an der Decke in der Mitte des Raumes.
  4. Vermeidung von Reflexionen: Achte darauf, dass der Access Point nicht in der Nähe von reflektierenden Oberflächen wie Glas oder Spiegeln platziert wird, um Signalreflexionen zu vermeiden. Beispiel: Vermeide die Platzierung in der Nähe von großen Fenstern oder Glastüren.
  5. Höhe der Montage: Montiere den Access Point in einer Höhe, die eine optimale Signalabdeckung im gesamten Raum ermöglicht. Beispiel: Montiere den Access Point etwa 2 bis 3 Meter über dem Boden, um eine gute vertikale Abdeckung zu gewährleisten.
  6. Berücksichtigung von Hindernissen: Achte darauf, dass der Access Point nicht durch dicke Wände oder andere bauliche Hindernisse blockiert wird, um die Reichweite des Signals nicht zu beeinträchtigen. Beispiel: Vermeide die Platzierung hinter dicken Betonwänden oder großen Möbelstücken.

Indem du diese technischen Überlegungen berücksichtigst und den Access Point entsprechend positionierst, kannst du eine optimale WLAN-Abdeckung und -Leistung in deinem Umfeld sicherstellen.

Denke auch daran, wie der Endnutzer auf die Access Points zugreifen kann. In öffentlichen Einrichtungen ist es üblich, dass externe Antennen entfernt werden (Schulen, Hotels usw.). Daher ist es sinnvoll, die Access Points so zu platzieren, dass sie nicht direkt von Hand ohne grosse Probleme erreicht werden können.

Beispiele von nicht optimal platzierten Accesspoints:

Beispiel 1:
Fortinet-0003.png
  • Stahl und Metall Konstruktionen können die Abstrahlung massiv beeinträchtigen.
  • Montage nahe einer Wand beeinträchtig auch die Abstrahlung
  • Antennen sollten dahin ausgerichtet sein, wohin man abstrahlen kann. In diesem Beispiel sind sie gegen die Decke gerichtet.
Beispiel 2:
Fortinet-0004.png
  • Antennen sollten dahin ausgerichtet sein, wohin das Signal gehen soll.
  • Die beste Performance bekommt man, wenn man die Antennen sehen kann.
  • Accesspoints in Zwischenböden sind Problematisch. In diesem Beispiel wird sehr viel Signal durch die Metallplatte vernichtet.
Beispiel 3:
Fortinet-0005.png
  • Accesspoint auf Metallplatten ist nicht optimal.
  • Accesspoint sollten nicht zu nahe an vertikalen Wänden montiert werden.
  • Metall ist kein Freund von Accesspoints

Kurz zusammengefasst: Um optimale Leistung zu gewährleisten, beachte grundlegende Regeln für die Platzierung von Access Points. Achte darauf, Metallstrukturen zu meiden, und platziere Access Points idealerweise zentral im Raum, um Signalstörungen zu minimieren.


add 15.03.2024 - 4Tinu

Hardware

Welche Forti Access Point Produkte Linien existieren und was sind die Unterschiede?

Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:

       • Light Forti Access Point 
         
         Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.
         Diese Access Points müssen zwingen mit einem FortiGate Wireless Controller oder FortiCloud 
         Wireless Controller betrieben werden. Diese Forti Access Points verfügen über keine UTM  
         Features lokal auf den Forti Access Points sondern die UTM Features werden über die FortiGate
         betrieben resp. bereitgestellt und verwaltet.
       • Thick Forti Access Point
         
         Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Dies bedeutet:
         FortiGate Devices mit integriertem Radio (2.4 GHz / 5 GHz). Zusätzlich können diese Devices 
         (Thick Forti Access Points) mit Light Forti Access Points erweitert werden. Die UTM Features
         werden wie bei den Light Forti Access Points über die FortiGate (FWF) zur Verfügung gestellt
         sowie verwaltet.
       • Smart Forti Access Point
         
         Smart Forti Access Point verfügen über lokale UTM Features auf den Smart Forti Access Point 
         (FortiAP-S) und können nur über FortiCloud Wirless Controller verwaltet werden sofern diese
         mit UTM Features eingesetzt werden. Werden Smart Forti Access Point resp. FortiAP-S ohne UTM
         Features eingesetzt, können diese auch über einen FortiGate Wireless Controller verwaltet 
         werden! Weiter Infos siehe nachfolgender Artikel:
                                 
         FortiAP-S:FAQ#Was_ist_unter_einem_.22Forti_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F

Nachfolgende Kurzübersicht zeigt ebenfalls welcher Forti Access Point über welche Platform eingesetzt werden kann:

       Fortinet-2147.jpg

Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:

       Fortinet-2133.jpg

Wo finde ich eine Uebersicht über die verschiedenen FortiAP Hardware und Produkte?

Die beste Uerbsicht für FortiAP Produkte bieten die folgenden Dokumente sowie Links:

Desweiteren hat Fortinet eine Wireless Brochure Released, die eine generelle Uebersicht bietet:

       Datei:Wireless Brochure.pdf (Unified Access LayerArchitecture)
       Datei:FortiOS Wireless.pdf  (FortiOS 5 Wireless LAN Controller)

Weitere Informationen betreffend technischem Aufbau eines FortiAP Produktes siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_Forti_Access_Point_Produkts_aus.3F

Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt:

Fortinet-1362.jpg

edit 18.12.2023 - 4Tinu

Wo finde ich eine Uebersicht über die verschiedenen FortiAP-S Hardware und Produkte?

Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über einen FortiGate Wireless Controller verwaltet werden können wenn UTM Features auf den "Smart Forti Access Point" resp. "FortiAP-S" eingesetzt werden, sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" (FortiAP-S) nur dann anwendbar wenn diese "ohne" UTM Features betrieben werden. Nur ohne UTM Features können "Smart Forti Access Point" über einen FortiGate Wireless Controller verwaltet und betrieben werden. In so einer Situation sind diese hier gezeigten Konfigurationen anwendbar. Siehe auch folgender Artikel:

       FortiAP:FAQ#Welche_Forti_Access_Point_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F

Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" (FortiAP-S) siehe nachfolgender Artikel:

       FortiAP-S:FAQ

Verfügen alle FortiGate Devices über einen Wireless Controller für Forti Access Points?

Grundsätzlich verfügen alle FortiGate Devices über einen Wireless Controller mit Aussnahme von:

       FortiGate 20C
       FortiGate 30D

Ab FortiOS 5.0.6 / 5.2 wurde der FG-30D die Möglichkeit gegeben den FortiGate Wirless Controller zu verwenden. Ebenfalls kann die 30D ab dieser Version 2 FortiAPs managen! Somit ist jeder FortiGate Device limitiert in der Anzahl der FortiAPs die verwaltet resp. konfiguriert werden können. Folgender Artikel gibt Auskunft über die Anzahl FortiAPs die mit einem entsprechenden FortiGate Devices verwaltet/konfiguriert werden können sowie was dabei zu berücksichtigen ist:

       FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F

Wieviele Forti Access Points können über eine FortiGate Wireless Controller konfiguriert werden?

Ab FortiOS 5.0 gibt nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAPs die über eine FortiGate konfiguriert werden können:

       Produkte Matrix

Ab FortiOS 5.0.3 wurde die Anzahl der FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden könnnen erweitert. Dies bedeutet: es wird unterschieden zwischen folgenden Mode:

       • SSID im "tunneling" Mode
       • SSID im "local bridging" Mode

Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID konfiguriert auf "local bridging", zählt dieser FortiAP als "remote" (wtp-mode). Dies gilt jedoch nur wenn ausschliesslich nur diese Art einer SSID auf dem entsprechenden FortiAP benützt wird. Werden auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als "normal" (wtp-mode). Somit, wenn man einen FortiAP konfiguriert mit SSID im "local bridging" Mode kann dieser FortiAP explizit als "wtp-mode remote" gesetzt werden. Dies kann auf der CLI durchgeführt werden:

       # config wireless-controller wtp
       # edit [Gebe die entsprechende Serial Nummer des FAP an]
       # set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
       # end
       

Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging" gesetzt, erscheint folgende Meldung:

       Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'
            

Die Produkt Matrix gibt somit Auskunft über die möglichen "normal" Mode sowie "remote" Mode. Die Anzahl der möglichen FortiAPs die über einen FortiGate Wireless Controller verwaltet resp. konfiguriert werden können wird folgendermassen angegeben in der Produkt Matrix:

       FG-60D   10/5   (Total/Tunnel)

Somit stehet zB für eine FG-60D folgendes zur Verfügung:

      • 5 FortiAPs mit SSID im "tunneling" und/oder "local bridging" gemischt! (wtp-mode normal)
      • 5 FortiAPs mit SSID im "local bridging" Mode (wtp-mode remote)
      
      = 10 Total möglich wobei 5 im "local bridging" only! (10/5)

Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FortiAPs sowie "local bridging":

       Fortinet-844.jpg
       

Die offizielle Information betreffend "tunneling" und/oder local bridging" möglichen FortiAPs auf einem FortiGate Device findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:

            FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Fortinet hat ein Dokument herausgegeben, in dem der Umstand dieser Aenderung erklärt wird und wieso dem so ist:

       Datei:Maximum Number of Managed FortiAPs in FortiOS 5 0 3 FAQ - August 2013 v1 r5.pdf

Kann ich einen Forti Access Point Device ohne FortiGate Wireless Controller konfigurieren und betreiben?

Ein Forti Access Point hat zwar ein Mgmt. Web Interface über dieses bestimmte einfache Konfigurationen durchgeführt werden können wie zB die Vergabe einer fixen IPv4 Adresse jedoch benötigt ein Forti Access Point für den Betrieb und dessen Grundkonfiguration einen FortiGate Wireless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem Forti Acces Point vom FortiGate Wireless Controller übermittelt/zugewiesen und somit kann ein Forti Access Point nicht ohne FortiGate Wirless Controller betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein Forti Access Point auch ohne FortiGate Wireless Controller betrieben werden da Fortinet neu einen entsprechenden Wireless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:

       FortiCloud:FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F

Was ist die max. Anzahl User die auf einem Forti Access Point verbunden werden können?

Nun die FortiAPs unterliegen keinem Hardlimit! Wenn eine Limitierung konfiguriert werden möchte, kann dies über die jeweilige SSID im Mgmt. Web Interface über folgende Position konfiguriert werden:

       WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients

Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen:

       3-7   - For a direct wire replacement.
       8-15  - In high VoIP environment, high performance enterprise, significant video, etc.
       16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
       26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
       >50   - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.

Diese Angaben stammen aus folgendem Dokument:

       Datei:FortiAP Technical FAQ - January 2014.pdf)

Was ist die max. Anzahl SSID's die ich auf einem Forti Access Point konfigurieren und betreiben kann?

Grundsätzlich gelten die "maximum values" für das entsprechende FortiOS. Weitere Informationen betreffend "maximum values" siehe nachfolgenden Link:

       Datei:Fortigate-max-values-50.pdf
       Datei:Fortigate-max-values-52.pdf
       Datei:Fortigate-Max-Values-54.pdf

In diesen "maximum values" sind zwei Werte gelistet:

       • SSIDs                        Dieser Wert stellt das Maximum dar der SSID's die konfiguriert werden können!
       • SSID lists per FortiAP       Dieser Wert stellt das Maximum dar der SSID's die für einen Forti Access Point konfiguriert werden können!

Dabei ist folgendes zu beachten: Wenn auf einem Forti Access Point die volle Anzahl der SSID's konfiguriert wird so entsteht durch den Traffic der SSID's selber eine hohe Belastung (zusätzliche Broadcast Frames). Aus diesem Grund ist es nicht empfehlenswert mehr als 7 SSID's auf einem Forti Access Point zu konfigurieren da durch mehr SSID's die Performance durch die zusätzlichen Broadcast Frames beeinträchtigt wird. Die empfohlen Anzahl seitens Fortinet ist 4 SSID's!

Wie sieht der Hardware-Technische Aufbau (block diagram) eines Forti Access Point Produkts aus?

In der nachfolgenden Abbildung resp. "block diagram" wird anhand eines FortiAP-28C gezeigt, wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:

       Fortinet-1347.jpg

Wie aus dem "block diagram" ersichtlich ist, wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:

       http://en.wikipedia.org/wiki/Qualcomm_Atheros

Desweiteren eine "Schematische" Uebersicht betreffend FAP-221C, FAP-320C sowie FAP-321C:

       FAP-221C
       
       Fortinet-1359.jpg
       FAP-320C
       
       Fortinet-1360.jpg
       FAP-321C
       
       Fortinet-1361.jpg

Weitere Modelle betreffend Forti Access Point Hardware Schematics findet man unter folgenden Link:

       Fortinet:ProduktInfo#Fortinet_Hardware_Schematics

Wieso kann die Hardware eines Forti Access Point FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten?

Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:

       FortiAP:FAQ#Wo_finde_ich_detailliert_Informationen_.C3.BCber_Wireless_.22802.11AC_MU-MiMo.22_Funktion.3F

In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:

       # cw_diag -c radio-cfg
       
       Radio 0: AP
          country        : cfg=CH oper=CH
          radio type     : 11N_2.4G
          beacon intv    : 100
          tx power       : 15
          HT param       : mcs=23 gi=disabled bw=20MHz
          ack timeout    : 64
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25 
          r_ac chan      : num=6 age=25011
          channel        : num=6 
          oper_chan      : 6
          r_ac md_cap    : 2, 6, 10, 
          r_ac chan list : 2, 6, 10, 
               chan list : 2, 6, 10, 
          hw_chan list   : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52, 
                           56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140, 
          nol list       : 
          ap scan        : background regular scan, 
          ap scan period : 600s
          ap scan intv   : 1s
          ap scan dur    : 20ms
          ap scan idle   : 0ms
          ap scan rpt tmr: 30s
          sta scan       : enabled
          arrp           : enabled --info only
          spect analysis : disabled
          wids           : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol 
               long-dur-thresh: 8200
                    auth-flood: time=10, thresh=30
                   assoc-flood: time=10, thresh=30
       Radio 1: AP
          country        : cfg=CH oper=CH
          radio type     : 11AC
          beacon intv    : 100
          tx power       : 31
          VHT param      : mcs=9 gi=disabled bw=80MHz
          ack timeout    : 25
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25 
          r_ac chan      : num=0 age=68299
          channel        : num=0 
          oper_chan      : 36
          r_ac md_cap    : 36, 40, 44, 48, 
          r_ac chan list : 36, 40, 44, 48, 
               chan list : 36, 40, 44, 48, 
          hw_chan list   : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 
                           128, 132, 136, 140, 
          nol list       : 
          ap scan        : disabled, 
          sta scan       : disabled
          arrp           : disabled --info only
          spect analysis : disabled
          wids           : disabled

Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche Umgebungsvariablen 100% stimmen was wiederum bedeutet: Der Host/Client muss für die Verbindung zB ebenfalls den entsprechenden "MCS Index" unterstützen! Somit wenn die Umgebungs Variablen 100% stimmen bestimmt der MCS Index den max. Durchsatz gemäss unteren Tabelle:

       Datei:Fortinet-718.jpg

Welches FortiOS soll im Zusammenhang mit FortiGate Devices und/oder Forti Access Points eingesetzt werden?

Grundsätzlich ist es empfohlen die jeweiligen Release Notes für das entsprechenden FortiOS für einen Forti Access Point zu konsultieren um zu verifizieren welche Version für welchen FortiGate Patch Level unterstützt wird. In einem Upgrade Scenario muss ebenfalls verifiziert werden, wie ein Upgrade zu erfolgen hat dh. von welcher FortiOS Version für die Forti Access Points. Teilweise ist es möglich für Forti Access Points höhere Versionen einzusetzen dh. Zb FortiGate Device 5.0 und auf den Forti Access Point 5.2. Dabei ist jedoch zu berücksichtigen: Features die für FortiOS 5.2 grundsätzlich zur Verfügung stehen, können obwohl der Forti Access Points basierend auf FortiOS 5.2 betrieben wird, nicht zugewiesen werden da der FortiGate Wireless Controller FortiOS 5.0 basierend ist. Da die Konfiguration eines Forti Access Point über den FortiGate Wireless Controller einem Forti Access Point zugewiesen wird kann in so einer Konstellation der FortiGate Wireless Controller einem Forti Access Point nicht 5.2 basierend Features zuweisen da der FortiGate Wireless Controller diese nicht kennt da dieser auf FortiOS 5.0 basiert. Je nach FortiOS Version ist es nicht möglich ein durchgeführtes Upgrade durch ein Downgrade zu ersetzen. Auch hier gibt die Release Notes des entsprechenden FortiOS für die Forti Access Points Auskunft ob ein nachträgliches Downgrade durchführbar ist. Weitere Auskunft über diese Problematik betreffend Downgrade von 5.2 auf 5.0 gibt nachfolgender Artikel:

       FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.2_anhand_einer_Firmware_5.0_ein_.22Downgrade.22_durchf.C3.BChren.3F
       FortiAP:FAQ#Kann_f.C3.BCr_einen_Forti_Access_Point_basierend_auf_Firmeware_5.4_anhand_einer_Firmware_5.2_ein_.22Downgrade.22_durchf.C3.BChren.3F

Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet: ein Upgrade für den FAP-320C ist folgendermassen durchzuführen:

       Schritt 1:    FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out
       Schritt 2:    Danach Upgrade mit regulärem Image auf 5.2.2

Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Patch Level sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss, die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:

       https://support.fortinet.com/Download/FirmwareImages.aspx
       
       / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

Nachträglich eine kurze Uebersicht über die möglichen Konstellation:

       FortiGate 5.2.x                            --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)
       FortiGate 5.0.x                            --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)
       FortiGate 5.0.x (Special Support Build)    --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (Zwingend für Modelle FAP-221C/222C/223C/321C damit diese erkannt werden)

Bei dieser Aufstellung der Möglichkeiten ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D sind in der Version Forti Access Point 5.0.x nicht erhältlich. Somit müssen die Forti Access Point basierend auf Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu achten immmer den neusten Patch Level für Forti Access Points einzusetzen unter berücksichtigung der Release Notes.

Wie kann ich das lokale Passwort auf einem Forti Access Point zurücksetzen?

Wenn ein Forti Access Point in Betrieb genommen wird so ist das Standard Password wie bei allen Fortinet Geräten für den User "admin" nicht gesetzt dh. kein Passwort. Wenn nun dennoch in einer weiteren Konfiguration auf einem Forti Access Point ein Passwort gesetzt wird und später für ein Login dieses nicht mehr zur Verfügung steht kann Grundsätzlich folgendes durchgeführt werden:

       "Forti Access Point ist nicht mit einem FortiGate Wireless Controller verbunden"
       
       Wenn ein Forti Access Point nicht mit einem FortiGate Wireless Controller verbunden ist dh. das entsprechende 
       Passwort benötigt wird um Lokal auf den Forti Access Point zu verbinden bleibt einem nichts anderes übrig als 
       einen "Factory Reset" auszuführen auf dem Forti Access Point. Zu diesem Zweck verfügen alle Forti Access Points 
       über einen "Hardware Reset" Button anhand diesem ein Factory Reset ausgeführt werden kann. Weitere Informationen 
       dazu siehe nachfolgender Artikel:
       
       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F
       "Forti Access Point ist mit einer FortiGate Wireless Controller verbunden"
       
       Wenn der Forti Access Point über eine FortiGate Wireless Controller verbunden ist kann das Passwort auf einem 
       Forti Access Point über den "FortiGate Wireless Controller" der FortiGate zurück gesetzt werden. Dies wird 
       folgendermassen ausgeführt:
       
       FortiOS 5.0/5.2
       
       # config wireless-controller wtp
       # edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
       # set login-passwd-change default
       # end
       # end
       
       FortiOS 5.4
       
       # config wireless-controller wtp
       # edit [WTP ID resp. Serien Nummer des entsprechende Forti Access Point]
       # set override-login-passwd-change enable
       # set login-passwd-change default
       # end
       # end
       
       Sofern der Forti Access Point ein WTP Profile benutzt kann das Passwort ebenfalls über dieses WTP Profile
       zurück gesetzt werden:
       
       # config wireless-controller wtp-profile
       # edit [Gebe das entsprechende WTP Profile des Forti Access Point an]
       # set login-passwd-change default
       # end
       # end
       
       Durch dieses Kommando wird das Passwort eines Forti Access Point auf "default" zurück gesetzt dh. es gilt User 
       "admin" und kein Passwort.

Wie kann ich für eine Forti Access Point Hardware einen Factory Reset durchführen?

Wenn für eine Forti Access Point Hardware ein Factory Reset durchgeführt werden soll so kann das Lokal über die CLI auf einem Forti Access Point durchgeführt werden. Einerseits wenn dies durchgeführt werden möchte, ist es möglich per "telnet" über den Forti Gate Wireless Controller Zugriff auf die CLI eines Forti Access Point zu erhalten. Ebenso kann der Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden werden um danach ebenso über "telnet" Zugriff auf die CLI des Forti Access Point zu erhalten.

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
       FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F

Wenn ein Forti Access Point Lokal an einen Client/Host über RJ-45 verbunden ist muss "telnet" Zugriff über das Mgmt. Web Interface des Forti Access Point aktiviert werden. Um auf der CLI danach ein Factory Reset auszuführen gebe folgendes ein:

       # cfg -x 
       # reboot
       
       oder auch
       
       # factoryreset

Durch den Befehl "cfg -x" wird der Forti Access Point zurückgesetzt und zware ohne Neustart des Forti Access Point im Gegensatz zu "factoryreset"! Aus diesem Grund muss nach "cfg -x" ein manueller Neustart durchgeführt werden. Die Forti Access Points können ebenfalls auch manuell anhand eines "Hardware Reset" Buttons auf Factory Reset zurückgestellt werden. Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:

       FAP-210B and FAP-220B
       Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss 
       der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.
       FAP-221B, FAP 221C and FAP-223B
       Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo). 
       Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
       Es wird automatisch ein Neustart ausgeführt.
       FAP-320B and FAP320C
       Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
       Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch 
       ein Neustart ausgeführt.
       FAP-222B
       Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt 
       werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.
       FAP-11C
       Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
       auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.

Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:

      Fortinet:ProduktInfo#FortiAP

Was bedeuten die verschiedenen Regionen Codes im Zusammenhang mit der Forti Access Point Hardware resp. SKU?

Wenn man einen Forti Access Point beim Distributor bestellt, wird die korrekte Fortinet Hardware mit der SKU indiziert dh. eine Fortinet SKU zB für einen FortiAccess Point FAP-221C hat folgende SKU:

       FAP-221C-E

Der Zusatz "-E" indiziert den "Regionen Code". Dies bedeutet: Durch den entsprechenden Regionen Code werden Regulatorien resp. Richtlinien der einzelnen Ländern bestätigt. Dies bedeutet wiederum: Muss für ein Projekt zB ein Forti Access Point nach Japan gesendet werden ist es nicht korrket ein "-E" Modell nach Japan zu senden da sich dieser Forti Access Point dh. "-E" unterscheidet von "-J" und somit die Richtlinien für das entsprechende Land nicht eingehalten werden. Somit muss bei einer Bestellung dies mitgeteilt werden zB:

       FAP-221C-J

Um den richtigen Forti Access Point mit dem korrekten "Region Code" bestellt werden kann muss das Installations Land bekannt sein damit der korrekte "Region Code" verifiziert werden kann. Nachfolgend einen Ueberblick ober die verschiedenen "Region Code":

       -A      CANADA 
               GUAM 
               PUERTO RICO 
               ARGENTINA 
               UNITED STATES
       -E      ARUBA 
               AUSTRIA 
               BELGIUM 
               BOSNIA AND HERZEGOVINA 
               BULGARIA 
               CAMBODIA 
               CROATIA 
               CYPRUS 
               CZECH REPUBLIC 
               DENMARK 
               ESTONIA 
               FINLAND 
               FRANCE 
               GERMANY 
               GREECE 
               GREENLAND 
               HAITI 
               HUNGARY 
               ICELAND 
               IRAQ
               IRELAND 
               ITALY 
               LATVIA 
               LEBANON 
               LIECHTENSTEIN 
               LITHUANIA 
               LUXEMBOURG 
               MACEDONIA 
               MALTA 
               NETHERLANDS 
               NETHERLANDS ANTILLES 
               NORWAY 
               POLAND 
               PORTUGAL 
               ROMANIA 
               SAUDIA ARABIA 
               SERBIA & MONTENEGRO 
               SLOVAK REPUBLIC 
               SLOVENIA 
               SOUTH AFRICA 
               SPAIN 
               SWEDEN 
               SWITZERLAND 
               TURKEY 
               UNITED ARAB EMIRATES 
               UNITED KINGDOM 
               BELARUS 
               KENYA 
               MOZAMBIQUE
               ANGOLA
               SUDAN
               MAURITANIA
       -I      ARMENIA 
               AZERBAIJAN 
               GEORGIA 
               ISRAEL 
               KUWAIT 
               Morocco
               TUNISIA 
               UZBEKISTAN 
               MONACO 
       -J      JAPAN
       -K      KOREA REPUBLIC 
       -N      AUSTRALIA 
               BARBADOS 
               BOLIVIA 
               BRAZIL 
               CHILE 
               COLOMBIA 
               COSTA RICA 
               DOMINICAN REPUBLIC 
               GUATEMALA 
               ECUADOR 
               EL SALVADOR 
               FIJI
               HONG KONG 
               JAMAICA 
               MACAU 
               MEXICO 
               NEW ZEALAND 
               OMAN 
               PANAMA 
               PAPUA NEW GUINEA 
               PARAGUAY
               PERU 
               PHILIPPINES 
               QATAR 
               TRINIDAD & TOBAGO 
               VENEZUELA 
       -V      VIETNAM 
               BAHRAIN 
               SRI LANKA 
       -S      BRUNEI DARUSSALAM 
               INDIA 
               SINGAPORE 
               THAILAND 
               GRENADA 
               HONDURAS 
               BELIZE 
               CHINA 
               IRAN 
               NEPAL 
               MALAYSIA 
               PAKISTAN 
               URUGUAY 
               EGYPT 
       -T      TAIWAN 
       -U      UKRAINE 
       -P      RUSSIA
       -W      ALBANIA 
               TANZANIA
               YEMEN 
               ZIMBABWE 
               ALGERIA 
               BANGLADESH 
               INDONESIA 
               KAZAKHSTAN 
               SYRIA

Folgendes Dokument kann gerne benutzt werden um die richtigen Ländercodes zu ermitteln:
Als Exel Datei mit Filterfunktion:

Datei:FortiAP LaenderCode-Tabelle-version1.xlsx

Als PDF Datei:

Datei:FortiAP LaenderCode-Tabelle-version1.pdf

FortiAP und 5.0 GHZ

Was ist 5.0 GHZ? Welche FortiAPs unterstützen 5.0 GHZ?

Gemäss IEEE 802.11 haben WLANS mehrere Frequenzbereiche/-bände: 2.4 GHZ, 5.0 GHZ, sowie 6.0 GHZ, 60.0 GHZ, und jene < 1.0 GHZ. Dabei ist 2.4 GHZ der am meisten verwendete Frequenzbereich, gefolgt von 5.0 GHZ. Letzterer hat im Vergleich zu 2.4 GHZ höhere Bandbreite, jedoch kürzere Reichweite. Der Vorteil von 5.0 GHZ liegt jedoch in der geringeren Störanfälligkeit.

Die meisten neueren WLAN-Geräte bzw. Access Points unterstützen 5.0 GHZ, darunter folgende FortiAPs (Radio 1-3 Capabilities):

FAP-231F, FAP-431F, FAP-433F, FAP-432F, FAP-234F, FAP-23JF
FAP-221E, FAP-223E, FAP-231E, FAP-321E, FAP-421E, FAP-423E
FAP-222E, FAP-224E, FAP-C24JE 
FAP-U231F, FAP-U431F, FAP-U433F 
FAP-U221EV, FAP-U223EV, FAP-U321EV, FAP-U323EV, FAP-U421EV, FAP-U423EV
FAP-U422EV, FAPU24JEV


Wie konfiguriere ich FortiAPs und FortiGate zur optimalen Nutzung von 5.0 GHZ?

Diesbezüglich ist folgender KB-Artikel inkl. Config-Screenshot empfehlenswert (Stand: FortiAP/FortiGate v6.0 - v6.4):

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50799

Dabei ist u.a. wichtig, dass unter FortiAP Profiles zunächst Frequency Handoff und AP Handoff aktiviert werden. Bei TX power control (sowohl Radio 1 & 2) wählt man die Option Auto, und stellt anschliessend die entsprechenden Transmit Power Ranges ein:

2.4 GHz: 6 to 12 dB
5.0 GHz: 12 to 18 dB

Die FortiOS-Version sollte auf sämtlichen, involvierten FortiAPs und FortiGates identisch sein.

Power Adapter

Welcher Power Adapter oder PoE Injektor brauche ich für meinen Forti Accesspoint?

FortiAPs werden teilweise mit jedoch teilweise auch ohne PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAPs mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter die für fast alle FortiAPs erhältlich sind aufgeführt:
FortiAP Netzteile:

Fortinet-2814.jpg
Fortinet-2815.jpg
Fortinet-2816.jpg

FortiAP S-Serie Netzteile:

Fortinet-2817.jpg  

FortiAP U-Serie Netzteile:

Fortinet-2818.jpg  

FortiAP C-Serie Netzteile:

Fortinet-2819.jpg  

In der Folgenden Datei findet man eine Zusammenfassung welcher Poweradapter zu welchem FortiAP genutzt werden kann:

Datei:FAP-PowerAdapter.pdf

Betreffend dieser Informationen im Zusammenhang mit FortiAP-S siehe nachfolgender Artikel:

FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F

       2692514               GPI-115                 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
       2700323               GPI-130                 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W

FortiCare

Muss ich für die "Lifetime Warranty" eines Forti Access Point ein FortiCare (Maitenance) beziehen?

"Lifetime Waranty" muss für einen Forti Access Point nicht in jedem Fall bezogen werden! Die Fortinet hat im März 2014 folgendes Dokument released:

       Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf
       Datei:Fortinet Limited Lifetime Warranty FAQ - January 2015.pdf

Dieses Dokument besagt folgendes:

       Jeder FortiAP der nach 1. November 2013 gekauft/registriert wurde (purchased after November 1st 2013) benötigt kein FortiCare mehr und hat 
       "LifeTime Waranty" betreffend RMA. "LifeTime Waranty" bedeutet: 5 Jahre nach EOL (End Of Life Announcement).

Alle Geräte vor dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden! Alle FortiAP die über kein FortiCare verfügen und nach dem 1. November 2013 gekauft wurden, werden über Fortinet EMEA (Sophia Antipolis) bei Defekt ausgetauscht. Was jedoch zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich nicht auf:

       • Firmware Upgrade
       • Technischer Support (Ticketing)

Somit muss für die Aussage im Zusammenhang mit "Lieftime Warranty" folgendes berücksichtigt werden: Um ein Firmware Upgrade auf einem Forti Access Point durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt man weiterhin FortiCare dh. ohne FortiCare können keine regulären Firmware Upgrades für Forti Access Point durchgeführt werden und können keine technischen Support Tickets eröffnet werden! Somit muss für einen Forti Access Point Maintenance resp. mit FortiCare bezogen werden!

Antenna

Kann man Forti Access Points mit externen Antennen Nach-/Ausrüsten?

Grunsätzlich ist es möglich Forti Access Points mit externen Antenen Nach-/Auszurüsten dh. das eingesetzte Forti Access Point Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Dies bedeutet: ob der vorhanden Anschluss für eine externe Antenne zur Verfügung steht oder nicht. Ob dies der Fall ist, kann über das jeweiligen Quickstart und/oder Datasheet verifiziert werden:

Fortinet bietet eigene externe Antennen an in der Forti Access Point Produktlinie. Der Wirkungsgrad dieser Antennen etc. kann im jeweiligen Datasheet nachgelesen werden:


edit 03.05.2024 - 4Tinu

Was ist zu beachten wenn Forti Access Points mit einer externen Antenne ausgerüstet wird?

Eine externe Antenne verteilt das Signal nur dh. es verstärkt dieses nicht! Die Antennen verteilen das Signal in Ihrer speziellen Art und Weise (Wirkungsgrad). Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

       http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

Welchen Anschluss benützt eine Forti Access Point für den externen Antenna Anschluss?

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

       Fortinet:ProduktInfo#FortiWiFi
       Fortinet:ProduktInfo#FortiAP

Durch die FortiWifi wird der "RP-SMA" Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem "RP-SMA" Anschluss handelt:

       https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder

Gibt es von Fortinet für Forti Access Point eine externe "omnidirect" Antenne?

Omnidirect bedeutet: 360° was wiederum bedeutet, dass Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet externen Antennen gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung (Wirkungsgrad):


edit 03.05.2024 - 4Tinu

FortiAP-OS

Wo finde ich den Upgrade Pfad für das FortiAP OS?

Beim Upgraden eines FortiAP ist es wie auf der FortiGate selber wichtig, den Upgrade Pfad einzuhalten. Wir emfpehlen, auf dem Accesspoint möglichst die gleiche OS Version zu installieren, wie die FortiOS Version auf der FortiGate welche als Kontroller eingerichtet ist. [FortiAP:FAQ#Welche_FortiAP_OS_Version_verwende_ich_mit_welchem_FortiOS.3F]

Wie auf einer FortiGate ist es auch mit dem Accesspoint wichtig, beim upgraden den UPGRADE PFAD einzuhalten.

Den Upgradepfad ist in den Release Notes zu finden oder beim speziellen Upgradepfad Dokument auf den docs.fortinet.com zu entnehmen:

Aktuelle Liste (FortiOS 6.4.7):

Fortinet-2823.jpg

PDF Dateien mit den Upgrade Pfaden:


Aktuelle Upgradepfade auf den Docs:


edit 18.03.2022 - 4Tinu

Was wird als FortiOS auf einem Forti Access Point genutzt und wie wird die "Standard"-Konfiguration gestartet?

Beim FortiOS eines Forti Access Point handelt es sich um ein "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0). Dies bedeutet: Prozesse und / oder Deamons werden über die zuständigen RC-Level (Start Scripts) abgewickelt. Diese RC-Level welche wiederum einfach Scripts darstellen, lesen Konfigurations-Dateien aus um die notwendige Konfiguration durchzuführen. Die RC-Levels befinden sich im folgenden Verzeichnis:

       /etc/rc.d/

Die Konfigurations-Dateien befinden sich im folgenden Verzeichnis:

       /etc/ath

In diesem Verzeichnis existieren folgende Files welche für folgende Konfiguration zuständig sind:

       dflt.cfg (Standard Konfiguration)
       
       # more /etc/ath/dflt.cfg
       
       --------------- output dflt.cfg --------------- 
       
       ## Default values of FAP cfg variables
       ## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
       ## Add an entry like:   CFG_VAR_NAME_DFLT=DFLT_VALUE
       ## Don't include "" in DFLT_VALUE
       
       BAUD_RATE_DFLT=9600
       FIRMWARE_UPGRADE_DFLT=0
       ADMIN_TIMEOUT_DFLT=5
       
       ADDR_MODE_DFLT=DHCP
       STP_MODE_DFLT=0
       AP_IPADDR_DFLT=192.168.1.2
       AP_NETMASK_DFLT=255.255.255.0
       IPGW_DFLT=192.168.1.1
       DNS_SERVER_DFLT=208.91.112.53
       AP_MGMT_VLAN_ID_DFLT=0
       WAN_MODE_DFLT=bridged
       WAN_IPADDR_DFLT=192.168.2.1
       WAN_NETMASK_DFLT=255.255.255.0
       TELNET_ALLOW_DFLT=0
       HTTP_ALLOW_DFLT=1
       
       AC_DISCOVERY_TYPE_DFLT=0
       AC_IPADDR_1_DFLT=192.168.1.1
       AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
       AC_CTL_PORT_DFLT=5246
       AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
       AC_PLAIN_CTL_DFLT=0
       AC_DATA_CHAN_SEC_DFLT=2
       
       MESH_AP_TYPE_DFLT=0
       MESH_AP_MODE_DFLT=0
       MESH_AP_SSID_DFLT=fortinet.mesh.root
       MESH_AP_BSSID_DFLT=
       MESH_AP_PASSWD_DFLT=fortinet.mesh.root
       MESH_ETH_BRIDGE_DFLT=0
       MESH_MAX_HOPS_DFLT=4
       MESH_SCORE_HOP_WEIGHT_DFLT=50
       MESH_SCORE_CHAN_WEIGHT_DFLT=1
       MESH_SCORE_RATE_WEIGHT_DFLT=1
       MESH_SCORE_BAND_WEIGHT_DFLT=100
       MESH_SCORE_RSSI_WEIGHT_DFLT=100
       
       --------------- output dflt.cfg --------------- 
       apcfg (Benutzerspezifische Konfiguration)
       
       # more /etc/ath/apcfg
       
       --------------- output dflt.cfg --------------- 
               
       ###################################################################################
       ##  apcfg
       ##
       ##  Configuration file for Atheros AP.
       ##  This file will "predefine" default configuration data for the AP.  This
       ##  will first read all configuration data from flash (cfg -E), then fill in any
       ##  defaults that are missing.  Thus the defaults will appear on the web pages
       ##  even if the configuration store has been cleared.
       ##
       ###################################################################################
       ##
       ## Get the current settings from flash/cache area
       ##
       
       cfg -E > /tmp/vars.$$
       . /tmp/vars.$$
       rm /tmp/vars.$$
       
       source /etc/ath/dflt.cfg
       
       ##
       ## Set Network configuration
       ##
       ## AP_IPADDR  = IP address of the bridge
       
       ## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
       ## WAN_MODE   = bridged for attached to bridged, Get address if dhcp, fixed address
       ##              if static
       ##
       ###################################################################################
       
       if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
           cfg -a FIRMWARE_UPGRADE=0
           cfg -c
           if [ ${LOGIN_PASSWD_ENC} ]; then
               cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
           fi
       fi
       
       cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
       
       cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
       cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
       cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
       cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
       cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
       cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
       cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
       cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
       cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
       
       cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
       cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
       cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
       
       ##
       ## Set WTP configuration
       ##
       cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
       cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
       cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
       cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
       cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
       cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
       cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
       
       ##
       ## Set MESH configuration
       ##
       cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
       cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
       cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
       cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
       if test ${MESH_AP_PASSWD+defined}
       then
       cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
       else
       cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
       fi
       cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
       cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
       
       cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
       _DFLT}}                     T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
               cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
               cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
       #
       # Account for S26 peculiarity
       #
       export WAN_IF=eth1
       export LAN_IF=eth0
       
       #
       # Indicate if you want the WLAN to be activated on boot up.
       #
       
       cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
       
       #
       # AP Start Mode
       # This can be overridded by environmental variables
       # Modes can be
       #    standard := standard single AP start mode
       #      rootap := WDS root AP for WDS modes
       #reptater-ind := WDS repeater station independent mode
       #      client := WDS "virtual wire" client
       #       multi := Multiple BSSID with all encryption types
       #        dual := Dual concurrent, automatically configure interface
       #      stafwd := Station mode with address forwarding enabled
       #
       #
       
       cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
       cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
       cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
       
       
       #################################################################################
       ## Default Parameters
       ## If these are not set explictly by exporting environmental variables, the following
       ## Defaults will be applied
       #################################################################################
       #
       # AP_PRIMARY_CH could be
       #                11na (which means auto-scan in 11na mode) or
       #                11ng (which means auto-scan in 11ng mode)
       
       cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
       cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
       
       ##
       ## Set up the channel for dual mode
       ##
       
       cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
       cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
       
       ##
       ## This is for pure G or pure N operations.  Hmmmm...
       ##
       
       cfg -a PUREG=${PUREG:=0}
       cfg -a PUREN=${PUREN:=0}
       
       ##
       ## Channel Configuration Section
       ##
       
       cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
       cfg -a SHORTGI=${SHORTGI:=1}
       cfg -a SHORTGI_2=${SHORTGI_2:=1}
       
       #
       # Aggregation.  First parameter enables/disables,
       # second parameter sets the size limit
       #
       
       cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
       cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
       cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
       cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
       cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
       cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
       cfg -a AMPDUMIN=${AMPDUMIN:=32768}
       cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
       cfg -a CWMMODE=${CWMMODE:=1}
       cfg -a CWMMODE_2=${CWMMODE_2:=1}
       cfg -a RATECTL=${RATECTL:="auto"}
       cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
       cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
       cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
       cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
       cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
       
       ##
       ## AP Identification Section
       ##
       
       cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
       
       if [ "${AP_STARTMODE}" = "dual" ]; then
           cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
       fi
       
       ##
       ## Set the default modes for multi configuration
       ## Set default security modes
       ## Set default secfile to PSK, only valid in WPA mode
       ## Default keys are Decimal (NOT hex)
       ##
       export MAX_VAPS_PER_RADIO=4
       
        _1
       ## trailer - it's not a VAP number, it's the number of the key.  This is done for-More-- (73% of 8884 bytes)
       ## both radios.
       ##
       
       my_wep_keys="_1 _2 _3 _4"
       for i in $my_wep_keys;
       do
           if [ "${i}" = "" ]; then
               i=""
           fi
           ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
           ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
           eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
           eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
           cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
           cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
       done
       
       ##
       ## Now, for each radio, set the primary key and the mode value
       ##
       cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
       cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
       cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
       cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
       
       
       my_vaps=" _2 _3 _4 _5 _6 _7 _8"
       for i in $my_vaps;
       do
           if [ "${i}" = "" ]; then
               i=""
           fi
       ITER_AP_MODE="AP_MODE$i"
       ITER_AP_SECMODE="AP_SECMODE$i"
       ITER_AP_SECFILE="AP_SECFILE$i"
       ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
       eval ITER_MODE=\$$ITER_AP_MODE
       eval ITER_SECMODE=\$$ITER_AP_SECMODE
       eval ITER_SECFILE=\$$ITER_AP_SECFILE
       eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
       cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
       cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
       cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
       done                        LE=${ITER_WPS_ENABLE:="0"}
       
       ##
       ## Export the variables again to catch the defaults
       ##
       
       cfg -E > /tmp/vars.$$
       . /tmp/vars.$$
       rm /tmp/vars.$$
       
       ##
       ## Set the proper radio parameter values depending on the
       ## interface selected.  These are exported vice included
       ## in cache. These should really be in apup vice here,
       ## but this works OK.
       ##
       
       for i in $my_vaps;
       do
           if [ "${i}" = "" ]; then
               i=""
       fi
           ITER_RADIO_ID="AP_RADIO_ID$i"
           eval ITER_RADIO_ID=\$$ITER_RADIO_ID
           if [ "${ITER_RADIO_ID}" = "1" ]; then
               export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
       else
               export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
       fi
       done
       
       #####################################################################################
       ## The following parameters are board specific, and should not be modified
       #####################################################################################
       
       export ATH_use_eeprom=0
       
       --------------- output dflt.cfg ---------------

Wo befindet sich das Standard Zertifikat auf dem FortiOS für ein Forti Access Point?

Das Standardzertifikat für deinen Forti Access Point ist von zentraler Bedeutung und sollte niemals manipuliert werden. Dieses Zertifikat spielt eine wesentliche Rolle bei mehreren kritischen Funktionen:

  1. Verbindungsaufbau über CAPWAP (UDP 5246): CAPWAP (Control and Provisioning of Wireless Access Points) ist das Protokoll, das für die Kommunikation zwischen dem Access Point und dem Controller verantwortlich ist. Das Standardzertifikat gewährleistet eine sichere Authentifizierung und Integrität dieser Verbindung.
  2. Firmware-Upgrades: Das Zertifikat wird auch verwendet, um sicherzustellen, dass Firmware-Upgrades authentisch und nicht kompromittiert sind. Dies schützt dein Netzwerk vor potenziellen Sicherheitslücken und Malware-Infektionen durch manipulierte Firmware.
  3. DTLS-Verschlüsselung: Datagram Transport Layer Security (DTLS) wird verwendet, um den Datenverkehr zu verschlüsseln und so die Vertraulichkeit und Integrität der übertragenen Daten zu gewährleisten. Das Standardzertifikat ermöglicht die sichere Einrichtung dieser Verschlüsselung.

Die Zertifikate befinden sich im folgenden Verzeichnis:

 
        /etc/cert
        
        /etc/fgt.crt
        /etc/fgt.key

edit 13.06.2024 - 4Tinu

Wo befindet sich das "root" des WebServers auf dem FortiOS für einen Forti Access Point?

Über das FortiOS eines Forti Access Point wird ein Mgmt. Web Interface für die minimale lokale Konfiguration zur Verfügung gestellt. Das "root" des WebServers dieses Mgmt. Web Interface befindet sich auf dem FortiOS eines Forti Access Point im folgenden Verzeichnis:

 
        /usr/www

edit 13.06.2024 - 4Tinu

Welche Linux Befehle können auf einem FortiOS für einen Forti Access Point benützt werden?

Ein Forti Access Point basiert auf einem "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Linux Kommandos abgesetzt werden wie zB:

 
        ifconfig
        more
        cd

Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:

 
        /bin
        /sbin

        # ls -la /bin
        
        --------------- output /bin --------------- 
        
        drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
        drwxr-xr-x   15 admin    root            0 Jan  1  1970 ..
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ash -> busybox
        -rwxr-xr-x    1 admin    root      1143436 Dec 11 00:54 busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cat -> busybox
        lrwxrwxrwx    1 admin    root           24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 chmod -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cp -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 date -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 df -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 dmesg -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 echo -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 egrep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 factoryreset -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 fgrep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 grep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ip -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 iproute -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 kill -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ln -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 login -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ls -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mkdir -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 more -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mount -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mv -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ping -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ps -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 pwd -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rm -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rmdir -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sh -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sleep -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sync -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 touch -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 umount -> busybox
        lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 uname -> busybox
        
        --------------- output /bin --------------- 

        # ls -al /sbin
        
        --------------- output /sbin --------------- 
        
        drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
        drwxr-xr-x   15 admin    root            0 Jan  1  1970 ..
        -rw-r--r--    1 admin    root            0 Dec 11 00:35 .dummy
        -rwxr-xr-x    1 admin    root        12128 Dec 11 00:54 apstart
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 arp -> ../bin/busybox
        -rwxr-xr-x    1 admin    root      1348400 Dec 11 00:54 cwWtpd
        -rwxr-xr-x    1 admin    root         6096 Dec 11 00:54 cw_debug
        lrwxrwxrwx    1 admin    root            6 Dec 11 00:54 cw_diag -> cwWtpd
        -rwxr-xr-x    1 admin    root         2534 Dec 11 00:46 cw_test_led
        -rwxr-xr-x    1 admin    root         3727 Dec 11 00:46 cw_test_radio
        -rwxr-xr-x    1 admin    root         4652 Dec 11 00:54 diag_console_debug
        -rwxr-xr-x    1 admin    root         5084 Dec 11 00:54 diag_debug_crashlog
        -rwxr-xr-x    1 admin    root         3932 Dec 11 00:54 ebtables
        -rwxr-xr-x    1 admin    root         9508 Dec 11 00:54 fap-factory-license
        -rwxr-xr-x    1 admin    root         4892 Dec 11 00:54 fap-get-status
        -rwxr-xr-x    1 admin    root         4484 Dec 11 00:54 fap-mount-udisk
        -rwxr-xr-x    1 admin    root         5956 Dec 11 00:54 fap-set-hostname
        -rwxr-xr-x    1 admin    root         4148 Dec 11 00:54 fap-umount-udisk
        -rwxr-xr-x    1 admin    root        74220 Dec 11 00:54 fsd
        -rwxr-xr-x    1 admin    root        11012 Dec 11 00:54 get
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 getty -> ../bin/busybox
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 halt -> ../bin/busybox
        -rwxr-xr-x    1 admin    root         4408 Dec 11 00:54 help
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 ifconfig -> ../bin/busybox
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 init -> ../bin/busybox
        -rwxr-xr-x    1 admin    root         3724 Dec 11 00:54 init_sys_shm
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 insmod -> ../bin/busybox
        -rwxr-xr-x    1 admin    root        21584 Dec 11 00:54 iwconfig
        -rwxr-xr-x    1 admin    root        25304 Dec 11 00:54 iwlist
        -rwxr-xr-x    1 admin    root        11352 Dec 11 00:54 iwpriv
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 lsmod -> ../bin/busybox
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 modprobe -> ../bin/busybox
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 poweroff -> ../bin/busybox
        -rwxr-xr-x    1 admin    root        12548 Dec 11 00:54 radartool
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 reboot -> ../bin/busybox
        -rwxr-xr-x    1 admin    root           61 Dec 11 00:49 repeater_pass_configuration
        -rwxr-xr-x    1 admin    root         5884 Dec 11 00:54 restore
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 rmmod -> ../bin/busybox
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 route -> ../bin/busybox
        -rwxr-xr-x    1 admin    root         5884 Dec 11 00:54 setcfg
        -rwxr-xr-x    1 admin    root         9268 Dec 11 00:54 startup_fw
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 udhcpc -> ../bin/busybox
        lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 upgrade -> ../bin/busybox
        -rwxr-xr-x    1 admin    root       105972 Dec 11 00:54 usbmuxd
        -rwxr-xr-x    1 admin    root        19848 Dec 11 00:54 wlanconfig
        -rwxr-xr-x    1 admin    root       244180 Dec 11 00:54 wpa_supplicant
        
        --------------- output /sbin ---------------

edit 13.06.2024 - 4Tinu

FortiPlanner

Was ist ein FortiPlanner und wo finde ich weitere Informationen zum FortiPlanner?

Beim FortiPlanner handelt es sich um ein Tool das Fortinet zur Verfügung stellt um eine Wireless Plannung durchzuführen. Weitere Informationen zum FortiPlanner siehe nachfolgenden Artikel:

       FortiPlanner:FAQ

802.11

Wo finde ich detailliert Informationen über den Wireless "IEEE 802.11" Standard?

Folgender Link gibt Auskunft über den "IEEE 802.11" Standard und enthält weitere nützliche Links:

       http://en.wikipedia.org/wiki/802.11

Wo finde ich detailliert Informationen über den Wireless "802.11ac" Standard?

Fortinet hat ein Dokument veröffentlich in dem der neue "802.11ac" ([|IEEE 802.11ac] Standard beschrieben wird:

       Datei:802.11ac Wireless LAN FAQ - July 2013.pdf
       Datei:802.11ac Wireless LAN FAQ - Januar 2014.pdf
       Datei:802.11ac Wireless LAN FAQ - Februar 2014.pdf

Dabei ist eine Position in den Dokument zu berücksichtigen:

       Do I need to buy new APs to support 802.11ac?
       Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
       It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.

Somit können bestehende Modelle wie zB FAP-221B nicht auf den neuen Standard 802.11ac anhand eines Software Updates gebracht werden da es für den 802.11ac Standard neue Hardware benötigt die diesen Standard 802.11ac unterstützt wie zB FAP-221C. Desweiteren ist zu berücksichtigen, dass für diesen Standard resp. neue Hardware und für FortiOS 5.0 ein spezielles FortiOS installiert werden muss, damit die neuen FAP-221C die auf diesen neuen Standard 802.11ac basieren erkannt werden. Dieser neue "Special Support Build" wird basierend auf FortiOS 5.0 unter folgenden Link zur Verfügung gestellt:

            https://support.fortinet.com/Download/FirmwareImages.aspx
            
            / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/ 

Dieser Link kann nur dann aufgerufen werden, wenn vorgängig in den entsprechenden Support Account eingeloggt wird! Mit diesem "Special Support Build" wird ausschliesslich die neuen Forti Access Point (zB FAP-320C und FAP-221C) basierend auf 802.11ac unter FortiOS 5.0 unterstützt. Die Forti Access Points müssen mit FortiOS 5.2 betrieben werden. Um den "Special Support Build" zu installieren muss folgendermassen vorgegangen werden:

       1. Installierte Basis offizielles FortiOS 5.0.x
       
       2. Upgrade auf die letzte zur Verfügung stehende offizielle Version zB FortiOS 5.0.12 gemäss Upgrade Path:
          
          Datei:FortiOS-Upgradepath.pdf
       
       3. Einspielen des "Feature Support Build" basierend auf FortiOS 5.0.12

Für FortiOS 5.2 und höher muss zur Unterstützung der neuen 802.11ac Standard kein "Feature Support Build" installiert werden!

Wo finde ich detailliert Informationen über Wireless "802.11AC MU-MiMo" Funktion?

Unter "802.11AC MU-MiMo" versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". MiMo bedeutet somit konkret:

       MI steht für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen 

Dahinter verbirgt sich im Prinzip ein cleveres Radio/Antennen Management! Wenn ein Access Point über mehrer "radios" mit Antennen vefügt, kann der Access Point seine "radio" Antennen gezielt aufteilen wenn er mehrere Gegenstellen zu bedienen hat um damit jeder Gegenstelle eine besonders stabile und starke Verbindung zu garantieren:

       Datei:Fortinet-326.jpg               oder               Datei:Fortinet-331.jpg

Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:

       Datei:Fortinet-718.jpg

Wenn diese Technology für "802.11AC MU-MiMo", die auch für den Forti Access Point FAP-320B/C benutzt wird eingesetzt werden soll, so muss ebenfalls die Client/Host Seite über diese Technolgie verfügen. Dies bedeutet: der Client/Host selber müssen diese Technologie durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client/Host zB IPad "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte um die entsprechende Performance zu erlangen!

802.11ax - Wi-Fi6

Welches FortiOS unterstützt den Wi-Fi6 Standard?

  • Das FortiOS 6.4.0 und höher unterstützen den Wi-Fi6 Standard.
  • Das FortiOS 6.2.7 unterstützt den Wi-Fi6 Standard auch. Das heisst FortiGate Modelle wie zum Beispiel : 30E, 50E, 100D und 140D welche nicht mehr das FortiOS 6.4.x und höher unterstützen, können als Kontroller für Wi-Fi6 Accesspoint von Fortinet benutzt werden.

Mehr Informationen über die Kompatibilität der Geräte findet man in diesem Wiki Artikel:

Welche FortiAP unterstützen den Wi-Fi6 Standard?

Sämtliche FortiAP mit dem Suffix F unterstützen den Wi-Fi6 Standard.

Fortinet-2865.jpg

Infrastruktur FortiAP:

Universelle FortiAP:

Wireless Controller

Wie kann ich für einen FortiGate Wireless Controller den "Country Code" Konfigurieren?

Ein Forti Access Point wird über die Fortigate Wireless Controller konfiguriert. Es ist zwingend Notwendig die korrekte "location" (Country Code) zu setzen bevor ein Forti Access Point konfiguriert wird. UM den entsprechenden Country Code auf dem FortiGate Wireless Controller zu konfigurieren führe folgendes durch:

       # config wireless-controller setting
       # set country CH
       # end

Wenn man die Konfiguration abschliesst, kann es zu einer Fehlermeldung führen. Der Grund dafür sind existierende WTP Profiles die auf den alten Country Code basierend. Der Konfigurationspunkt in den WTP Profiles die auf dem Country Code basieren, sind die zur Verfügung gestellten "channels" und diese können von Land zu Land unterschiedlich sein. Aus diesem Grund unter FortiOS 5.0 dürfen kein WTP Profiles existieren wenn der Country Code neu gesetzt wird. Aus diesem Grund müssen die bestehenden WTP Profiles unter FortiOS 5.0 gelöscht werden. Dies wird folgendermassen durchgeführt:

       # config wireless-controller wtp-profile
       # purge
       This operation will clear all table!
       Do you want to continue (y/n)y

Dies gilt nicht für FortiOS 5.2 dh. unter FortiOS 5.2 kann der Country Code jederzeit geändert werden jedoch wird sämtliche "channel" Konfiguration zurückgesetzt und muss bei einer bestehenden Konfiguration nachträglich kontrolliert werden. Wird der Country Code unter FortiOS 5.2 auf der CLI geändert erscheint folgende Meldung:

       This operation will also clear channel settings of all the existing wtp profiles
       Do you want to continue (y/n)y

Kann ich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos absetzen?

Ab FortiGate/FortiAccessPoint FortiOS 5.4.1 ist es möglich über den FortiGate Wireless Controller direkt Forti Access Point Kommandos abzusetzen. Welche Kommandos dabei auf dem Forti Access Point abgesetzt werden können siehe nachfolgender Artikel:

       FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_Lokal_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F

Wenn Kommandos die für eine Forti Access Point zur Verfügung stehen über den FortiGate Wireless Controller abgesetzt werden, spielt es keine Rolle ob der Administrative Access eines Forti Access Points dh. telnet, ssh, http oder https aktiviert ist oder nicht denn die Kommandos werden über CAPWAP UDP-5246 durchgeführt. Um ein Kommando abzusetzen steht folgende Syntax mit deren Optionen zur Verfügung:

       # diagnose wireless-controller wlac wtpcmd [Forti Access Point IPv4] [CAPWAP Port] cmd [cmd-to-ap | run | show | showhex | clr | r&s | r&sh]

Die verschiedenen Optionen für "cmd" haben folgende Bedeutung:

       • cmd-to-ap:   any shell commands, but AP will not report results until the command is finished on the AP
       • run:         controller sends the ap-cmd to the FAP to run
       • show:        show current results reported by the AP in text
       • showhex:     show current results reported by the AP in hex
       • clr:         clear reported results
       • r&s:         run/show
       • r&sh:        run/showhex

Das Kommando das sich am Besten eignet um Kommandos abzusetzen ist "r&s" dh. "run and show". Nachfolgend ein Beispiel anhand "cfg -s" das die momentane Konfiguration eines Forti Access Points zeigt:

       # diagnose wireless-controller wlac wtpcmd [Forti Access Point IP] 5246 cmd r&s "cfg -s"

Um die IPv4 Adresse eines Forti Access Points über CLI zu verifizieren siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F

Wie kann ich auf einem FortiGate Wireless Controller ein Troubleshooting durchführen (diagnose)?

Auf einem FortiGate Wireless Controller stehen folgende troubleshooting Kommandos zur Verfügung um verschiedenen Informationen zu verifizieren:

       # diagnose wireless wlac -h
       wlac usage:
           wlac help                                        --show this usage
           wlac ping [-c cnt] [-s len] <ip>                 --send cnt len-bytes ping request
           wlac tpt                                         --show non-wireless terminaton point info
           wlac tablesize                                   --print tablesize for wireless-controller part only
           wlac kickmac mac                                 --disassociate a sta
           wlac kickwtp ip cport                            --tear down a wtp session
           wlac plain-ctl [[wtp-id] [0|1] | clear]          --show, set or clear current plain control setting
           wlac sniff-cfg [[ip port] | clear]               --show, set or clear sniff server ip and port
           wlac sniff [intf [wtp-id] [0|1|2] | clear]       --show, set or clear sniff setting on intf for wtp-id
           wlac list-vap                                    --show configured VAPs and VAP groups.
           wlac scanclr                                     --clear the scanned rogue ap list
           wlac scanstaclr                                  --clear the scanned rogue sta list
           wlac sta_filter [sta-mac level | clear]          --show, set or clear sta filter
           wlac wtp_filter [id vfid-ip:port level | clear]  --show, set or clear wtp filter
           wlac clear debug                                 --clear all debug settings
           wlac show debug                                  --show all debug settings
           wlac show kernel                                 --show all -k command settings
           wlac show data                                   --show all -d settings
           wlac show control                                --show all -c settings
           wlac show all                                    --show all -k,-c,-d and debug settings
           wlac -k cws [wlan]                               --list cws info(kern) 
           wlac -k wtp [vfid-ip:port lip:port]              --list wtp info(kern) 
           wlac -k vap [wlan | bssid]                       --list vap info(kern)
           wlac -k sta [wlan | bssid mac]                   --list sta info(kern)
           wlac -k wlan-sta wlan sta-ip                     --list wlan's sta info(kern)
           wlac -d usage                                    --list objects usage(data)
           wlac wpad_vap [ip|bssid]                         --list vap info in wpad_ac
           wlac wpad_sta [mac]                              --list sta info in wpad_ac
           wlac sta-idle-auth [time]                        --get/set non-auth sta idle time
           wlac -d all                                      --list wlan/wtp/vap/sta info(data)
           wlac -d wlan                                     --list wlan info(data)
           wlac -d wtp                                      --list wtp info(data)
           wlac -d vap                                      --list vap info(data)
           wlac -d sta                                      --list sta info(data)
           wlac -d sta-idx [wlan mac next]                  --list indexed sta info(data)
           wlac -d wlsta wlan                               --list wlan's sta info(data)
           wlac -d wtpsta wtp-index                         --list wtp's sta info(data)
           wlac -d radiosta wtp-id rId                      --list radio's sta info(data)
           wlac -c status                                   --display ac status summary
           wlac -c sta [mac]                                --list sta(ctl)
           wlac -c wtpprof [wtpprof]                        --list configured wtp profiles(ctl)
           wlac -c wtp [wtp]                                --list configured wtps(ctl)
           wlac -c wtp-idx [wtp next]                       --list indexed wtp (ctl)
           wlac -c radio-idx [wtp rId next]                 --list indexed radio (ctl)
           wlac -c vap-idx [wtp rId wlan next]              --list indexed vap (ctl)
           wlac -c wlan [wlan|ssid]                         --list configured wlans(ctl)
           wlac -c swintf                                   --list configured switch interface(ctl)
           wlac -c apsintf                                  --list configured aps interface(ctl)
           wlac -c ap-status                                --list configured ap status(ctl)
           wlac -c widsprof                                 --list configured wids profiles(ctl)
           wlac -c byod_dev [dev | mac]                     --list configured devices(ctl)
           wlac -c byod_devgrp [devgrp                      --list configured device groups(ctl)
           wlac -c byod_devacl [devacl]                     --list configured device access lists(ctl)
           wlac -c byod_devtype [devtype]                   --list configured device types(ctl)
           wlac -c byod [wlan]                              --show device access in control plane
           wlac -c byod_detected [wlan]                     --list detected devices(ctl)
           wlac -c ws [ip]                                  --list current wtp sessions(ctl)
           wlac -c ws-fail                                  --show current wtp sessions with SSID config failures
           wlac -c ws-mesh vfid-ip:port                     --list this wtp session's mesh parent and child info(ctl)
           wlac -c vap                                      --list vap info(ctl)
           wlac -c ap-rogue                                 --list rogue ap info(ctl)
           wlac -c sta-rogue                                --list rogue sta info(ctl)
           wlac -c rap-hostlist bssid                       --list hosts related to the ap(ctl)
           wlac -c arp-req                                  --list arp info on the controller(ctl)
           wlac -c mac-table                                --list mac table(ctl)
           wlac -c br-table                                 --list bridge table(ctl)
           wlac -c nol                                      --list the AP's non occupancy channel list for radar
           wlac -c scan-clr-all                             --clear the scanned rogue ap and sta data(ctl)
           wlac -c ap-onwire-clr bssid                      --clear the rogue ap's on wire flag(ctl)
           wlac -c darrp                                    --list darrp radio table(ctl)
           wlac -c darrp-schedule                           --list darrp schedule table
           wlac -c sta-cap [mac]                            --list sta capability(ctl)
           wlac -c sta-locate                               --list located wireless stations(ctl)
           wlac -c sta-locate-reset [1|2]                   --reset sta-locate data(ctl); 1: reset stats, 2 (default): flush entries
           wlac -c rf-analysis [wtp-id|ac]                  --list rf analysis results(ctl)
           wlac -c rf-sa wtp-id rId [chan]                  --list rf spectrum info
           wlac -c radio-ifr wtp-id rId                     --list radio's interfering APs
           wlac -c wids                                     --show detected sta threat in control plane

Was kann getan werden, wenn ein Forti Access Point nicht ersichtlich ist über den FortiGate Wireless Controller?

Wenn ein Forti Access Point in einem bestimmten IPv4 Adress Subnet/Segment in dem der Forti Access Point über den FortiGate Wireless Controller verwaltet wird (CAPWAP) nicht ersichtlich ist, muss folgendes berücksichtigt werden:

       • Der Switch und/oder ein Router darf folgende Protokolle und Port nicht verwerfen/blocken:
         
         Broadcast, Multicast sowie Unicast
         CAPWAP Port UDP-5246

Auf einigen Switch Modellen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste das diese Protokolle nicht über den Switch verworfen/geblockt wird. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:

       http://www.ietf.org/rfc/rfc5415.txt

Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit einer Verbindung über Port UDP-5246 ein Problem besteht (CAPWAP) kann folgendes durchgeführt werden:

       Setze den Debug Filter zurück:
       
       # diagnose debug reset
       Setze einen neuen Debug Filter:
       
       # diagnose debug application cw_acd 5
       Aktiviere Debug:
       
       # diagnose debug enable     

"5" stellt die "verbosity" dar. Diese "verbosity" zeigt alle Fehler an sowie den gesamten CAPWAP Prozess (Discovery, Keep Uplive etc.). Sobald das "debug" nicht mehr benötigt deaktiviere den "debug" Mode sowie setze den Filter zurück!

       Deaktiviere den Debug Modus:
       
       # diagnose debug disable
       Setze den Debug Filter zurück:
       
       # diagnose debug reset

Um festzustellen ob im Bereich "Unicast" ein Problem besteht, kann folgender Befehl auf der FortiGate für das Interface auf dem der Forti Access Points verbunden ist ausgeführt werden:

       # diagnose sniffer packet [Definiere das entsprechende Interface zB "dmz" oder alle Interfaces "any"] "port 5246" 6 0 a

Im Sniffer Output muss die Antwort des Forti Access Point über Unicast (Discovery Request) zum FortiGate Wireless Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Wireless Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen und somit der Forti Access Point auf de FortiGate Wireless Controller nicht ersichtlich ist. Ein anderer Ansatz ist Broadcast, Multicast und Unicast zu verhindert. Der Grund, dass ein Forti Access Point diesen Vorgang/Protokolle benutzt um den FortiGate Wireless Controller zu finden, ist das der Forti Access Point nicht die nötige Information resp. IPv4 Adresse des FortiGate Wireless Controller besitzt um diese IPv4 Adresse Anzufragen. Die einfachste Art dies zu erreichen, ist dem Forti Access Point über den DHCP Server die nötige Information der IPv4 Adresse des FortiGate Wireless Controller zu zuweisen. Wenn für die Forti Access Point ein DHCP Server der FortiGate benutzt wird kann dies über Kommandozeile folgendermassen konfiguriert werden:

      # config system dhcp server
      # edit [Gebe den Integer an des entsprechenden DHCP Servers]
      # set dns-service [local | default | specify]
      # set dns-server1 [IPv4-Adresse für DNS Server 1]
      # set dns-server2 [IPv4-Adresse für DNS Server 2]
      # set dns-server3 [IPv4-Adresse für DNS Server 3]
      # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
      # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
      # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
      # set ntp-service [local | default | specify]
      # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
      # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
      # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
      # end

Wenn ein seperater DHCP Server benutzt wird, kann anhand der Option 138 der seperate DHCP Server so konfiguriert werden, dass dieser über diese Option dem Forti Access Point die IPv4 Adresse des FortiGate Wireless Controller zuweist. Diese Option 138 die für die IPv4 Adresse des FortiGate Wireless Controllers steht, ist auf dem Forti Access Point per Standard anhand der Konfiguration "AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138" gesetzt und kann bei Bedarf verändert werden:

       # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE:=138
       # cfg -c

Wie kann ich für eine FortiGate den FortiGate Wireless Controller komplett deaktivieren?

Wenn man zB. aus Security Gründen den FortiGate Wireless Controller der auf einer FortiGate per Standard aktiviert ist komplett deaktivieren möchte, kann dies über CLI durchgeführt werden:

       # config system global
       # set wireless-controller [enable | disable]
       # end

Dieses Kommando deaktiviert den FortiGate Controller komplett und somit können keine Forti Access Point mehr angebunden, verwaltet oder konfiguriert werden. Möchte man den "wireless-controller" nicht deaktivieren aber verhindern, dass sich Forti Access Points auf dem lokalen FortiGate Wireless Controller registrieren kann dies mit verschiedenen Konfigurationen erreicht werden. Weitere Auskunft über diese verschiedenen Konfigurationen siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_die_automatische_Registration_eines_Forti_Access_Point_auf_einem_FortiGate_Wireless_Controller_verhindern.3F

Wie kann ich auf einer FortiGate den FortiGate Wireless Controller/Service neu starten?

Wenn man den FortiGate Wireless Controller aus irgendwelchen Gründen neu starten möchte, kann dies mit verschiedenen Kommandos durchgeführt werden. Dabei ist jedoch zu beachten das ein komplett Unterbrucht für das Forti Access Point Wireless Netzwerk durchgeführt wird resp. für die Wireless Clients/Hosts. Nachfolgendes Kommando zeigt wie anhand des "execute" Kommandos der FortiGate Wireless Controller neu gestartet wird:

       # execute wireless-controller restart-acd

Zu diesem Kommando steht ebenfalls die Option "reset-wtp" zur Verfügung. Durch diese Option werden alle oder spezifizierte Forti Access Points anhand der Serien Nummer angewiesen deren WTP Profiles neu zu laden. Dadurch wird ein Neustart des entsprechenden Forti Access Point durchgeführt oder durch "all" für alle Forti Access Points:

       # execute wireless-controller reset-wtp [Definiere die entsprechende Serien Nummer eine Forti Access Points oder "all"]

Wenn dieser Vorgang nicht den gewünschten Effekt erziehlt kann auch folgendes durchgeführt werden jedoch sollte dieser Vorgang als letzte Option benutzt werden. Um die PID (Prozess ID Deamon) herauszufinden für den FortiGate Wireless Controller resp. Service "cw_acd" benützen folgenden Befehl auf der Console:

       # fnsysctl more /var/run/cw_acd.pid
       110

Sobald die PID eruiert ist, kann diese anhand des Kill Level 9 neu gestartet werden:

       # diagnose sys kill [Kill Level/Sequenz 1 - 32] [PID des Prozesses cw_acd]

Durch diesen Vorgang ensteht ebenfalls ein Unterbruch auf dem FortiGate Wireless Controller, denn der Kill Level 9 zwingt den Service die Konfiguration für den FortiGate Wireless Controller neu einzulesen und für den Service ein "restart" durchzuführen. Dies kann nachträglich kontrolliert werden, denn wenn abermals die PID Nummer des Service "cw_acd" ausgelesen wird und durch den "restart" wird dem Service einen neue PID Nummer zugewiesen:

       # fnsysctl more /var/run/cw_acd.pid
       11985

Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welcher SSID und MAC Adresse verbunden sind?

Um herauszufinden welche Wireless Clients/Hosts mit welcher SSID über den FortiGate Wireless Controller verbunden sind benutze folgenden Befehl über die CLI der FortiGate:

       # diagnose wireless-controller wlac -d sta 
       
       vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=198.18.2.2 mac=94:65:9c:74:47:c6 vci=MSFT 5.0 host=DESKTOP-HSEH6HM 
       user= group= signal=0 noise=0 idle=0 bw=1 use=4 chan=3 radio_type=11N security=wpa2_only_personal encrypt=aes cp_authed=no online=yes mimo=2
       
       *  vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N 
       security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes 
       
       *  vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
       security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes 
       
       *? vf=0 wtp=15 rId=1 wlan=fortinet4guest vlan_id=0 ip=0.0.0.0 mac=08:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N 
       security=captive encrypt=none cp_authed=no online=yes 

In unserem Beispiel sehen wir, dass ein Client mit der IP 198.18.2.2 verbunden ist mit der MAC Adresse 94:65:9c:74:47:c6. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "fortinet4intern" sowie "fortinet4guest" mit deren MAC Adresse "1a:5b:0e:5d:f7:15" und "08:5b:0e:5d:f7:0d". Ebenso sieht man die Authentication des Client 198.18.2.2 dh. "wpa2_only_personal" (aes) und den Host Namen "DESKTOP-HSEH6HM".

Wie finde ich über den FortiGate Wireless Controller heraus welche Clients mit welchem IEEE 802.11 Standard verbunden sind?

Ueber nachfolgenden Befehl kann man verifizieren über welchen IEEE 802.11 Standard ein Client mit einem Forti Access Point verbunden ist:

       # diagnose wireless-controller wlac -d sta 
       
       *  vf=0 wtp=15 rId=1 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:0d vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=3 radio_type=11N 
       security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes 
       
       *  vf=0 wtp=15 rId=2 wlan=fortinet4intern vlan_id=0 ip=0.0.0.0 mac=1a:5b:0e:5d:f7:15 vci= host= user= group= signal=0 noise=0 idle=0 bw=0 use=4 chan=60 radio_type=11AC
       security=wpa_wpa2_personal encrypt=aes cp_authed=no online=yes

Wie finde ich über den FortiGate Wireless Controller heraus mit welcher IPv4 Adresse ein Forti Access Point verbunden ist?

Um herauszufinden mit welcher IPv4 Adresse ein Forti Access Point mit dem FortiGate Wireless Controller verbunden ist kann das Mgmt. Web Interface benutzt werden:

       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > Connected Via

Steht der Mgmt. Web Interface Zugriff nicht zu Verfügung kann die IPv4 Adresse mit der ein Forti Access Point auf dem FortiGate Wireless Controller verbunden ist auch über die CLI der FortiGate verifiziert werden:

       Liste alle IP's auf die momentan durch die Forti Access Point benutzt werden:
       
       # diagnose wireless wlac -d wtp
       vf=0 wtp=1 base=08:5b:0e:5d:f7:0d 198.18.3.3:45521<->198.18.3.1:5247 use=7
       vf=0 wtp=2 base=08:5b:0e:0c:f4:1a 193.193.135.70:49026<->193.193.135.66:5247 use=4
       vf=0 wtp=4 base=08:5b:0e:a3:97:a8 198.18.3.2:53715<->198.18.3.1:5247 use=6
       vf=0 wtp=5 base=08:5b:0e:97:23:0e 193.193.135.71:46015<->193.193.135.66:5247 use=4 
       Liste alle Forti Access Point auf um die Serien Nummern zu verifizieren:
       
       # config wireless-controller wtp
       # get
       == [ FAP14C3X13000543 ]
       wtp-id: FAP14C3X13000543    
       == [ FP221C3X14001296 ]
       wtp-id: FP221C3X14001296    
       == [ FAP21D3U14000144 ]
       wtp-id: FAP21D3U14000144    
       == [ FAP24D3X14000101 ]
       wtp-id: FAP24D3X14000101 
       # end
       Liste einen bestimmten Forti Access Point anhand dessen Serien Nummer sowie mit dessen Informationen Informationen/IP:
       
       # diagnose wireless wlac -c wtp [Entsprechende Serien Nummer des Forti Access Point zB "FAP21D3U14000144"; Keine Serien Nummer Angabe listet alle Forti Access Points auf]
       -------------------------------WTP    1----------------------------
       WTP vd               : root
           vfid             : 0
           id               : FAP21D3U14000144
           mgmt_vlanid      : 0
           region code      : E 
           regcode status   : valid
           refcnt           : 3 own(1) wtpprof(1) ws(1) 
           plain_ctl        : disabled
           deleted          : no
           admin            : enable
           cfg-wtp-profile  : FAP-04
           override-profile : disabled
           oper-wtp-profile : FAP-04
           wtp-mode         : remote
           name             : Remote Access Point FAP-21D
           location         : Remote FAP-04 local-sg0e0
           led-state        : enabled
           ip-frag-prevent  : TCP_MSS 
           tun-mtu          : 1492,1492
           split-tunneling-local-ap-subnet  : disabled
           active sw ver    : FAP21D-v5.2-build0234
           local IPv4 addr  : 193.193.135.71
           board mac        : 08:5b:0e:97:23:0c
           join_time        : Thu Apr 23 08:03:43 2015
           mesh-uplink      : ethernet
           mesh hop count   : 0
           parent wtp id    : 
           connection state : Connected
           image download progress: 0
           last failure     : 15 -- ECHO REQ is missing
           last failure param: N/A
           last failure time: Thu Apr 23 08:03:02 2015
           station info     : 0/0
           geo              : World (0)
           LAN              :
                    rId     : 1
                    cnt     : 1
                    port 1  : mode BR-TO-SSID(3)  ssid fortinet4intern          
         Radio 1            : Disabled
         Radio 2            : Virtual Lan AP
           max vaps         : 0
           base bssid       : 00:00:00:00:00:00
           station info     : 0/0
         Radio 3            : Not Exist
       -------------------------------Total    1 WTPs---------------------------- 

Um nachträglich anhand dieser IPv4 Adresse über den Forti Gate Wireless Controller eine "telnet" Verbindung zum Forti Access Point durchzuführen siehe nachfolgender Artikel::

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme mit einem Wireless Client/Host Troubleshooten?

Um Verbindungsprobleme mit einem Wireless Client/Host zu Troubleshooten kann der "diagnose" Befehl Lokal auf dem FortiGate Wireless Controller benützt werden oder auf dem Forti Access Point anhand des Befehls "cw_debug". Um dieses Troubleshooting durchzuführen, muss im ersten Schritt für den Wireless Client/Host eruiert werden, mit welcher MAC Adresse der Wireless Client/Host verbindet um diese im "diagnose" Befehl zu benutzen und um so den Traffic auf diese MAC Adresse des Wireless Clients/Host einzuschränken. Wie diese MAC Adresse über den FortiGate Wireless Controller eruiert werden kann siehe nachfolgenden Artikel:

       FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_welche_Clients_mit_welcher_SSID_und_MAC_Adresse_verbunden_sind.3F

Sobald die MAC Adresse des Wireless Client/Host eruiert wurde, kann nachfolgender "diagnose" Befehl benutzt werden um den Traffic des Client/Host anhand dieser MAC Adresse einzusehen:

       # diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 1
       STA Filter Index 0/1   sta 9c:b7:0d:de:8f:74  log-enabled 1
       

Nach der MAC Adresse wird mit "1" die Funktion des "sta_filter" anhand der MAC Adresse aktiviert. Anhand "0" wird die Funktion wiederum deaktiviert. Für "wlac" stehen weitere Befehle zur Verfügung. Weitere Informationen siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_auf_einem_FortiGate_Wireless_Controller_ein_Troubleshooting_durchf.C3.BChren_.28diagnose.29.3F

Nachträglich, nach dem Troubleshooting muss die Funktion "sta_filter" wieder deaktiviert werden anhand folgenden Befehls:

       # diagnose wireless wlac sta_filter 9C:B7:0D:DE:8F:74 0
       STA Filter is empty

Wird dies nicht durchgeführt so bleibt die Funktion "sta_filter" anhand "1" aktiv was aus performance Gründen nicht empfohlen wird. Nachfolgendes Beispiel zeigt eine korrekte Verbindung eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 dh. Der Client/Host sollte keine Verbindung erstellen vor der Aktivierung der "sta_filter" Funktion um nachträglich nur den Verbindungsaufbau einzusehen:

       44386.013 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_req <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
       44386.014 94:65:9c:74:47:c6 <ih> IEEE 802.11 mgmt::assoc_resp ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1 1a:5b:0e:5d:f7:15
       44386.014 94:65:9c:74:47:c6 <dc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 NON-AUTH   band 0x10 mimo 2*2
       44386.015 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(60) sta 94:65:9c:74:47:c6 add ==> ws (0-198.18.3.3:5246) rId 1 wId 1 
       44386.015 94:65:9c:74:47:c6 <cc> STA add 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 0
       44386.028 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(60) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success) 
       85792.029 94:65:9c:74:47:c6 <eh>     send 1/4 msg of 4-Way Handshake
       85792.029 94:65:9c:74:47:c6 <eh>     send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=95 replay cnt 1
       85792.030 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
       85792.032 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 139B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
       85792.032 94:65:9c:74:47:c6 <eh>     recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=135 
       85792.032 94:65:9c:74:47:c6 <eh>     recv EAPOL-Key 2/4 Pairwise replay cnt 1
       85792.033 94:65:9c:74:47:c6 <eh>     send 3/4 msg of 4-Way Handshake
       85792.033 94:65:9c:74:47:c6 <eh>     send IEEE 802.1X ver=2 type=3 (EAPOL_KEY) data len=175 replay cnt 2
       85792.033 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 179B) ==> 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
       85792.036 94:65:9c:74:47:c6 <eh> IEEE 802.1X (EAPOL 99B) <== 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15
       85792.036 94:65:9c:74:47:c6 <eh>     recv IEEE 802.1X ver=1 type=3 (EAPOL_KEY) data len=95 
       85792.036 94:65:9c:74:47:c6 <eh>     recv EAPOL-Key 4/4 Pairwise replay cnt 2
       44386.037 94:65:9c:74:47:c6 <dc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 bssid 1a:5b:0e:5d:f7:15 AUTH
       44386.038 94:65:9c:74:47:c6 <cc> STA chg 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL auth 1 ******
       44386.038 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(62) sta 94:65:9c:74:47:c6 add key (len=16) ==> ws (0-198.18.3.3:5246) rId 1 wId 1 
       44386.046 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(62) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success) 
       85792.047 94:65:9c:74:47:c6 <eh>     ***pairwise key handshake completed*** (RSN)
       44386.086 94:65:9c:74:47:c6 <dc> DHCP Request server 0.0.0.0 <== host DESKTOP-HSEH6HM mac 94:65:9c:74:47:c6 ip 198.18.2.2 xId bd0e86c
       44386.094 94:65:9c:74:47:c6 <dc> DHCP Ack server 198.18.2.1 ==> host  mac 94:65:9c:74:47:c6 ip 198.18.2.2 mask 255.255.255.128 gw 198.18.2.1 xId bd0e86c

Nachfolgendes Beispiel zeigt einen korrekten Disconnect eines Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:

       44447.890 94:65:9c:74:47:c6 <dc> STA del 94:65:9c:74:47:c6 ws (0-198.18.3.3:5246) vap fortinet4intern rId 1 wId 1
       44447.891 94:65:9c:74:47:c6 <cc> STA_CFG_REQ(64) sta 94:65:9c:74:47:c6 del ==> ws (0-198.18.3.3:5246) rId 1 wId 1 
       44447.891 94:65:9c:74:47:c6 <cc> STA del 94:65:9c:74:47:c6 vap fortinet4intern ws (0-198.18.3.3:5246) rId 1 wId 1 1a:5b:0e:5d:f7:15 sec WPA2 AUTO PERSONAL action del_by_wtp reason 201
       85852.892 94:65:9c:74:47:c6 <eh>     ***WPA_PTK 94:65:9c:74:47:c6 DISCONNECTED***
       44447.894 94:65:9c:74:47:c6 <cc> STA_CFG_RESP(64) 94:65:9c:74:47:c6 <== ws (0-198.18.3.3:5246) rc 0 (Success)

Nun der oben gezeigte "output" stammt vom Fortigate Wireless Controller! Möchte man die gleiche Vorgehensweise für den Wireless Client/Host auf dem Forti Access Point durchführen muss in erster Linie auf dem Forti Access Point auf dem der Wireless Client/Host verbunden ist "telnet" für den Zugriff aktiviert werden. Wie dies durchgeführt wird siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Der Nachteil auf einem Forti Access Point liegt darin, dass der Traffic nicht anhand einer MAC Adresse eingeschränkt werden kann dh. durch "0x7fff" wird ein Debug Level 32767 gesetzt. Gleichzeitig muessen die "telnet" Nachrichten in der Console für "cw_debu" aktiviert werden. Es ist absolut nicht empfohlen diesen "cw_debug" über einen Consolen Port auf dem Forti Access Point durchzuführen oder über den Consolen Port der FortiGate selber. Der Grund ist der Folgende: Durch diesen "cw_debug" werden soviel "output" Produziert, dass der "buffer" des Consolen Port in kurzer Zeit vollgeschriebe wird. Dies verunmöglicht einen korrekten "cw_debug". Aus diesem Grund sollte die Verbindung SSH basierend sein dh. es sollte per SSH auf die FortiGate verbunden werden und nachträglich per "telnet" auf den entsprechenden Forti Access Point:

       # execute [telnet | ssh] [IPv4 Adresse des entsprechenden Forti Access Point zB "198.18.3.3"]
       Trying 198.18.3.3...
       Connected to 198.18.3.3.
       Local Access Point FAP-221C login: admin
       
       BusyBox v1.15.0 (2016-01-07 14:13:50 PST) built-in shell (ash)
       Enter 'help' for a list of built-in commands.

Eingeloggt auf dem Forti Access Point können die entsprechenden Optionen für "cw_debug" eingesehen werden:

       # cw_debug app
       Usage:
       
               cw_debug <on|off>                     --turn on/off telnet log message
               cw_debug app <app_name> [debug_var]   --get/set application debug var
                       cwWtpd              capwap WTP daemon
                       dhcp                capwap DHCP discover
                       wifi                capwap wifi configuration commands
                       cwWtpd_mem          capwap WTP daemon mem
                       fsd                 fsd daemon
                       hostapd             hostapd daemon
                       wpa_supp            wpa supplicant daemon
                       ddnscd              ddnscd daemon
                       admin_timeout       telnet/GUI session idle timeout in seconds
                       fapportal           fapportal daemon
                       fcldc               forticloud client daemon
                       service             capwap WTP service daemon
                       all                 all above daemons

Um für "cw_debug" den "telnet" Output zu aktivieren führe folgendes durch:

       # cw_debug on

Danach setze den "debug" Level für "cw_debug app cwWtpd" anhand folgenden Befehls:

       # cw_debug app cwWtpd 0x7fff

Auch hier ist es absolut Notwendig, nach einem erfolgreichen Troubleshooting den Debug wiederum zu aktivieren. Wird dies nicht durchgeführt, bleibt der Debug Modus im Hintergrund aktiv und beeinflusst die Performance des Forti Access Point:

       # cw_debug app cwWtpd 0x0

Nachfolgendes Beispiel zeigt den "output" einer korrekte Verbindung des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74 wobei darauf hinzuweisen ist das dieser "output" nicht einfach ist zu lokalisieren. Aus diesem Grund wird empfohlen den "output" der SSH resp. "telnet" Session für einen spätere Analyse in ein Log File zu schreiben:

       49009.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248929 dbg 00007fff Pkts 0 0
       49010.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248930 dbg 00007fff Pkts 0 0
       49011.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248931 dbg 00007fff Pkts 0 0
       49012.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248932 dbg 00007fff Pkts 0 0
       49012.742 Wireless event: cmd=0x8c03 len=20
       49012.752 ==========================cwWtpProcRawMsg           7   1=========================
       49012.752 cwWtpProcRawMsg recvfrom total bytes 1750766
       49012.752 cwWtpProcRawMsg: it's a control message
       49012.752 cwWtpProcCipherCtrlMsg: looking at 125-byte encapsulated control message
       49012.752 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 125 (errno: 11)
       49012.752 ==========================cwWtpProcRawMsg           7   2=========================
       49012.752 cwWtpDtlsThread: SSL_read() returned 66 ssl_err 0
       49012.753 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49012.753 CAPWAP Control Header Dump:
       49012.753     msgType             : 25 STA_CFG_REQ
       49012.753     seqNum              : 165
       49012.753     msgElemLen          : 53
       49012.753     flags               : 0
       49012.753 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
       49012.753 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
       49012.753 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
       49012.753 ==========================cwWtpFsmThread            4   1=========================
       49012.753 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
       49012.754 CWWS_RUN_enter: Add 1 STAs.
       49012.754 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
       49012.754 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
       49012.754 CWWS_RUN_enter: sending STA CFG RESP msg.
       49012.755 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49012.755 CAPWAP Control Header Dump:
       49012.755     msgType             : 26 STA_CFG_RESP
       49012.755     seqNum              : 165
       49012.755     msgElemLen          : 11
       49012.755     flags               : 0
       49012.755 wtpDtlsWrite: SSL_write() was successful
       49012.756 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
       49012.756 ==========================cwWtpFsmThread            4   2=========================
       49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
       49012.756 cwWtpSendRawMsg: called with 81 bytes - dumping...
       49012.756 cwWtpSendRawMsg: send out encrypted msg.
       49012.756 cwWtpSendRawMsg: sendto of 81 of 81 bytes for 192.168.3.1/5246
       49012.756 cwWtpSendRawMsg: sendto total bytes 2407860
       49012.756 cwWtpProcOutCipherCtlMsg: successfully sent data...
       49012.756 cwWtpProcOutCipherCtlMsg: calling recv()
       49012.962 ==========================cwWtpProcRawMsg           7   1=========================
       49012.964 cwWtpProcRawMsg recvfrom total bytes 1750959
       49012.964 cwWtpProcRawMsg: it's a control message
       49012.964 cwWtpProcCipherCtrlMsg: looking at 189-byte encapsulated control message
       49012.964 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 189 (errno: 11)
       49012.964 ==========================cwWtpProcRawMsg           7   2=========================
       49012.964 cwWtpDtlsThread: SSL_read() returned 135 ssl_err 0
       49012.964 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49012.964 CAPWAP Control Header Dump:
       49012.964     msgType             : 25 STA_CFG_REQ
       49012.965     seqNum              : 166
       49012.965     msgElemLen          : 122
       49012.965     flags               : 0
       49012.965 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
       49012.965 cw_me_decode: me type 11_sta_session_key (1038) len 36 claims 29 more octets
       49012.965 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x10124dc8 msgPtr (nil) len 0
       49012.965 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
       49012.965 ==========================cwWtpFsmThread            4   1=========================
       49012.965 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
       49012.965 CWWS_RUN_enter: Add 1 STAs.
       49012.965 CWWS_RUN_enter: STA ADD 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name only4also
       49012.966 cwWtpStaRbtDel: DEL duo to ADD remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
       49012.966 cwWtpStaRbtAdd: STA_CFG_REQ insert sta 9c:b7:0d:de:8f:74 0/0/1
       49012.966 CWWS_RUN_enter: sending STA CFG RESP msg.
       49012.966 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49012.966 CAPWAP Control Header Dump:
       49012.966     msgType             : 49013.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248933 dbg 00007fff Pkts 0 0
       49014.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248934 dbg 00007fff Pkts 0 0
       49015.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248935 dbg 00007fff Pkts 0 0
       49016.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248936 dbg 00007fff Pkts 0 0
       49017.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248937 dbg 00007fff Pkts 0 0
       49018.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 248938 dbg 00007fff Pkts 0 0

Nachfolgendes Beispiel zeigt den Output eines "korrekten" Disconnect des Client mit der MAC Adresse 9C:B7:0D:DE:8F:74:

       49113.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249033 dbg 00007fff Pkts 0 0
       49114.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249034 dbg 00007fff Pkts 0 0
       49114.417 Wireless event: cmd=0x8c04 len=20
       49114.417 Wireless event: cmd=0x8c02 len=31
       49114.417 Custom wireless event: 'del sta: wlan00 '
       49114.417 cwWtp_wireless_event_wireless_custom Radio 0 wId 0 Del STA: 9c:b7:0d:de:8f:74
       49114.417 cwWtpSend_REQ_MSG: sending WTP_EVENT_REQ (9) msg.
       49114.417 cwWtpSendRawMsgQueue: SENDING OUT type 9 seqNum 156
       49114.417 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49114.417 CAPWAP Control Header Dump:
       49114.417     msgType             : 9 WTP_EVENT_REQ
       49114.417     seqNum              : 156
       49114.417     msgElemLen          : 34
       49114.417     flags               : 0
       49114.418 wtpDtlsWrite: SSL_write() was successful
       49114.418 cwWtpSendRawMsgQueue: wtpDtlsWrite() succeeded.
       49114.418 cwWtpPendingMsgAdd: add type 9 seqNum 156 into pending msg queue at head 18 Cnt 1
       49114.418 cwWtpProcOutCipherCtlMsg: calling recv()
       49114.418 cwWtpSendRawMsg: called with 113 bytes - dumping...
       49114.418 cwWtpSendRawMsg: send out encrypted msg.
       49114.418 cwWtpSendRawMsg: sendto of 113 of 113 bytes for 192.168.3.1/5246
       49114.418 cwWtpSendRawMsg: sendto total bytes 2408459
       49114.419 cwWtpProcOutCipherCtlMsg: successfully sent data...
       49114.419 cwWtpProcOutCipherCtlMsg: calling recv()
       49114.430 ==========================cwWtpProcRawMsg           7   1=========================
       49114.430 cwWtpProcRawMsg recvfrom total bytes 1751749
       49114.430 cwWtpProcRawMsg: it's a control message
       49114.430 cwWtpProcCipherCtrlMsg: looking at 109-byte encapsulated control message
       49114.430 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 109 (errno: 11)
       49114.430 ==========================cwWtpProcRawMsg           7   2=========================
       49114.430 cwWtpDtlsThread: SSL_read() returned 47 ssl_err 0
       49114.431 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49114.431 CAPWAP Control Header Dump:
       49114.431     msgType             : 25 STA_CFG_REQ
       49114.431     seqNum              : 168
       49114.431     msgElemLen          : 34
       49114.431     flags               : 0
       49114.431 cwWtpProcPlainCtlMsg: received STA_CFG_REQ from 192.168.3.1/5246
       49114.431 WTP_EV_GEN - CWWE_STA_CFG_REQ meInfo 0x100ef468 msgPtr (nil) len 0
       49114.431 cwWtpDtlsThread: SSL_read() returned 0 ssl_err 5
       49114.432 ==========================cwWtpProcRawMsg           7   1=========================
       49114.432 cwWtpProcRawMsg recvfrom total bytes 1751830
       49114.432 cwWtpProcRawMsg: it's a control message
       49114.432 cwWtpProcCipherCtrlMsg: looking at 77-byte encapsulated control message
       49114.432 cwWtpProcCipherCtrlMsg: wrote to socket 16, rc: 77 (errno: 11)
       49114.432 ==========================cwWtpProcRawMsg           7   2=========================
       49114.432 ==========================cwWtpFsmThread            4   1=========================
       49114.432 FSM: old CWWS_RUN(13) ev CWWE_STA_CFG_REQ(47) new CWWS_RUN(13)
       49114.432 CWWS_RUN_enter: Del 1 STAs.
       49114.432 CWWS_RUN_enter: STA DEL 0 - Radio ID 0 MAC 9c:b7:0d:de:8f:74 Vlan Name  wId 0
       49114.432 CWWS_RUN_enter STA_DISASSOC wId 0 Intf wlan00 9c:b7:0d:de:8f:74
       49114.433 do80211priv ap wlan00 op 35814 Invalid argument
       49114.433 cwWtpStaRbtDel: STA_CFG_REQ remove sta 9c:b7:0d:de:8f:74 0/0/1 from staRbt
       49114.433 CWWS_RUN_enter: sending STA CFG RESP msg.
       49114.433 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49114.433 CAPWAP Control Header Dump:
       49114.433     msgType             : 26 STA_CFG_RESP
       49114.433     seqNum              : 168
       49114.433     msgElemLen          : 11
       49114.433     flags               : 0
       49114.433 wtpDtlsWrite: SSL_write() was successful
       49114.434 CWWS_RUN_enter: wtpDtlsWrite() succeeded.
       49114.434 ==========================cwWtpFsmThread            4   2=========================
       49114.434 cwWtpDtlsThread: SSL_read() returned 24 ssl_err 0
       49114.434 CAPWAP Hdr: P/T=0/0 len=2 RID=0 WBID=1 T=0 F=0 L=0 W=0 M=0 K=0 resv=0 frag=0/0 resv=0
       49114.434 CAPWAP Control Header Dump:
       49114.434     msgType    49115.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249116.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249036 dbg 00007fff Pkts 0 0
       49117.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249037 dbg 00007fff Pkts 0 0
       49118.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249038 dbg 00007fff Pkts 0 0
       49119.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249039 dbg 00007fff Pkts 0 0
       49120.522 FSM WTP -> AC (192.168.3.1/5246) State: CWWS_RUN (13) connect 4 live 249040 dbg 00007fff Pkts 0 0

Folgender Fortinet Knowledge Base Artikel gibt weitere Auskunft über dieses Troubleshooting:

               http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33214&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=35950338&stateId=0%200%2035948485

Wie kann ich auf dem FortiGate Wireless Controller Verbindungsprobleme betreffend CAPWAP Troubleshooten?

Auf einem FortiGate Wireless Controller kann die Komunikation der einzelnen Fortinet Access Point betreffend CAPWAP folgendes Kommando eingesehen werden:

       # diagnose wireless-controller wlac -c wtp 

Bei diesem Output gibt speziell die Position "last failure" Auskunft über Probleme. Wenn zB nachfolgende Meldungen auftauchen ist dies ein Indikator das die Komunikation zwischen Fortinet Access Point und FortiGate Wireless Controller Verbindungstechnisch nicht einwandfrei funktioniert:

       last failure : 4 -- Control message maximal retransmission limit reached 
       last failure : 14 -- ECHO REQ is missing

Diese Verbindungsprobleme können auftreten aus Netzwerktechnischen Gründen oder wenn zuviel Broadcast/Multicast Traffic über die Fortinet Access Point benutzt wird. Ist dies der Fall kann über die nachfolgenden Optionen die Timers erhöht werden:

       # config wireless-controller global 
       # set max-retransmit [0 - 64; Standard 3]
       # end 
       # config wireless-controller timers 
       # set echo-interval [1 - 255; Standard 30]
       # end 

Durch die Erhöhung der Werte dh. "max-retransmit 15" sowie "echo-interval 100" werden die "retransmit" sowie der "interval" erhöht.

Wie kann ich auf dem FortiGate Wireless Controller die momentanen Konfiguration eines Forti Access Point auslesen?

Um die momentane Konfiguration für 2.4 GHz sowie 5.0 GHz Forti Access Point über den Fortinet Wireless Controller für einen spezifischen Forti Access Point auszulesen kann folgender Befehl benützt werden:

       # config wireless-controller wtp
       # get
       == [ FP221C3X14001296 ]
       wtp-id: FP221C3X14001296   
       # end
       Fuer 2.4 GHz Radio eines Forti Access Point
       
       # diagnose wireless-controller wlac -c radio-idx FP221C3X14001296
       -------------------------------RADIO_IDX    1----------------------------
         Radio 1            : AP
           wtp id           : FP221C3X14001296
           country name     : CH
           country code     : 756
           radio_type       : 11N
           channel list     : 1 6 11 
           darrp            : enabled
           txpower          : 100% (calc 18 oper 18 max 18 dBm)
           beacon_intv      : 100
           rts_threshold    : 2346
           frag_threshold   : 2346
           ap scan          : background scan (regular)
           ap scan passive  : disabled
             bgscan oper    : enabled   (Disabled start 00:00 end 00:00 on ) 
             bgscan period  : 600
             bgscan intv    : 1
             bgscan dur     : 20
             bgscan idle    : 0
             bgscan rptintv : 30
           sta scan         : enabled
           WIDS profile     : local-default.local
             wlan  0        : fortinet4guest
             wlan  1        : fortinet4intern
           max vaps         : 8
           base bssid       : 08:5b:0e:5d:f7:0d
           oper chan        : 11
           station info     : 0/0
       -------------------------------Total    1 RADIO_IDXs----------------------------
       Fuer 5.0 GHz Radio eines Forti Access Point
       
       # diagnose wireless-controller wlac -c radio-idx FP221C3X14001296 0
       -------------------------------RADIO_IDX    1----------------------------
         Radio 2            : AP
           wtp id           : FP221C3X14001296
           country name     : CH
           country code     : 756
           radio_type       : 11AC
           channel list     : 36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 ...
           darrp            : enabled
           txpower          : 100% (calc 14 oper 14 max 14 dBm)
           beacon_intv      : 100
           rts_threshold    : 2346
           frag_threshold   : 2346
           ap scan          : background scan (regular)
           ap scan passive  : disabled
             bgscan oper    : enabled   (Disabled start 00:00 end 00:00 on ) 
             bgscan period  : 600
             bgscan intv    : 1
             bgscan dur     : 20
             bgscan idle    : 250
             bgscan rptintv : 30
           sta scan         : disabled
           WIDS profile     : ---
             wlan  0        : fortinet4guest
             wlan  1        : fortinet4intern
           max vaps         : 8
           base bssid       : 08:5b:0e:5d:f7:15
           oper chan        : 48
           station info     : 0/0
       -------------------------------Total    1 RADIO_IDXs----------------------------

Grundsetup

Wie nehme ich ein Fortinet Access Point unter FortiOS 5.0/5.2 in Betrieb und konfiguriere ich diesen?

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:

                   WAN
                    | 193.193.135.66               ___________ 
        ____________|____________                 |           | SSID only4also 192.168.4.0/24
       |                         | 192.168.3.1    | FAP 220B  |
       |        Fortigate        |----- DMZ ------|           |
       |_________________________|                |___________| SSID also4guest 192.168.5.0/24
                    |
                    | 192.168.1.99
                   LAN

Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem FortiAccess Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Es wird unter normalen Umständen empfohlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IP Range 192.168.3.0/24:

       Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server
       
       System > Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
       
       Fortinet-1232.jpg
       
       Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimm aus diesem Segment resp. über dieses 
       Interface des FortiGate Devices, muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Dadurch wird 
       im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt. 
       Desweiteren, damit die FortiAccess Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IP über dieses 
       Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen
       über Kommandozeile weitere Optionen im Zusammenhang mit dem FortiAccess Point zur Verfügung wie AC (Wireless Controller)
       IP Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen! führe auf der 
       CLI folgendes aus:
       
       # config system dhcp server
       # edit [Gebe den Integer an des entsprechenden DHCP Servers]
       # set dns-service [local | default | specify]
       # set dns-server1 [IPv4-Adresse für DNS Server 1]
       # set dns-server2 [IPv4-Adresse für DNS Server 2]
       # set dns-server3 [IPv4-Adresse für DNS Server 3]
       # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
       # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
       # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
       # set ntp-service [local | default | specify]
       # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
       # end
       Verbinden des Forti Access Points über CAPWAP und Authorisierung des FortiAccess Points
       
       Nun muss der FortiAccess Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in 
       unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender 
       Position und kann Authorisiert werden:
       
       WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
       
       Fortinet-1233.jpg  
       
       Fortinet-1234.jpg
       
       Fortinet-1235.jpg
       
       Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
       zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
       Servers:
       
       Fortinet-1236.jpg
       Forti Access Point Firmware Upgrade durchführen
       
       Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
       Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
       Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
       in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
       dabei zu berücksichtigen:
       
       FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F
       
       Ein Firmware Upgrade wird folgendermassen durchgeführt:
       
       WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
       
       Fortinet-1237.jpg
       
       Fortinet-1238.jpg
       
       Fortinet-1239.jpg
       
       Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf 
       dem FortiAccess Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die 
       Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:
       
       # config wireless-controller wtp
       # get
       
       Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:
       
       # edit [Serien Nummer des entsprechendne FortiAccess Point zB "FAP22B3U11011877"]
       # set login-enable enable
       # end
       
       Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
       IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
       Forti Access Point benutzt wird siehe nachfolgenden Artikel:
       
       FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F:
       
       # execute [telnet | ssh] [IPv4 Adresse des FortiAccess Point; Ersichtlich über "Manage FortiAP's"]
       FAP22B3U11011877 login: admin
       
       BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
       Enter 'help' for a list of built-in commands.
       
       Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:
       
       # cfg -x
       # reboot
       Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"
       
       User & Device > User > User Definition > Create New
       
       User/Gruppe only4also
       
       Fortinet-1240.jpg
       
       Fortinet-1241.jpg
       
       Fortinet-1242.jpg
       
       Fortinet-1243.jpg
       
       Fortinet-1244.jpg
       
       User & Device > User > User Groups > Create New
       
       Fortinet-1245.jpg
       
       Fortinet-1246.jpg
       
       User/Gruppe also4guest
       
       Fortinet-1245.jpg
       
       Fortinet-1247.jpg
       
       Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
       der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:
       
       Fortinet-1248.jpg 
       
       Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
       der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:
       
       Fortinet-1249.jpg 
       
       Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
       und die entsprechenden User/Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:
       
       FortiAP:FAQ#Guest_Access
       Konfiguriere der SSID "only4also" sowie "also4guest"
       
       In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also" 
       SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
       Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's 
       eine entpsrechende IPv4 Adresse zu zuweisen:
       
       WiFi Controller > WiFi Network > Create New
       
       Fortinet-1250.jpg
       
       Fortinet-1251.jpg
       
       Fortinet-1252.jpg
       Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:
       
       FortiAP:FAQ#Konfiguration
       Konfiguriere des WTP Profile's für den Forti Access Point
       
       Fortinet-1253.jpg
       
       Fortinet-1254.jpg
       Fortinet-1255.jpg
       
       Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:
       
       FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
       Konfiguriertes WTP Profile dem Forti Access Point hinzufügen
       
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
       
       Fortinet-1256.jpg
       
       Fortinet-1257.jpg
       Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"
       
       Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:
       
       Firewall Objects > Address > Address > Create New
       
       Fortinet-1258.jpg
       
       Fortinet-1259.jpg
       
       Fortinet-1258.jpg
       
       Fortinet-1260.jpg
       Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"
       
       Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
       
       Policy > Policy > Policy > Create New
       
       "only4also Firewall Policy Rule"
       
       Fortinet-1261.jpg
       
       Fortinet-1262.jpg
       
       Fortinet-1261.jpg
       
       Fortinet-1263.jpg
       
       "also4guest Firewall Policy Rule"
       
       Fortinet-1261.jpg
       
       Fortinet-1264.jpg

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

Wie nehme ich ein Fortinet Access Point unter FortiOS 5.4 in Betrieb und konfiguriere ich diesen?

Das nachfolgende Beispiel zeigt wie man einen Forti Access Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Für "Guest Use" wird die "Guest Provisioning" Funktion benutzt die auf dem FortiOS integriert ist. Diese Anleitung basiert auf FortiOS 5.4. Für das Beispiel gehen wir von folgender Situation aus:

                   WAN
                    | 193.193.135.66               ___________ 
        ____________|____________                 |           | SSID only4also 192.168.4.0/24
       |                         | 198.18.3.1     | FAP 221C  |
       |        Fortigate        |----- DMZ ------|           |
       |_________________________|                |___________| SSID also4guest 192.168.5.0/24
                    |
                    | 198.18.0.1
                 INTERNAL1


Im ersten Schritt muss der Country Code des FortiGate Wireless Controller konfguriert werden. Dies bedeutet: Im Hintergrund stellt das FortiOS WTP Profiles zur Verfügung die den Forti Access Points zugewiesen werden können. Diese WTP Profiles basieren per Standard auf den Country Code US dh. in den entsprechenden WTP Profiles für die verschiedenen Forti Access Points werden für den 2.4 GHz und 5 GHz Bereich Kanäle (channels) basierend auf US zur Verfügung gestellt. Aus diesem Grund muss der Country Code für den Betrieb in der Schweiz auf dem FortiGate Wirelesss Controller korrekt gesetzt werden. Wie dies durchgeführt wird zeigt nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiGate_Wireless_Controller_den_.22Country_Code.22_Konfigurieren.3F

Wenn ein Forti Access Point an ein Interface/Segment auf der FortiGate Device angeschlossen wird, versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment des FortiGate Device einen Wireless Controller zu erreichen. Wenn der FortiGate Wireless Controller erreicht werden kann, wird über diesen per DHCP Server dem Forti Access Point eine IPv4 Adresse zugewiesen. Diese IPv4 Adresse wird nur genutzt um den CAPWAP Tunnel zu etablieren und den Forti Access Point zu verwalten resp. zu konfigurieren. Damit der Forti Access Point den FortiGate Wirless Controller findet, muss auf dem entsprechenden Interface des FortiGate Devices CAPWAP aktiviert werden. Wir empfehlen ein seperates Interface auf dem FortiGate Device zu nutzen um über dieses dezidiert Interface der FortiGate die Forti Access Points zu verwalten. In unserem Beispiel wäre dies das "dmz" Interface mit dem IPv4 Range 198.18.3.0/24:

       Konfigurieren des DMZ Interfaces für CAPWAP und mit einem entsprechenden DHCP Server
       
       Network> Interfaces > [Wähle das Interface für DMZ] > [Rechte Maustaste > Edit]
       
       Fortinet-1697.jpg
       
       Damit der FortiGate Wireless Controller CAPWAP (UDP-5246) Anfragen entgegen nimmt aus diesem Segment resp. über dieses 
       Interface des FortiGate Devices, muss die Position CAPWAP unter "Restrict Access" aktiviert werden. Dadurch wird 
       im Hintergrund eine automatische "local-in" Polciy konfiguriert die den Traffic für CAPWAP aus diesem Segment erlaubt. 
       Desweiteren, damit die Forti Access Point bei einer erfolgreichen CAPWAP Anfrage eine entsprechende IPv4 über dieses 
       Interface/Segment zugewiesen bekommen, muss ein DHCP Server aktiviert/konfiguriert werden. Für diesen DHCP Server stehen				
       über Kommandozeile weitere Optionen im Zusammenhang mit dem Forti Access Point zur Verfügung wie AC (Wireless Controller)
       IPv4 Adresse, NTP Adresse sowei DNS Server Adresse. Wir empfehlen diese Optionen des DHCP Servers zu nutzen. Führe auf der 
       CLI folgendes aus:
       
       # config system dhcp server
       # edit [Gebe den Integer an des entsprechenden DHCP Servers]
       # set dns-service [local | default | specify]
       # set dns-server1 [IPv4-Adresse für DNS Server 1]
       # set dns-server2 [IPv4-Adresse für DNS Server 2]
       # set dns-server3 [IPv4-Adresse für DNS Server 3]
       # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
       # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
       # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
       # set ntp-service [local | default | specify]
       # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
       # end
       Verbinden des Forti Access Points über CAPWAP und Authorisierung des Forti Access Points
       
       Nun muss der Forti Access Point über das Interface/Segment des FortiGate Devices das wir soeben konfiguriert haben dh. in 
       unserem Beispiel das "dmz" Interface verbunden werden. Nach einiger Zeit erscheint dieser Forti Access Point unter folgender 
       Position und kann Authorisiert werden:
       
       WiFi&Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Edit
       
       Fortinet-1698.jpg  
       
       Fortinet-1699.jpg
       
       Sobald der Forti Access Point über "Authorize" Authorisiert wurde führt der Forti Access Point ein Neustart aus. Nach ein bis
       zwei Minuten erscheint dieser abermals jedoch nun mit dem korrekten Status sowie mit der zugewiesenen IPv4 Adresse des DHCP
       Servers:
       
       Fortinet-1700.jpg
       Forti Access Point Firmware Upgrade durchführen
       
       Nach der Authorisierung des Forti Access Point sollte betreffend Firmware ein Upgrade durchgeführt werden. Dabei geben die
       Release Notes des jeweiligen FortiOS Release Auskunft über die Kompatibilität. Ebenso sind die "Upgrade Paths" der Forti Access
       Point zu berücksichtigen dh. von welcher Version eines FortiOS für Forti Access Point kann ein Upgrade durchgeführt. Auch
       in diesem Fall geben die Release Notes für ein FortiOS für Forti Access Points Auskunft. Desweiteren ist folgender Artikel
       dabei zu berücksichtigen:
       
       FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F
       
       Ein Firmware Upgrade wird folgendermassen durchgeführt:
       
       WiFi & Switch Controller > Managed FortiAPs > [Wähle mit Rechtsklick den entsprechenden AP Eintrag] > Upgrade
       
       Fortinet-1701.jpg
       
       Nach dem Upgrade des Forti Access Point wird wiederum ein Neustart des Forti Access Point ausgeführt. Es wird empfohlen auf 
       dem Forti Access Point nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die 
       Kommandozeile CLI oder über Web Mgmt. Interface der FortiGate durchgeführt werden:
       
       # config wireless-controller wtp
       # get
       
       Danach werden alle zur Verfügung stehenden Forti Access Point mit deren Serien Nummer aufgelistet:
       
       # edit [Serien Nummer des entsprechendne Forti Access Point zB "FP221C3X14001296"]
       # set override-allowaccess [enable|disable]
       # set allowaccess [telnet | http | https | ssh]	
       # end
       
       Danach kann über den FortiGate Wireless Controller resp. über die CLI des FortiGate Device eine "telnet" Verbindung anhand der
       IPv4 Adresse des Forti Access Point eine Verbindung erstellt werden. Um auf CLI herauszufinden welche IPv4 Adresse durch den
       Forti Access Point benutzt wird siehe nachfolgenden Artikel:
       
       FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F:
       
       # execute [telnet | ssh] [IPv4 Adresse des Forti Access Point; Ersichtlich über "Managed FortiAPs"]
       FP221C3X14001296 login: admin
       
       BusyBox v1.15.0 (2015-07-31 17:21:29 PDT) built-in shell (ash)
       Enter 'help' for a list of built-in commands.
       
       Danach führe einen "factoryreset" durch dabei bleibt die neue Firmware des Forti Access Points erhalten:
       
       # factoryreset
       Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"
       
       Konfiguration des Users für "only4also"
       User & Device > User Definition > Create New
       Fortinet-1702.jpg
       
       Fortinet-1703.jpg
       
       Beim Schritt 3 "Contact Info" Next anwählen.
       
       Fortinet-1704.jpg
       
       Konfiguration der Gruppe für "only4also"
       User & Device > User Groups > Create New
       Fortinet-1705.jpg
       
       Gruppe also4guest
       User & Device > User Groups > Create New 
       Fortinet-1706.jpg
       
       Ueber diese als "Guest" definierte Gruppe kann anhand eines regulären Administrators der für "Guest" konfiguriert wurde auf
       der FortiGate sowie über "Guest Management" Web Interface die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden. 
       Dies erfolgt über das folgende Menu: User & Device > Guest Management > Create New
               
       Möchte man für das "Guest Provisioning" nicht einen regulären Administrator benutzen sondern einen restriktiven Administrator
       der nur über Rechte verfügt für das "Guest Provisioning", kann dies folgendermassen konfiguriert werden:
       
       Fortinet-1707.jpg 
       
       Dieser "Guest Provisioning" Adminstrator kann nachgräglich über das reguläre Admin Login des FortiGate Devices ein Login durchführen
       und die entsprechenden User/Ticket's erfassen: 
       
       Fortinet-1708.jpg
       
       Fortinet-1709.jpg
       
       Weitere detailliert Informationen siehe nachfolgender Artikel:
       
       FortiAP:FAQ#Guest_Access
       Konfiguriere der SSID "only4also" sowie "also4guest"
       
       In den nachfolgenden Schritten werden die SSID's für "only4also" sowie "only4guest" konfiguriert. Dabei benützen wir für die "only4also" 
       SSID WPA/WPA2-Enterprise und für "also4guest" ein Captive Portal das die Gruppe des "Guest Provisioning" für die Authentifizierung nutzt.
       Für beide SSID's werden entsprechenden DHCP Server konfiguriert. Diese DHCP Server für die jeweilige SSID wird benutzt um den Client's 
       eine entpsrechende IPv4 Adresse zu zuweisen:
       
       SSID "only4also"
       WiFi & Switch Controller > SSID > Create New
       Fortinet-1710.jpg
       Fortinet-1711.jpg
       
       SSID "also4guest"
       WiFi & Switch Controller > SSID > Create New
       Fortinet-1712.jpg
       Fortinet-1713.jpg
       
       Weitere Auskunft über die verschiedenen Konfigurationspunkt die in einer SSID enthalten sind gibt nachfolgender Artikel:
       
       FortiAP:FAQ#Konfiguration
       Konfiguriere des WTP Profile's für den Forti Access Point
       
       Fortinet-1714.jpg
       
       Fortinet-1715.jpg
       
       Betreffend "channels" im Zusammenhang mit DFS Support resp. welche "channels" aktiviert werden dürfen siehe nachfolgenden Artikel:
       
       FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
       Konfiguriertes WTP Profile dem Forti Access Point hinzufügen
       
       WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechte Maustase Edit]
       
       Fortinet-1721.jpg
       Ersellen der Objekt für die Firewall Policy Rule für "only4also" sowie "also4guest"
       
       Damit die Firewall Policy Rule erstellt werden können, erstellen wir im Zusammenhang mit den SSID's die entsprechenden Objekte:
       
       Policy & Objects > Addresses > Create New > Adress
       
       Fortinet-1718.jpg
       
       Alle weiteren Adressobjekte analog erfassen. (net-only4also-192.168.4.0-24 und net-local-lan-198.18.0.0-24))
       Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"
       
       Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":
       
       "only4also Firewall Policy Rule"
       Policy & Objects > IPv4 Policy > Create New  
       Fortinet-1719.jpg
       
       "also4guest Firewall Policy Rule"
       Policy & Objects > IPv4 Policy > Create New
       Fortinet-1720.jpg

Sofern gewünscht können für die Firewall Policies wie gewohnt die entsprechenden UTM Features resp. Security Profiles konfiguriert werden.

Setup

Wie kann ich per "telnet/ssh" auf einen Forti Access Point verbinden wenn dieser über keinen Consolen Port verfügt?

Wenn ein Forti Access Point zB FAP-21D über keinen Consolen Port verfügt kann man dennoch über "telnet/ssh" (SSH ab FortiGate/FortiAP FortiOS 5.4.1) auf den Forti Access Point zugreifen um zB ein "debug" auszuführen oder eine lokale Konfiguration auf dem Forti Access Point durchzuführen. Die Funktion "telnet/ssh" muss vorgängig auf dem Fortigate Wireless Controller freigeschaltet werden. Dies bedeutet: ein direkter Zugriff per "telnet/ssh" auf den Forti Access Point ist nicht möglich. Der Zugriff eines "telnet/ssh" erfolgt über die Fortigate CLI oder über das Mgmt. Web Interface der FortiGate anhand des CLI Funktion für einen Forti Access Point. Um die Funktion für "telnet/ssh" freizuschalten auf dem FortiGate Wirless Controller kann dies entweder für FortiOS 5.0/5.2 sowie 5.4 für einen Forti Access Point erfolgen oder unter FortiOS 5.4 für ein WTP Profile. Um "telnet/ssh" für einen Forti Access Point zu aktivieren führe ein Login durch auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:

       Aktiviere "telnet" und/oder "http" im WTP Profile (FortiOS 5.4)
       
       # config wireless-controller wtp-profile
       # edit [Gebe das entsprechende WTP Profile an]
       # set allowaccess [telnet | http | https | ssh]
       # end
       
       Das entsprechende WTP Profile muss nun dem entsprechenden Forti Access Point zugewiesen sein damit
       die Aktivierung von "telnet/ssh" und/oder "http/https" erfolgt. Danach kann über folgende Position 
       eine CLI geöffnet werden:
       
       WiFi Controller > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste] > Edit in CLI
       
       Wenn der Zugriff für "telnet/ssh" über den FortiGate Wireless Controller resp. CLI erfolgen soll muss 
       und die entsprechende IPv4 des Forti Access Point umbekannt ist siehe nachfolgender Absatz für FortiOS
       5.0/5.2.
       Aktiviere "telnet" im WTP(FortiOS 5.0/5.2)
       
       Ueberprüfe über "wtp" welche Forti Access Points existieren:
       
       # config wireless-controller wtp
       # get
       == [ FAP14C3X13000543 ]
       wtp-id: FAP14C3X13000543    
       == [ FP221C3X14001296 ]
       wtp-id: FP221C3X14001296    
       == [ FAP21D3U14000144 ]
       wtp-id: FAP21D3U14000144    
       == [ FAP24D3X14000101 ]
       wtp-id: FAP24D3X14000101    
       # end
       Ueberprüfe über "diagnose wireless" welche IP ein bestimmter Access Points benutzt:
       
       # diagnose wireless wlac -c wtp [Gebe den entsprechenden Forti Access Point an]
       -------------------------------WTP    1----------------------------
       WTP vd               : root
           vfid             : 0
           id               : FAP21D3U14000144
           mgmt_vlanid      : 0
           region code      : E 
           regcode status   : valid
           refcnt           : 3 own(1) wtpprof(1) ws(1) 
           plain_ctl        : disabled
           deleted          : no
           admin            : enable
           cfg-wtp-profile  : FAP-04
           override-profile : disabled
           oper-wtp-profile : FAP-04
           wtp-mode         : remote
           name             : Remote Access Point FAP-21D
           location         : Remote FAP-04 local-sg0e0
           led-state        : enabled
           ip-frag-prevent  : TCP_MSS 
           tun-mtu          : 1492,1492
           split-tunneling-local-ap-subnet  : disabled
           active sw ver    : FAP21D-v5.2-build0234
           local IPv4 addr  : 193.193.135.71
           board mac        : 08:5b:0e:97:23:0c
           join_time        : Thu Apr 23 08:03:43 2015
           mesh-uplink      : ethernet
           mesh hop count   : 0
           parent wtp id    : 
           connection state : Connected
           image download progress: 0
           last failure     : 15 -- ECHO REQ is missing
           last failure param: N/A
           last failure time: Thu Apr 23 08:03:02 2015
           station info     : 0/0
           geo              : World (0)
           LAN              :
                    rId     : 1
                    cnt     : 1
                    port 1  : mode BR-TO-SSID(3)  ssid fortinet4intern          
         Radio 1            : Disabled
         Radio 2            : Virtual Lan AP
           max vaps         : 0
           base bssid       : 00:00:00:00:00:00
           station info     : 0/0
         Radio 3            : Not Exist
       -------------------------------Total    1 WTPs----------------------------
               
       Editiere den entsprechenden Forti Access Point auf dem "telnet" freigeschaltet werden soll und aktiviere den Zugriff:
       
       # config wireless-controller wtp
       # edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
       # set login-enable enable
       # end
       
       Für FortiOS 5.4 existiert dieses Kommando "login-enable" nicht mehr. Ein Zugriff für "telnet/ssh" und/oder "http/https" kann 
       dennoch über "wtp" für einen entsprechenden Forti Access Point freigeschaltet werden und wird folgendermassen 
       durchgeführt:
       
       # config wireless-controller wtp
       # edit [WTP ID resp. Serien Nummer des entsprechenden Forti Access Point]
       # set override-allowaccess [enable | disable]
       # set allowaccess [telnet | http | https | ssh]
       # end
       
       Durch diese Konfiguration wird ein Neustart des Forti Access Point durchgeführt!
       
       Teste den Zugriff per "telnet/ssh" auf den entsprechenden Access Point:
       
       # exec [telnet | ssh] 193.193.135.71
       FAP22B3U11011877 login: admin
       
       BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
       Enter 'help' for a list of built-in commands.
       
       #

Wenn "ssh" benutzt wird ist folgendes berücksichtigen: Wenn ein das "default" Passwort auf einem Forti Access Point gesetzt ist dh. also kein Passwort dann erscheint durch nachfolgenden Befehl kein Login Prompt sondern es wird direkt ein Login durchgeführt:

       # execute ssh [IPv4 Adresse des Forti Access Point]
       Warning: Permanently added '[IPv4 Adresse]' (RSA) to the list of known hosts.

Es wird somit im Hintergrund effektiv folgender Befehl ausgeführt:

       # execute ssh admin@[IPv4 Adresse des Forti Access Point]

Da kein Passwort gesetzt wurde auf dem Forti Access Point wird direkt der Standard User "admin" benutzt für das Login. Das ist der Grund wieso kein Login Prompt erscheint. Somit hat man die Wahl entweder den User "admin" im Kommando mitzugeben oder nicht. Ist ein Passwort gesetzt auf dem Forti Access Point und der User "admin" wird mit dem Kommando migegeben erscheint nur die Passwort abfrage. Wir der User mit gesetzen Passwort auf dem Forti Access Point nicht mitgegeben erscheint der Login Prompt für die Eingabe des Users und Passworts. Wie schon erwähnt gibt es neu ab FortiOS 5.2 die Möglichkeit über Web Mgmt. Interface anhand des entsprechenden Forti Access Point Eintrages eine CLI anhand eines Pop-Up zu öffnen. Die Vorraussetzung damit dies ermöglicht wird, ist die Option "set login-enable enable" oder für FortiOS 5.4 "override-allowaccess" und/oder innerhalb eines WTP Profiles "allowaccess". Werden diese Optionen für einen Zugriff über "telnet" nicht aktiviert sei es für FortiOS 5.0/5.2 sowie für 5.4, steht der entsprechende Menüeintrag "Connect to CLI" nicht zur Verfügung. Um über Web Mgmt. Interface eine CLI auf den Forti Access Point zu öffnen führe folgendes aus:

       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Wähle den entsprechenden Eintrag] > [Rechter Mausklick] > [Connect to CLI]
       Fortinet-1292.jpg
       Fortinet-1293.jpg

Was ist die Default IPv4 Adresse für einen Forti Access Point und wie kann ich mich auf diese IPv Adresse verbinden?

Wenn ein Forti Access Point gestartet wird, reagiert auf Netzwerkebene der Forti Access Point folgendermassen:

       • Der Forti Access Point sendet einen DHCP Anfrage in das Segment! Wird diese DHCP Anfrage beantwortet wird das 
         "wan" Interface des Forti Access Point anhand der Informationen des DHCP Server konfiguriert!
       • Beantwortet "Kein" DHCP Server die Anfrage des Forti Access Point so wird auf dem Interface des Forti Access 
         Points die "default" IPv4 Adresse konfiguriert:
         
         192.168.1.2/24

Somit kann man sich auf einen Forti Access Point folgendermassen verbinden sofern der Forti Access Point betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):

       1. Konfigruiere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
          
          192.168.1.1 255.255.255.0
          
       2. Verbinde den FortiAP mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
          
       3. Starte den FortiAP und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
          
          http://192.168.1.2 

Möchte man sich auf den Forti Access Point verbinden jedoch wurde das Interface auf "Static" konfiguriert und die IP Adresse ist nicht mehr bekannt, kann jeder FortiAP anhand des "reset buttons" auf Factory Defaults gesetzt werden. Weitere Informationen wo sich der "reset button" bei den verschiedenen Modellen befindet, kann aus dem entsprechenden "Quickstart Guide" entnommen werden. Dazu siehe nachfolgenden Artikel:

            Fortinet:ProduktInfo#FortiAP

Wie kann ich auf einem Forti Access Point für das Netzwerk Interface eine statische IPv4 Adresse konfigurieren?

Wenn man einen Forti Access Point manuell dh. mit einer statischen IPv4 Adressen konfigurieren möchte so kann dies über CLI sowie über das Mgmt. Web Interface durchgeführt werden. Um die Konfiguration durchzuführen muss auf die Standard IPv4 Adresse des Forti Access Point's zugegriffen werden. Wie dies durchzuführen ist siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F

Um die Konfiguration einer statischen IPv4 Adresse über Mgmt. Web Interface des Forti Access Point durchzuführen gebe folgende Adresse in den Browser ein:

       http://192.168.1.2

Danach kann über das Mgmt. Web Interface die Konfiguration durchgeführt werden. Um die Konfiguration einer statischen IPv4 Adresse für den Forti Access Point auf CLI durchzuführen muss "telnet" Zugriff für den Forti Access Point aktiviert werden. Die Aktivierung für den "telnet" Zugriff kann über das Mgmt. Web Interface durchgeführt werden. Um nachträglich die Konfiguraiton auf der CLI des Forti Access Point durchzuführen gebe folgendes ein:

       # cfg –a AP_IPADDR=[Gebe eine enstprechende IPv Adresse an zB "192.168.1.2"]
       # cfg –a ADDR_MODE=STATIC
       # cfg –a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein für die IPv ADresse zB "255.255.255.0"]
       # cfg -a DNS_SERVER=[DNS Server IPv4 Adresse]
       # cfg -c

Um die entsprechende Konfiguration nachträglich zu überprüfen gebe folgendes ein:

      # cfg -s
      AP_IPADDR:=192.168.1.2
      AP_NETMASK:=255.255.255.0
      IPGW:=192.168.1.1
      ADDR_MODE:=DHCP
      TELNET_ALLOW:=0
      AC_DISCOVERY_TYPE:=0
      AC_IPADDR_1:=192.168.1.1
      AC_CTL_PORT:=5246
      AC_DISCOVERY_MC_ADDR:=224.0.1.140
      AC_DISCOVERY_DHCP_OPTION_CODE:=138

Weitere lokale Konfigurations Möglichkeiten auf dem Forti Access Point können anhand des folgenden Befehls aufgelistet werden:

       # cfg -h

Wie kann ich die FortiGate Wireless Controller IPv4 Adresse für einen Forti Access Point über DHCP Server zuweisen?

Wenn einem Forti Access Point dessen FortiGate Wireless Controller IPv4 Adresse über DHCP Server zugewiesen werden soll kann dies über die DHCP Option "138" durchgeführt werden. Dies bedeutet: Wenn für die diese IPv4 Adresse des FortiGate Wireless Controllers ein bestehender DHCP Server benutzt wird muss in diesem die IPv4 Adresse als Option "138" gesetzt werden sowie auf dem entsprechenden Forti Access Point verifiziert werden ob diese Option "138" korrekt gesetzt ist. Dies wird lokal auf der CLI des Forti Access Point durchgeführt:

       Auslesen der momentaner Netzwerk Konfig:
       
       # cfg -s
       Konfiguration der DHCP Option:
       
       # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
       # cfg -c

Unter normalen Umständen empfehlen wir den DHCP Server auf dem FortiGate Device zu benutzen. Dadurch muss die Option "138" nicht gesetzt werden, denn im DHCP Server auf dem FortiGate Device kann anhand "wifi-ac1" die IPv4 Adresse des FortiGate Wireless Controller direkt konfiguriert werden. Zu "failover" Zwecken stehen 3 "wifi-ac" zur Verfügung. In diesem Zuge empfehlen wir ebenfalls die Konfiguration des DNS Server IPv4 Adresse sowie die IPv4 Adresse des NTP Servers:

       # config system dhcp server
       # edit [Gebe den Integer an des entsprechenden DHCP Servers]
       # set dns-service [local | default | specify]
       # set dns-server1 [IPv4-Adresse für DNS Server 1]
       # set dns-server2 [IPv4-Adresse für DNS Server 2]
       # set dns-server3 [IPv4-Adresse für DNS Server 3]
       # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
       # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
       # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
       # set ntp-service [local | default | specify]
       # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
       # end

Nachträglich kann die Konfiguration resp. die Zuweisung der IPv4 Adresse über Kommandozeile auf dem Forti Access Point folgendermassen kontrolliert werden:

       # cw_diag -c wtp-cfg

Wie kann ich auf einem Forti Access Point auf einer SSID eine "MAC Reservation + Access Control" Konfigurieren?

Eine "MAC Reservation + Access Control" kann unter FortiOS 5.0/5.2 sowie 5.4 innerhalb des DHCP Servers, der für die SSID aktiviert wird, konfiguriert werden. Dies ist jedoch nur dann möglich, wenn die entsprechende SSID im "tunneling" Mode ist und nicht für "local bridge" konfiguriert wurde, da im Bridge Mode kein DHCP Server aktiviert werden kann (local break-out). Die Konfiguration kann über Mgmt. Web Interface sowie auf CLI durchgeführt werden. Dabei ist folgendes Wichtig:

       Ein DHCP Server eines FortiOS ist per Standard im "assign" Mode und bedeutet: Jede Anfrage wird vom DHCP Server mit einer
       entsprechender IPv4 Adresse beantwortet. Möchte man nur Anfragen beantworten betreffend definierter MAC Adressen, muss der
       DHCP Server auf "block" gesetzt werden. Im Standard "assign" Mode stehen folgende Funktionen innerhalb des DHCP Servers für
       die IPv4 Adressse sowei MAC Adressen zur Verfügung:
       
       • Reserve IP
       • Assign IP
       • Block

Möchte man die "MAC Reservation + Access Control" unter Mgmt. Web Interface konfigurieren, findet man die entsprechenden Optionen unter folgender Position:

       WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [DHCP Server] > [Addtional DHCP Options]
       Fortinet-1693.jpg
       Fortinet-1694.jpg

Möchte man diese Konfiguration unter CLI durchführen, führe folgendes durch:

       # config system dhcp server
       # edit [Setze einen entsprechenden Integer zB "1"]
       # set description [Definiere einen entsprechenden Kommentar für DHCP Server]
       # set status [disable | enable]
       # set mac-acl-default-action [assign | block]
       # set dns-service [local | default | specify]
       # set dns-server1 [IPv4-Adresse für DNS Server 1]
       # set dns-server2 [IPv4-Adresse für DNS Server 2]
       # set dns-server3 [IPv4-Adresse für DNS Server 3]
       # set wifi-ac1 [IPv4-Adresse für Wireless Controller 1]
       # set wifi-ac2 [IPv4-Adresse für Wireless Controller 2]
       # set wifi-ac3 [IPv4-Adresse für Wireless Controller 3]
       # set ntp-service [local | default | specify]
       # set ntp-server1 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server2 [IPv4-Adresse für NTP Time Server 1]
       # set ntp-server3 [IPv4-Adresse für NTP Time Server 1]
       # set domain [Setze eine entsprechende Domain zB "local.intra"]
       # set wins-server1 [IPv4-Adresse für Win Server 1]
       # set wins-server2 [IPv4-Adresse für Win Server 1]
       # set default-gateway [IPv4-Adresse für Default Gateway]
       # set next-server <IPv4-Adresse für Bootstrap Server]
       # set netmask [IPv4-Netmask für DHCP Server IP Range]
       # set interface [Name des Interface für den DHCP Server zB "internal"]
       # config ip-range
       # edit [Setze einen entsprechenden Integer zB "1"]
       # set start-ip [IPv4 Start Adresse für den DHCP Bereich]
       # set end-ip [IPv4 End Adresse für den DHCP Bereich]
       # end
       # set timezone-option [disable | default | specify]
       # set timezone [01 | 02 | 03 | 04 | 05 | 81 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 74 | 14 | 77 | 15 | 16 | 17 | 18 | 19 | 20 | 75 | 21 | 22 | 23 | 24 | 80 | 79 | 25 | 26 | 27 | 28 | 78 | 29 | 30 | 31 | 85 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 83 | 84 | 40 | 41 | 42 | 43 | 39 | 44 | 46 | 47 | 51 | 48 | 45 | 49 | 50 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 62 | 63 | 61 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 00 | 82 | 73 | 86 | 76]
       # config exclude-range
       # edit [Setze einen entsprechenden Integer zB "1"]
       # set start-ip [Definition der IPv4 Start Adresse für den DHCP Exclude Bereich]
       # set end-ip [Definition der IPv4 End Adresse für den DHCP Exclude Bereich]
       # end
       # config reserved-Adresse 
       # edit [Setze einen entsprechenden Integer zB "1"]
       # set ip [IPv4-Adresse für IP Reservation]
       # set mac [MAC-Adresse Defintion für IP Reservation]
       # set action [assign | block | reserved]
       # end
       # end

Eine weitere Möglichkeit ab FortiOS 5.0 den Zugriff auf eine SSID einzuschränken ist die "device-access-list". Dies bedeutet: Anhand der "Device Detection" Funktion oder eigene definierten Devices innerhalb der "Device Detection" Funktion, kann der der Zugriff eingeschränkt werden. Um die Funktion "Device Detection" zu aktivieren, muss innerhalb der SSID resp. des "virtuellen" Interfaces das für die SSID konfiguriert wird, diese Funktion aktiviert werden:

       WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > [Aktiviere "Device Detection"]

Durch diese Funktion "Device Detection" wird versucht jeden Device in diesem Segment der das Interface der FortiGate benützt zu identifizieren. Um "Device Detection" auf der CLI für die SSID zu aktivieren führe folgendes aus:

       # config system interface
       # edit [Name des entsprechenden Interfaces resp. SSID]
       # set device-identification [enable | disable]
       # set device-identification-active-scan [enable | disable]
       # end

Es wird empfohlen die "device-identification-active-scan" nicht per Standard zu aktivieren. Um innerhalb der "Device Detection" Funktion einen eigenen Device zu definieren dh. nicht über die auf dem Interface aktivierte Funktion "device-identification", kann dieser Device innerhalb des DHCP Server auf der CLI konfiguriert werden:

       # config system dhcp server
       # edit [Setze einen entsprechenden Integer zB "1"]
       # config user device
       # edit [Vergebe einen entsprechenden Namen für den Device]
       # set mac [MAC Adresse für den entsprechenden Device]
       # end

Für diese definierten Devices können ebenfalls entsprechenden Gruppen angelegt werden:

       # config user device-group
       # edit [Name für die Device Gruppe]
       # set member [Wähle die entsprechenden Member]
       # end

Wieder eine andere Möglichkeit ist über eine entsprechende Firewall Policy Rule für die SSID anhand der "Device Detection" Funktion den Zugriff einzuschränken:

       Policy & Objects > Policy > IPv4 > [Wähle die entsprechende Policy] > [Device Identiy | Source Device Type]

Unter FortiOS 5.4 existiert innerhalb der Firewall Policy Rule keine entsprechende Position, sondern der entsprechende Device muss über zB die Source eingebunden werden. Wähle dazu:

       Policy & Objects > IPv4 Policy > Create New
       Fortinet-1695.jpg

Wie kann ich über einen Forti Access Point alle Wireless Devices in dessen Wirkungsgrad erkennen und auflistet?

Ein Forti Access Point kann anhand der Funktion "station-locate" so konfiguriert werden, dass dieser Forti Access Point für dessen Umgebung alle Wireless Devices auflistet der dieser Erkennt. Dabei werden sehr viele Informationen für diese Wireless Devices aufgeführt die auch für das "location tracking" benutzt wird. Da die Funktion relativ Performance Intensiv ist, sollte diese Funktion nur zu Analyse benutzt werden und nicht Permanent ausser es wird anhand des "Euclid Analytics Service" Format ein "location tracking" benutzt. Die Funktion kann einzeln für einen entsprechenden "radio's" aktiviert werden dh. für 5 GHz und/oder 2.4 GHz. Aktiviert wird die Funktion in dem entsprechenden WTP Profile das dem Forti Access Point zugewiesen wird:

       # config wireless-controller wtp-profile
       # edit [Wähle das entsprechende Profil]
       # config radio-1
       # set station-locate enable
       # end
       # config radio-2
       # set station-locate enable
       # end
       # end

Die Informationen die im Hintergrund vom Wireless Controller über den Forti Access Point "radio" gesammelt werden sind umfänglich! Nachträglich kann man anhand des "diagnose" Kommando Kommando auf der CLI die gesammelten Informationen aus dem Wireless Controller auslesen:

       # diagnose wireless wlac -c sta-locate
       
       sta_mac               vfid  rid base_mac          freq_lst  frm_cnt  frm_fst frm_last     intv_sum    intv2_sum    intv3_sum intv_min intv_max   signal_sum  signal2_sum  signal3_sum  sig_min  sig_max  sig_fst sig_last   ap
       00:24:d7:e2:ea:08       0
        FAP22B3U11011877       0    0 00:09:0f:f9:29:22     5220        3      164       44          120         7200       432000       59       60         -246        20190     -1658532      -85      -79      -79      -85    0

Das Format das durch "sta-locate" produziert wird, ist im "Euclid Analytics Service" Format. Weitere Informationen dazu siehe:

       http://euclidanalytics.com/products/technology/

Um die Informationen für "sta-locate" zu löschen kann anhand des "diagnose" Kommando dies durchgeführt werden:

       # diagnose wireless wlac -c sta-locate reset

Unter FortiOS 5.4 wurde zusätzlich eine Funktion implementiert, die das löschen der Informationen regelmässig übernimmt. Dies bedeutet: Anhand eines "timers" kann für diese Funktion ein "reset" automatisiert durchgeführt werden. Dabei ist jedoch folgendes zu beachten:

       Die Funktion "sta-locate" erstellt für einen Host/Client erstmalig einen Log Eintrag dh. wenn der Host/Client in einem
       späteren Zeitpunkt abermals erkannt wird, so wird kein weitere Log Eintrag erstellt für "sta-locate". Um die vorhandenen
       Informationen zu löschen kann ein "timer" benützt werden 1 and 86400 seconds (24 hours) wobei nicht empfohlen ist den 
       "timer" kleiner als 30 Sekunden zu setzen da dies doppelte Einträge für den Host/Client produzieren kann. Der "timer"
       steht per Standard auf "1800" Sekunden was 30 Minuten entspricht!
       
       # config wireless-controller timers
       # set sta-locate-timer [1 and 86400 seconds (24 hours); Standard 1800]
       # end

Kann ich einen Forti Access Point so konfigurieren, dass dessen SSID den gleichen IPv4 Adress Range benutzt wir im LAN?

Eine FortiOS kontrolliert per Standard die Konfiguration der Interfaces betreffend "subnet-overlap". Dies bedeutet: es kann keine Ueberschneidung resp. "subnet-overlap" von IPv4 Range's/Subnet auf Interface's konfiguriert werden da dies durch die Funktion "allow-subnet-overlap disable" verhindert wird:

      # config system settings
      # set allow-subnet-overlap [enable | disable]
      # end

Möchte man ein "subnet-overlap" für eine SSID konfigurieren, sollte dies gut überlegt sein. Dies bedeutet: Soll ein Forti Access Point über eine SSID den Zugriff in das interne LAN Segment direkt ermöglichen, kann zB anstelle eines "subnet-overlap" die "local bridge" Funktion für eine SSID benutzt werden. Dadurch wird ermöglicht, dass das Interface auf dem Forti Access Point in den Bridge Modus versetzt wird, und die Host/Client die über eine entsprechende SSID verbinden, eine IPv4 Adresse vom DHCP Server zugewiesen erhalten der im internne LAN Segment den Host/Client zur Verfügung steht. In so einem Scenario muss jedoch der Forti Access Point mit dem internen Segment LAN direkt verbunden werden. Wenn dennoch ein "subnet-overlap" Konfiguration auf einer SSID konfiguriert wird und die entsprechende Option "allow-subnet-overlap" wurde nicht aktiviert kommt es zu einer Fehlermeldung:

      Subnets overlap between 'port1' and the primary IP of 'port1'
      object set operator error, -54 discard the setting
      IP address is in same subnet as the others.

Wenn dennoch ein "allow-subnet-overlap" auf enable gesetzt werden möchte, kann dies über CLI auf System Ebene durchgeführt werden. Da es sich bei dieser Funktion um eine Option auf System Ebene handelt möchten wir nochmals daraufhinweisen dies gut zu überlegen da durch die Aktivierung dieser Option eine "loop" Gefahr besteht!

Kann ich für einen Forti Access Point die LED's deaktivieren damit diese bei Gebrauch nicht mehr blinken?

Ab FortiOS 5.2.3 ist dies möglich und wird benützt um die Forti Access Point möglichst zB für Hotels dezent erscheinen zu lassen. Diese Funktion steht nicht für jeden Forti Access Point zur Verfügung dh. zB für FAP-221C steht diese Funktion zur Verfügung. Wenn die "LED" auf einem Forti Access Point deaktiviert werden sollen, kann dies über den FortiGate Wireless Controller auf CLI im WTP Profile für den Forti Access Point durchgeführt werden oder über den FortiGate Wireless Controller für den Forti Access Point selber:

       # config wireless-controller wtp
       # edit [Serien Nummer des entsprechenden Forti Access Point]
       # set override-led-state [enable | disable]
       # set led-state  [enable | disable]
       # end
       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profiles]
       # set led-state [enable | disable]
       # end

Auf der CLI für einen Forti Access Point ist die Konfiguration ebenfalls möglich. Dabei ist jedoch zu berücksichtigen wenn dies durchgeführt wird, dass der FortiGate Wireless Controller diese lokal durchgeführte Konfgiguration auf dem Forti Access Point anhand der Konfiguration für den Forti Access Point oder anhand des WTP Profiles nicht überschreibt. Dieses Verhalten kann anhand der "LED_STATE" Konfiguration lokal auf dem Forti Access Pont konfiguriert werden. Erstelle eine "telnet" Verbindung auf den Forti Access Point. Wie dies durchzuführen ist siehe nachfolgenden Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Danach kann lokal auf dem Forti Access Point folgendes durchgeführt werden:

       # cfg -a LED_STATE=[0|1|2]
       # cfg -s

Die Werte für "LED_STATE" haben folgende Bedeutung:

       0 = Die LED's sind aktiviert.
       1 = Die LED's sind deaktiviert.
       2 = Ob die LED's aktiviert und/oder deaktiviert sind wird über den Wirless Controller der FortiGate gesteuert.

Per Standard ist der Wert auf "2" gesetzt dh. die Konfiguration über den Wireless Controller anhand der Option "led-state" aktiviert und/oder deaktiviert die LED's auf dem Forti Access Point. Werden die Werte "0" oder "1" gesetzt werden die Einstellung über den FortiGate Wireless Controller ignoriert!

Wie kann ich die automatische Registration eines Forti Access Point auf einem FortiGate Wireless Controller verhindern?

Wenn ein Forti Access Point in einem IPv4 Subnet/Segment der FortiGate in Betrieb genommen wird so benützt dieser Forti Access Point den "autodiscover" Modus um einen Wireless Controller zu finden. Ist auf dem FortiGate Device in diesem Segement und für das Interface CAPWAP aktiviert so antwortet der FortiGate Wireless Controller auf diese CAPWAP (UDP-5246) Anfragen. Dadurch erscheint unter den "Managed FortiAPs" im Mgmt. Web Interface der Forti Access Point. Danach kann der Forti Access Point durch "Authorized" Authorisiert werden. Wenn man jedoch dies aus irgendwelchen Gründen verhindern möchte, fragt sich wie diese "automatisch Registration" dh. das die Forti Access Point unter "Managed FortiAPs" erscheinen verhindert werden kann. Dazu gibt es verschiedenen Möglichkeiten/Konfiguration die durchgeführt werden können zB:

       • Wenn über das Segment in dem sich die Forti Access Point keine "CAPWAP" Anfragen beantwortet werden sollen kann "CAPWAP" auf diesem
         Segment resp. Interface deaktiviert werden:
         
         # config system interface
         # edit [Name des entsprechenden Interface zB "dmz"]
         # unselect capwap
         # end
       • Wenn auf dem FortiGate Device keine Forti Access Point verwaltet/konfiguriert werden sollen, kann der FortiGate Wireless Controller
         komplett deaktiviert werden:
         
         # config system global
         # set wireless-controller [enable | disable]
         # end
       • Befinden sich im Segment verschiedenen Forti Access Point dh. solche die über den Wireless Controller der FortiGate verwaltet werden
         sollen und solche die nicht über die FortiGate verwaltet werden sollen, müssen alle Forti Access Point die nicht über die FortiGate 
         die das Segment zur Verfügung stellt, lokal so konfiguriert werden damit diese Anfragen zu einemn spezifischen Wireless Access Point 
         Controller senden und nicht im "autodiscovery" Modus (Broadcast, Multicast, Unicast). Dies wird erreich, in dem auf den entsprechenden 
         Forti Access Point Controller folgendes konfiguriert wird:
         
         Verbinde dich per "telnet" auf den Forti Access Point Controller. Wie dies durchzuführen ist siehe nachfolgender Artikel:
         
         FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
         
         Ausgehend davon das "telnet" Zugriff auf einem Forti Access Point aktiviert ist, kann anhand eines CLI "Widgets" über das Mgmt. Web 
         Interface auf den Forti Access Point zugegriffen werden. Dazu wähle:
         
         WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs > [Markiere den entsprechenden Forti Access Point] > [Rechte Maustaste "CLI"]
         
         Danach muss folgendes konfiguriert werden um den Forti Access Point so zu konfigurieren, dass dieser "statisch" nur noch Anfragen zu
         einem bestimmten FortiGate Wireless Controller anhand dessen IPv Adresse sendet:
         
         # cfg -a AC_IPADDR_1=[IP Adresse des FortiGate WiFi Controllers]
         # cfg -c
         # cfg -s
         
         Für "failover" Zwecke stehen bis zu 3 "AC_IPADDR" zur Verfügung. Um die Anfragen "statisch" durchzuführen dh. nicht mehr per Broadcast,
         Multicast sowie Unicast konfiguriere folgendes:
         
         # cfg -a AC_DISCOVERY_TYPE=1
         # cfg -c
         # cfg -s
       • Unter FortiOS 5.4 gibt es eine weitere Möglichkeit die "automatische" Registrierung zu verhindern dh. durch nachfolgenden Befehl wird
         keine "automtische" Registrierung mehr ausgeführt. Die Funktion wird komplett deaktiviert:
         
         # config system interface
         # edit [Name des entsprechenden Interfaces zB "dmz"]
         # set ap-discover [enable | disable]
         # end
         
         Wird diese Funktion "ap-discover" deaktiviert, können Forti Access Point nur noch Registriert werden, und erscheinen unter "Managed FortiAPs",
         wenn diese vorgängig anhand der Serien Nummer Registriert werden. Dies wird folgendermassen durchgeführt:
         
         WiFi Controller > Managed FortiAPs > Create New > [Gebe die entsprechende Serien Nummer ein des FortiAP]
         
         In diesem Zuge kann bereits ein entsprechendes WTP Profile zum Forti Access Point hinzugefügt werden. Bringt man den entsprechenden Forti 
         Access Point in dem Segment "online" in dem "CAPWAP" für das entsprechenden FortiGate Interface aktiviert wurde, wird dieser Forti Access 
         Point automatisch "Authorized" mit dem zugewiesenen WTP Profile. Möchte man dies auf der Kommandozeile durchführen führe folgendes durch:
         
         # config wireless-controller wtp
         # edit [Serien Nummer des Forti Access Point]
         # set name [Name des Forti Access Point zB "FAP-221C-1-UG"]
         # set wtp-profile [Gebe ein entsprechendes vorhandenes WTP Profile an]
         # end

Upgrade

Wo finde ich den Upgrade Pfad um einen FortiAP upzugraden?

Unter folgendem Link findet man den Upgrade Pfad um einen FortiAP richtig upzugraden:

Upgradpfad 7.0x:

Upgradpfad 7.2x:

Upgradpfad 7.4x:


edit 17.10.2023 - 4Tinu

Wie kann ich für einen Forti Access Point ein Firmware Upgrade durchführen?

Bevor ein Firmware Upgrade auf einen Forti Access Point durchgeführt wird, sollte man verifizieren welche Firmware Version (FortiOS) benutzt werden soll und welche Auswirkungen dies mit sich bringt. Dies bedeutet: Vor einem Firmware Upgrade sollte die entsprechende Release Notes für die neue Firmeware des Forti Access Point konsultiert werden. Es muss zwingend der Upgradepfad beachtet werden:

       http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/

Ebenso sollte nachfolgender Artikel berücksichtigt werden:

       FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F

Wenn verifiziert worden ist welche Firmware Version eingesetzt werden kann, stehen verschiedenen Möglichkeiten zur Verfügung ein Firmware Upgrade durchzuführen:

        Firmeware Upgrade über den FortiGate Wireless Controller
        
        WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]
        
        Fortinet-1237.jpg
        
        Fortinet-1238.jpg
        
        Fortinet-1239.jpg
        Firmeware Upgrade über Forti Access Point anhand CLI und TFTP Server
        
        # restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
        
        Um den Befehl "restore" auszuführen benötigt man entweder einen Forti Access Point mit Consolen Anschluss oder Telnet Zugriff.
        Der Telnet Zugriff ist auf jedenfall Möglich dh. wie man diesen Konfiguriert für einen Forti Access Point siehe nachfolgenden
        Artikel:
            
        FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
        Firmeware Upgrade über Forti Access Point Web Mgmt. Interface Lokal und/oder Remote
        
        Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4 
        Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf 
        erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:
        
        # config wireless-controller wtp
        # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
        # set login-enable [enable | disable]
        # end
        
        Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
        Point zugewiesene WTP Profile:
        
        # config wireless-controller wtp
        # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
        # set override-allowaccess [enable | disable]
        # set allowaccess [telnet | http | https | ssh]
        # end
        
        # config wireless-controller wtp-profile
        # edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
        # set allowaccess [telnet | http | https | ssh]
        # end
        
        Wenn ein Firmware Upgrade eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem 
        Host/Client verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender
        Artikel:
        
        FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
        
        Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point 
        anhand "telnet" zu verbinden siehe nachfolgenden Artikel:
        
        FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F
        
        Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti 
        Access Point erstellt werden:
        # execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
        FAP22B3U11011877 login: admin
        
        Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:
        
        # cfg -a HTTP_ALLOW_DFLT=1
        # cfg -c
        
        Danach kann ein Upgrade lokal auf dem Forti Access Point durchgeführt werden über folgende Position:
        
        Fortinet-1265.jpg
        Bulk Firmeware Upgrade über den FortiGate Wireless Controller anhand CLI und TFTP Server
        
        Weitere Informationen dazu siehe nachfolgender Artikel:
        
        FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_Forti_Access_Point.27s_ein_Bulk_Firmeware_Upgrade_durchf.C3.BChren.3F

Wie kann ich einen FortiAP ueber die FortiGate upgraden?

FortiOS 74.svg


Config webgui.png Konfiguration über das WebGui:

Die FortiAPs können unter dem Menu Wifi & Sweitch Controller Managed FortiAPs verwaltet und upgegraded werden.

Fortinet-3386.jpg

Wir sehen hier eine Übersicht der FortiAPs welche von dieser FortiGate verwaltet werden. Zwei APs haben bereits das FortiOS 7.4.3 installiert. Nur der AP apaoem-lab-9001 läuft noch auf der Version 7.4.2

Fortinet-3387.jpg
Fortinet-3388.jpg

Mit einem Rechtsklick auf den AP öffnet sich ein Popup Menu. In diesem können verschiedene Aktionen ausgeführt werden. Um einen Update zu starten auf den Menupunkt Upgrade klicken

Fortinet-3389.jpg
  1. Upgrade über die FortiGuard oder mit Upload ein manueller Upgrade starten
  2. Wenn der Upgrade manuell durchgeführt wird kann über + Browse das Image ausgewähl werden.
Fortinet-3390.jpg

Sobald die Datei ausgewählt ist, kann mit Upload das Image hochgeladen werden.

Fortinet-3391.jpg

Das File wird zuerst auf die FortiGate hochegeladen und dann von der FortiGate auf die entsprechenden APs ausgerollt.

Fortinet-3392.jpg

Wenn das File auf dem AP installiert ist, startet dieser neu.

Nach Zirka 10 Minuten ist der FortiAP wieder online im Dashboard sichtbar und arbeitet mit dem neuen OS.

Fortinet-3393.jpg

Im Eventlog unter der Rubrik Wifi Events sehen wir einen Logeintrag, dass die Files dem AP apaoem-lab-9001 zugestellt wurde:

Fortinet-3394.jpg

add 13.06.2024 - 4Tinu

Wo finde ich die Firmware für die FortiAP E-Serie?

Wenn man für folgende Produkte die Firmware vom Support Portal herunterladen will, findet man diese nicht wie gewohnt im Menu FortiAP sonder im Menu FortiAP-W2!

Fortinet-1909.jpg

Betroffe FortiAP:

  • FAP-221E
  • FAP-222E
  • FAP-223E
  • FAP-224E
  • FAP-421E
  • FAP-423E

Wie kann ich für mehrere Forti Access Point's ein Bulk Firmeware Upgrade durchführen?

Wenn in einer Umgebung mit mehreren Forti Access Points ein Firmware Upgrade durchgeführt werden soll, kann dies anhand eines Bulk Upgrade durchgeführt werden. Dies bedeutet: anhand einer Firmeware die für spezifische Forti Access Point's auf den FortiGate Wireless Controller geladen wird, werden alle diese spezifischen Forti Access Point durch ein Kommando angewiesen sich vom FortiGate Wireless Controller diese Firmeware runterzuladen und ein Upgrade durchzuführen. Folgende Vorraussetzungen müssen gegeben sein:

       • Verifizierung der eingesetzten Firmeware und der neuen Firmware gemäss Release Notes dh wie und ob ein Upgrade möglich ist
         für die eingesetzte Firmware. Den Upgradepath findet man unter http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ 
         Ebenso sollte nachträglicher Artikel konsultiert werden:
         
         FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F)
       • Installiere einen TFTP Server (FTP ebenfalls möglich) der für den FortiGate Wireless Controller erreichbar ist um das spezifische Image
         für die Forti Access Points vom TFTP Server zum FortiGate Wireless Controller raufzuladen. Als TFTP Server kann zB folgendes eingesetzt
         werden:
         
         SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx

Wenn die neue Firmware die eingesetzt werden soll für die Forti Access Points anhand der Releaste Notes verifiziert wurde und der Upgradpath auf http://cookbook.fortinet.com/supported-upgrade-paths-fortiap/ beachtet wurde, dann führe folgendes durch:

       1. Lade das entsprechende Image für den Bulk Upgrade der Forti Access Points in das "root" Verzeichnis des TFTP Servers zB "image.out"!
       2. Führe auf der FortiGate Kommandozeile folgendes aus:
          
          # execute wireless-controller upload-wtp-image [tftp | ftp] [Name des Images auf dem TFTP Servers zB "image.out] [IPv4 Adresse des TFTP Servers]
          
          Durch diesen Befehl wird der FortiGate Wireless Controller angewiesen vom TFTP Server das entsprechende "image.out" runterzuladen. Pro
          Bulk Update Prozess kann nur ein Image eines spezifischen Forti Access Point Modell's auf den FortiGate Wireless Controller geladen 
          werden!
       
       3. Nachdem das entsprechende Image vom TFTP Server runtergeladen wurde kann verifiziert werden ob sich das Image auf dem FortiGate
          Wireless Controller befindet:
          
          # execute wireless-controller list-wtp-image
       
       4. Nun kann ein Bulk Upgrade über den FortiGate Wireless Controller ausgeführt werden. Dies bedeutet: Durch das nachfolgende Kommando werden 
          die Forti Access Points angewiesen sich das Image auf dem FortiGate Wireless Controller runter zu laden und das Upgrade durchzuführen.
          
          # execute wireless-controller reset-wtp [Gebe an "all" oder bei unterschiedlichen Modellen die spezifischen Serien Nummern der Forti Access Points für das Upgrade]
          
          Um die verschiedenen Serien Nummern der Forti Access Points auf dem FortiGate Wireless Controller zu verifizieren kann folgender Befehl benutzt werden:
          
          # config wireless-controller wtp
          # get
       
       5. Nach dem das Bulk Upgrade durchgeführt wurde kann das spezifische Image vom FortiGate Wireless Controller gelöscht werden:
          
          # execute wireless-controller delete-wtp-image

Kann für einen Forti Access Point basierend auf Firmeware 5.2 anhand einer Firmware 5.0 ein "Downgrade" durchführen?

Grundsätzlich ja dh. alle Forti Access Point's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:

       Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. durch einen Fix im Bios wird
       "verunmöglicht" diesen Forti Access Point mit 5.0.x "downzugraden", wenn der FAP-221C auf Stand 5.2 build 0212 (4090) sich befindet.

Ab FortiOS 5.2.3 ist ein Downgrade auf FortiOS 5.0.x nicht mehr möglich. Aus diesem Grund ist es in jedem Fall zu empfehlen die entsprechenden Release Notes betreffend eine Upgrade sowie Downgrade zu konsultieren. Bevor ein Downgrade ausgeführt wird muss berücksichtigt werden, dass FortiOS 5.2 basierende Forti Access Point's mit FortiGate's basiernd auf FortiOS 5.0.9 und/oder 5.2 betrieben werden können. Nachfolgender Link gibt detaillierte Auskunft welche Versionen basiernd auf FortiGate 5.0 und/oder 5.2 eingesetzt werden können.

       FortiAP:FAQ#Welches_FortiOS_soll_im_Zusammenhang_mit_FortiGate_Devices_und.2Foder_Forti_Access_Points_eingesetzt_werden.3F

Backup

Wie kann ich für einen Forti Access Point Konfiguration ein Backup erstellen?

Wenn ein Backup einer Forti Access Point Konfiguration durchgeführt wird muss berücksichtigt werden, dass dieses Backup nur die lokale Konfiguration des Forti Access Point enthält dh. dieses Backup enthält nicht die Konfiguration zB der SSID, WTP Profiles usw. Ein Backup eines Forti Access Point's kann über Mgmt. Web Interface des Forti Access Point's durchgeführt werden sowie über CLI. Bei einem Backup über Mgmt. Web Interface wird im Hintergrund folgender Befehl ausgeführt:

       Backup der Forti Access Point Konfiguration über CLI
       
       # cfg -e
       BAUD_RATE=9600
       ADMIN_TIMEOUT=5
       AP_IPADDR=192.168.1.2
       AP_NETMASK=255.255.255.0
       IPGW=192.168.1.1
       AP_MODE=0
       DNS_SERVER=208.91.112.53
       AP_MGMT_VLAN_ID=0
       ADDR_MODE=DHCP
       STP_MODE=0
       TELNET_ALLOW=1
       HTTP_ALLOW=1
       AC_DISCOVERY_TYPE=0
       AC_IPADDR_1=192.168.1.1
       AC_HOSTNAME_1=_capwap-control._udp.example.com
       AC_CTL_PORT=5246
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138
       AC_DATA_CHAN_SEC=2
       MESH_AP_TYPE=0
       MESH_AP_SSID=fortinet.mesh.root
       MESH_AP_BSSID=
       MESH_AP_PASSWD=fortinet.mesh.root
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100
       Backup der Forti Access Point Konfiguration über Web Mgmt. Interface
       
       Das Web Mgmt. Interface eines Forti Access Point ist sofern dies die Firewall Policy Rule erlaubt, über dessen zugewiesene IPv4 
       Adresse zugänglich. Dabei ist zu berücksichtigen, dass dies für den Forti Access Point in der entsprechenden Konfiguration auf 
       erlaubt wird. Der Konfigurationspunkt der dies steuert ist der Folgende:
       
       # config wireless-controller wtp
       # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
       # set login-enable [enable | disable]
       # end
       
       Unter FortiOS 5.4 kann der Zugriff über die Konfiguration für den Forti Access Point selber erfolgen oder über das dem Forti Access
       Point zugewiesene WTP Profile:
       
       # config wireless-controller wtp
       # edit [Serien Nummer des FortiAccess Point zB "FAP22B3U11011877"]
       # set override-allowaccess [enable | disable]
       # set allowaccess [telnet | http | https | ssh]
       # end
       
       # config wireless-controller wtp-profile
       # edit [Wähle das entsprechende WTP Profile für den Forti Access Point]
       # set allowaccess [telnet | http | https | ssh]
       # end
       
       # config wireless-controller wtp
       # edit [Serien Nummer des FortiAccess Point zB FAP22B3U11011877]
       # set login-enable enable
       # end
       
       Wenn ein Backup eines Forti Access Point lokal durchgeführt werden soll dh. in dem der Forti Access Point lokal mit einem Host/Client 
       verbunden ist, kann das Mgmt. Web Interface über dessen Standard IPv4 Adresse erreicht werden. Dazu siehe nachfolgender Artikel:
       
       FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
       
       Um auf CLI herauszufinden welche IPv4 Adresse durch den Forti Access Point benutzt wird um sich auf den entsprechenden Forti Access Point 
       anhand "telnet" zu verbinden siehe nachfolgenden Artikel:
       
       FortiAP:FAQ#Wie_finde_ich_.C3.BCber_den_FortiGate_Wireless_Controller_heraus_mit_welcher_IPv4_Adresse_ein_Forti_Access_Point_verbunden_ist.3F
       
       Danach kann anhand "telnet" auf dem FortiGate Wireless Controller oder Lokal über eine Host/Client (DOS Prompt) eine Verbindung zum Forti 
       Access Point erstellt werden:
       
       # execute [telnet | ssh] [IPv4 des FortiAccess Point; Auch ersichtlich über "Manage FortiAP's"]
       FAP22B3U11011877 login: admin
       
       Um danach lokal auf dem Forti Access Point den http Zugriff zu aktivieren führe folgendes aus:
       
       # cfg -a HTTP_ALLOW_DFLT=1
       # cfg -c
       
       Wenn der Zugang HTTP_ALLOW_DFLT aktiviert wurde kann über die zugewiesene IP des Forti Access Point per Browser verbunden werden und 
       ein manuelles Backup unter folgender Position ausgeführt werden:
       
       Status > System Configuration > Last Backup
       
       Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". Nachfolgend eine Legende die diese  
       verschiedenen Positionen erläutert:
       
       WTP_NAME=FP221B3X12001413                                          [Hostname Forti Access Point]
       ADMIN_TIMEOUT=5                                                    [Admin Timeout Default 5 Minuten]
       AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
       AP_NETMASK=255.255.255.0                                           [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
       IPGW=192.168.1.1                                                   [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
       AP_MODE=0                                                          [0 (Thin AP)] | 2 (Site Survey)]
       DNS_SERVER=208.91.112.53                                           [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
       BAUD_RATE=9600                                                     [Geschwindigkeit der Console; Standard 9600]
       ADDR_MODE=DHCP                                                     [IP Adressierungs Mode dh. DHCP oder STATIC]
       STP_MODE=0                                                         [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
       TELNET_ALLOW=1                                                     [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
       HTTP_ALLOW=1                                                       [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
       AC_DISCOVERY_TYPE=0                                                [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
       AC_IPADDR_1=192.168.1.1                                            [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
       AC_HOSTNAME_1=_capwap-control._udp.example.com                     [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
       AC_CTL_PORT=5246                                                   [CAPWAP Comunication Port]
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138                                  [DHCP Option Code]
       AC_DATA_CHAN_SEC=2                                                 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
       MESH_AP_TYPE=0                                                     [1 = Mesh Type "leave"; 2 = Mesh Type root]
       MESH_AP_SSID=fortinet.mesh.root                                    [Mesh SSID Name]
       MESH_AP_BSSID=                                                     [Mesh SSID Broadcast Name]
       MESH_AP_PASSWD=fortinet.mesh.root                                  [Mesh SSID Passwort]
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100

Somit kann dieses Backup File herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und dieses als Restore wieder einzuspielen!

Local Bridging

Heute machen wir eine kleine Reise durch die Welt der Netzwerkmodi! Ich stelle euch den Bridge- und den Tunnel-Modus vor und wir schauen uns an, was sie draufhaben - die coolen Eigenschaften und die kleinen Eigenheiten, die sie mitbringen

Bridge Modus
So funktioniert es:

Im Bridge-Modus agiert die SSID wie eine technologische Brücke zwischen den drahtlosen und verkabelten Netzwerken. Diese intelligente Verbindung ermöglicht es drahtlosen Geräten, nahtlos an demselben Netzwerk teilzunehmen, zu dem auch kabelgebundene Geräte gehören.

Was funktioniert:

  • Alle Geräte, ob verkabelt oder drahtlos, befinden sich im gleichen heimeligen Netzwerk.
  • Die Geräte können miteinander plaudern, als würden sie sich auf einer Cocktailparty treffen.
  • Diese Methode ist ideal für einfache Netzwerkstrukturaufgaben, bei denen die Dinge flach und unkompliziert sein sollen.

Was nicht funktioniert:

  • Der drahtlose Datenverkehr muss immer noch seinen Weg durch den Router des lokalen Netzwerks finden.
  • Du hast nur eingeschränkte Kontrolle über den drahtlosen Datenverkehr, was wie wildes Tanzen auf einer Party sein kann - manchmal macht es Spaß, aber es kann auch chaotisch werden.
  • Wenn dein Netzwerk so groß und komplex ist wie eine Gala, ist der Bridge-Modus nicht die beste Wahl.
  • Beim Debuggen von Clients auf dem FortiGate (Verwenden von 'diagnose wireless-controller wlac sta_filter <mac> 255') zeigt die Ausgabe nur den Authentifizierungsprozess an, während die DHCP-Nachrichten ein bisschen schüchtern bleiben.

Leistung:

  • In kleinen Netzwerken fühlt sich der Bridge-Modus wie ein gemütliches Zuhause an, aber wenn die Gästeliste wächst, könnte es zu einer unangenehmen Überlastung kommen.

Jetzt, wo wir den Bridge-Modus ausgelotet haben, werfen wir einen Blick auf den faszinierenden "Tunnel-Modus":

Tunnel Modus

Wie er funktioniert:

Im Tunnel-Modus erstellt die SSID sozusagen einen geheimen Tunnel, durch den alle drahtlosen Daten flitzen. Dieser Datenstrom wird dann zur zentralen Instanz, der FortiGate, gesendet, wo ein neues Interface mit dem Namen der SSID erstellt wird. Dieses Interface verhält sich dann wie ein Superheld, der die Regeln des FortiGate-VLANs befolgt.

Was funktioniert:

  • Höhere Sicherheit: Die FortiGate überwacht und kontrolliert den gesamten Datenverkehr - so sicher wie ein Banktresor.
  • Bessere Isolierung: Drahtlose Geräte werden von den Kabelgebundenen getrennt, als wären sie auf einer einsamen Insel.
  • Einfachere Verwaltung: Du kannst den Datenverkehr und die Richtlinien so genau steuern wie ein Dirigent ein Orchester leitet.
  • Ideal für riesige, komplexe Netzwerke, bei denen die Dinge so groß sind wie ein Musikfestival.

Was nicht funktioniert:

  • Geräte im drahtlosen Netzwerk können nicht einfach mit ihren Kabelverwandten plaudern, ohne über die Firewall zu gehen - wie VIPs, die durch die VIP-Tür müssen.

Leistung:

  • Im Allgemeinen bietet der Tunnel-Modus für große und sicherheitsbewusste Netzwerke eine Top-Leistung und Top-Sicherheit.

Empfehlung:

  • Wenn dein Netzwerk so groß ist wie ein Rockkonzert und strenge Sicherheits- und Verkehrsregeln benötigt, dann ist der Tunnel-Modus die richtige Wahl.
  • Wenn du jedoch die Einfachheit bevorzugst und alle Geräte friedlich in derselben Netzwerk-Nachbarschaft leben, kann der Bridge-Modus für kleinere Netzwerke eine Party sein. Aber denke daran, dass er bei zu vielen Gästen vielleicht die Musik leiser drehen muss.

Wie konfiguriere ich für eine Forti Access Point ein Wireless "local-bridging"?

Wenn für einen Forti Access Point eine SSID konfiguriert wird, hat man die Möglichkeit diese betreffend "Traffic Mode" folgendermassen zu konfigurieren:

       • Tunnel to Wireless Controller
       • Local bridge with FortiAP's Interface

Zusätzlich steht die Funktion "Mesh Downlink" zur Verfügung die jedoch nur im Zusammenhang mit "mesh" benutz wird. Wenn die Standard Konfiguration einer SSID benutzt wird dh. "Tunnel to Wireless Controller" so wird der Traffic des Host/Client über den CAPWAP (UDP-5246) Tunnel zum FortiGate Wireless Controller gesendet. Aus diesem Grund ist es nicht möglich mit dieser Konfiguration, dass der Client eine Resource innerhalb des gleichen LAN/Segment's, in dem sich der Forti Access Point befindet, direkt anzugehen denn der Traffic wird mit "Tunnel to Wirless Controller" unweigerlich über den CAPWAP Tunnel zum FortiGate Wireless Controller gesendet. Eine Ausnahme bildet die ab FortiOS 5.2 Funktion "Splitt Tunneling" die es erlaubt einen spezifischen IPv4 Adress Range/Subnet von diesem Umstand auszunehmen. Weitere Informationen zu dieser "Split Tunneling" Funktion siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F

Soll jedoch der Traffic direkt vom Forti Access Point Interface in das LAN/Segment erlaubt werden in dem sich die Forti Access Points befinden, muss die Konfiguration "Local bridge with FortiAP's Interface" benutzt werden! In diesem Modus wird das Interface auf dem Forti Access Point in den Bridge Modus versetzt. Der CAPWAP Tunnel der dennoch zum FortiGate Wireless Controller exisitert wird in dieser Situation nur zu Management Zwecken genutzt. Wird ein "Local bridge with FortiAP's Interface" konfiguriert muss folgendes berücksichtigt werden:

       Wenn der Konfigurationspunkt "Local bridge with FortiAP's Interface" aktiviert ist auf der SSID und der Access Point verliert
       die Verbindung zum FortiGate Wireless Controller so werden die Wireless Hosts/Clients nicht beinträchtigt da der Access Point 
       im Bridge Mode ist und somit die CAPWAP Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren/verwalten!

Um eine SSID über Kommandozeil auf "Local bridge with FortiAP's Interface" zu konfigurieren führe folgendes aus:

       # config wireless-controller vap
       # edit [Name SSID Profile]
       # set ssid [Name der SSID]
       # set local-bridging [enable | disable]
       # set vlanid [VLAN ID]
       # set local-authentication enable
       # set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
       # set passphrase "[Setze zur SSID das entsprechende Passwort]
       # end
       

Sofern gewünscht kann eine VLAN ID für die SSID vergeben werden! Wenn der Traffic zwischen den Wireless Host/Client über die gleiche SSID anhand der Option "intra-vapprivacy" verhindert wird so wird "local-bridging" auf "disable" gesetzt! Dies bedeutet: Ist "local-bridging" auf "enable", kann das Interface des Forti Access Point im Bridge Mode nicht mehr verhindern, dass Wireless Hosts/Clients über die gleiche SSID untereinander komunizieren. Wenn ein "local-bridging" auf einem FortiWiFi Device für deren interne "radio's" konfiguriert wird, erscheint folgende Fehlermeldung:

       "Maximum number of entries has been reached"

Somit kann keine SSID auf einem FortiWifi Device für deren "radio's" auf "local-bridging" konfiguriert werden. Als Workaround für einen FortiWifi Device, kann jedoch eine SSID im "Tunnel Mode" konfiguriert werden ohne aktivierten DHCP Server auf der SSID. Danach kann diese SSID anhand eines Software Switches, der für Forti Access Points per Grundsatz nicht unterstützt wird, zum "internal" Interface hinzugefügt werden. Damit die Wireless Hosts/Client die auf die SSID verbinden eine IP zugewiesen bekommen, wird auf dem "Software Switch" ein DHCP Server aktiviert! Somit kann diese SSID auf dem FortiWifi Device zusammen mit dem "internal" Interface als lokales und gemeinsames LAN/Segment genutzt werden! Diese Konfiguration gilt nur im Zusammenhang mit FortiWiFi's und ist nicht im Zusammenhang mit Forti Access Points zu benutzen da "Software Switches" in Zusammenhang mit Forti Access Points nicht unterstützt werden. Werden auf dem FortiWifi Devices zusätzliche Forti Access Points betrieben, können diese wie üblich anhand "Local Bridging" konfiguriert werden!

Kann ich auf einem Forti Access Point für ein "local bridging" Broadcast/Multicast verhindern (susspression)?

Dies ist ab FortiOS 5.2.2 innerhalb einer SSID möglich. Dies wird über CLI folgendermassen konfiguriert:

       # config wireless-controller vap
       # edit [Name der SSID]
       # set broadcastsuppression [dhcp-up | dhcp-down | dhcp-starvation | arp-known | arp-unknown | arp-reply | arp-poison | arp-proxy | netbios-ns | netbios-ds | ipv6 | all-other-mc | all-other-bc]
       # end
       

Per Standard wird für die Funktion "broadcastsuppession" folgende Werte benutzt:

       dhcp-up arp-known

Die Werte die unter "broadcastsuppresion" konfiguriert werden können haben folgende Bedeutung:

       dhcp-up            Suppress broadcast uplink DHCP messages.
       dhcp-down          Suppress broadcast downlink DHCP messages.
       dhcp-starvation    Suppress broadcast DHCP starvation req messages.
       arp-known          Suppress broadcast ARP for known wireless clients.
       arp-unknown        Suppress broadcast ARP for unknown wireless clients.
       arp-reply          Suppress broadcast ARP reply from wireless clients.
       arp-poison         Suppress ARP poison messages from wireless clients.
       arp-proxy          Reply ARP requests for wireless clients as a proxy.
       netbios-ns         Suppress NetBIOS name services packets with UDP port 137.
       netbios-ds         Suppress NetBIOS datagram services packets with UDP port 138.
       ipv6               Suppress IPv6 packets.
       all-other-mc       Suppress all other multicast messages.
       all-other-bc       Suppress all other broadcast messages.

Grundsätzlich stet der Befehle "broadcastsuppression" auch für eine SSID zur Verfügung die "NICHT" als "Local Bridging" konfiguriert wurde (Tunnel to Wireless Controller). Die Erweiterung wurde jedoch "explizit" hinzugefügt für "Local Bridging" SSID's. Der Grund ist Folgende:

       Wenn ein Forti Access Point als "local bridging" eingesetzt wird in eine Subnet zB /20 so ist der Broadcast Traffic der zusätzlich 
       auf dem Forti Access Point entsteht beträchtlich und beeinträchtigt somit die Performance des Forti Access Point durch die über 
       Broadcast gesendeten "frames" vom Subnet über den Forti Access Point zum Client. Durch die gesetzten Optionen werden "frames" nur 
       dann vom Forti Access Point zum Client (over the air) gesendet, wenn die "Destination IPv4" Adresse existiert ansonsten werden diese 
       verworfen. Im "Tunnel to Wireless Controller" Mode agiert der Forti Access Point in gleicher Weise, jedoch fungiert der Forti Access 
       Point als eine Art "ARP Proxy" und sendet ARP Anfrage nur zum Client (over the air) wenn der ARP Anfragen über "get sys arp" vorhanden
       sind. Dies gilt nur innerhalb der gleichen SSID. Diese Funktion resp. Optionen sind nur in "high density" (Hohes Aufkommen von Clients 
       in grossen Netzwerken zB /20) Umgebungen zu benützen um die zusätzlicne "frames" zu verhindern (broadcast arp). Somit, unter normalen 
       Umständen ist diese Option auf den Standard Werten zu belassen dh. "dhcp-up sowie arp-known".

VLAN

Kann ich für Forti Access Point SSID's "Dynamische VLAN's" vergeben und wie konfiguriere ich diese?

Ab FortiOS 5.0.4 / 5.2 ist es möglich "Dynamische VLAN's" zu einer SSID zu vergeben im Zusammenhang mit einem Radius Server zB FortiAuthenticator. Dynamische VLAN's sind im "Tunnel to Wireless Controller" oder im "Local bridge with FortiAP's Interface" Traffic Mode möglich. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen. Dies bedeutet: Anhand der User Authentifizierungs Informationen wird auf dem Radius Server Radius Attribute ausgelöst. Diese Radius Attribute beinhalten die nötigen VLAN Informationen (VLAN ID) um die Zuweisung durchzuführen. Dazu sind auf dem Radius Server folgende Attribute zuständig:

       IETF 64 (Tunnel Type)              = Muss auf VLAN gesetzt werden
       IETF 65 (Tunnel Medium Type)       = Muss auf 802 gesetzt werden
       IETF 81 (Tunnel Private Group ID)  = Muss auf die entsprechende VLAN ID gesetzt werden
       

Diese Radius Attribute "IETF" bedeuten "Internet Engineering Task Force" und sind zuständig die nötigen Informationen nach erfolgreicher Radius Authentifizierung anhand Radius Attribute zu übermitteln. Anhand dieser "Dynamischen VLAN's" und über die Authentifizierung über den Radius Server, wird ermöglicht dem User ein bestimmtes Segment (VLAN ID) über die SSID zu zuweisen. Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen, ist die Funktion unter der entsprechenden SSID generell zu aktivieren:

       # config wireless-controller vap
       # edit [Wähle den Namen der entsprechenden SSID]
       # set dynamic-vlan [enable | disable]
       # end
       

Um die VLAN Konfiguration lokal auf einem Forti Access Point auszulesen kann folgendes Kommando ausgeführt werden:

       # cw_diag show wllbr

Folgendes Dokument zeigt ein Beispiele wie so eine SSID mit "Dynamischen VLAN's" im Zusammenhang mit "Tunnel to Wireless Controller" zu konfigurieren ist:

       Datei:Dynamic VLANs.pdf

Kann ich auf einem Forti Access Point für eine SSID mit einer VLAN ID versehen um den Ethernet Port nach 802.1Q zu "taggen"?

Ab FortiOS 5.0 / 5.2 jst es möglich eine SSID mit einem "Local bridge with FortiAP's Interface" Traffic Mode zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port in das jeweilige LAN/Segment gesendet anstelle diesen über den Data Channel Enkapsuliert (CAPWAP) zum FortiGate Wireless Controller zu senden. Per Standard sind alle SSID's im Traffic Mode "Local bridge with FortiAP's Interface" mit einer VLAN-ID "0" versehen. Um Fehler zu verhindern, muss jede SSID die mit dem Traffic Mode "Local bridge with FortiAP's Interface" konfiguriert ist, mit einer anderen VLAN ID versehen werden (Nur eine SSID mit VLAN ID 0 ist erlaubt). Ueber das Mgmt. Web Interface des Forti Access Point's ist diese VLAN ID Konfiguration ersichtlich. Ebenfalls kann lokal auf dem Access Points über CLI folgender Befehl abgesetzt werden um die Konfiguration einzusehen:

       # brctl show
       # cat /proc/net/vlan/conf

Die Konfiguration einer VLAN ID für eine SSID kann ab FortiOS 5.2 über Mgmt. Web Interface durchgeführt werden:

       WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSDI] > Optional VLAN ID
       Fortinet-1266.jpg

Möchte man die VLAN ID für eine SSID die auf "Local bridge with FortiAP's Interface" konfiguriert wurde über CLI konfigurieren führe folgendes durch:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set vdom root
       # set ssid [Name der SSID]
       # set security [Setze die entsprechende Authentifizierung zB "wpa2-only-personal"]
       # set passphrase "[Setze zur SSID das entsprechende Passwort]
       # set local-bridging [enable | disable]
       # set vlanid [Gebe die entsprechende VLAN ID an]
       # end

Mesh/Bridging

Wie konfiguriere ich für einen Forti Access Point ein Wireless "Mesh/Bridging Netzwerk" (manuell/automatisch)?

Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5.0 / 5.2) folgende Arten eine Mesh Netzwerks:

       NOTE Fortinet hat speziell betreffend "Mesh" ein spezielle Handbook's Released, dass auf die Konfiguration von "Mesh" eingeht.
            Aus diesem Grund lohnt sich ebenfalls diese Handbook's einzusehen:
            
            FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
       Wireless Mesh (No VLAN Support)
       Ein Access Point - auch genannt "root" Mesh Access Point - ist direkt verbunden mit dem FortiGate Wireless Controller.
       Alle anderen Forti Access Points - auch genannt "leaf" Mesh Access Points - benützen den FortiGate Wireless Controller 
       in dem diese über den "root" Mesh Access Point sich zum FortiGate Wirelesss Controller verbinden. Für Wireless Hosts/
       Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. bemerken nicht, dass 
       sie sich zu einem Mesh Netzwerk verbinden.
       Wireless bridging (No VLAN Support)
       Für ein Bridging werden zwei physische LAN Segmente über Fortinet Access Points verbunden (the backhaul SSID). Die Ethernet
       Anschlüsse resp. Interfaces auf den Forti Access Points ("leaf" Mesh Access Point), die diese LAN Segmente verbinden können 
       benutzt werden um ein zusätzliches Wireless Segment für die Wireless Hosts/Clients bereitzustellen. Grundsätzliche sind die 
       Clients direkt in dem jeweiligen Segment per LAN oder über ein erweitertes Wireless Netzwerk verbunden.

Daraus ergeben sich folgende Möglichkeiten:

       Forti Access Points werden benützt als "root" Mesh und "leaf" Mesh Access Points
       
       Datei:Fortinet-345.jpg
       FortiWiFi Device wird benützt als "root" Mesh Access Point und die Forti Access Points als "leaf" Mesh Access Points
       
       Datei:Fortinet-346.jpg
       Forti Access Points werden benützt um zwei LAN Segmente zu verbinden (Bridging)
       
       Datei:Fortinet-347.jpg

Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:

       • Alle Forti Access Points die im Mesh Wireless Network eingesetzt werden, müssen über Firmware 5.0 Build 003 oder höher verfügen!
         
       • Forti Access Point FAP-222B muss über die Bios Version 400012 oder höher verfügen:
         
         ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out
         
       • Auf dem FortiGate/FortiWiFi Wireless Controller muss FortiOS 5.0 GA oder höher installiert sein!
       
         NOTE Folgende Funktionen sollten möglichst nicht benützt werden auf dem Forti Access Point "radio" auf dem der 
              Mesh Link konfiguriert wurde:
         
              FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F
              FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22_.28Channel_Width.3F
              FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F

Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischen Manueller (mehr Möglichkeiten) oder Automatischer Konfiguration:

       AUTOMATISCHE KONFIGURATION WIRELESS MESH
       
       Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name]. 
       Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen werden:
       
       Datei:Fortinet-348.jpg
       
       Um die autom. Konfiguration durchzuführen sind folgende Schritte nötig:
       
       • Konfiguriere einen "root" Mesh Access Point auf einer Forti Access Point oder auf einer FortiWiFi Device.
       • Konfiguriere die Forti Access Points für "leaf" Mesh.
       • Authorisiere die "leaf" Mesh Forti Access Point damit diese auf den FortiGate/FortiWiFi Controller verbinden können.
       
       Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points
       
       Wähle über das Mgmt. Web Interface folgendes:
       
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
       
       Selektiere den gewünschten Forti Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize". 
       
       Wähle folgendes:
       
       Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
       
       NOTE Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
            mehr gesetzt werden!
               
       Datei:Fortinet-349.jpg
       
       Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points
       
       Verbinde dich auf das Mgmt. Web Interface des Forti Access Point auf dem "leaf" Mesh konfiguriert werden soll. 
       Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2. 
       Weitere Informationen siehe nachfolgenden Artikel:
       
       FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
       
       Auf dem Mgmt. Web Interface unter "Connectivity" konfiguriere folgendes:
       
       NOTE Betreffend Factory Reset siehe auch folgender Artikel:
            
            FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F
       
       Uplink           Mesh
       Mesh AP SSID     fortinet.mesh.[VDom Name dh. Standard "root"]
       Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
       
       Datei:Fortinet-350.jpg
       
       Bestätige die Konfiguration anhand "Apply".
       
       Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Forti Access Points
       
       Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Forti Access Points über den "root" Mesh 
       Access Points am FortiGate/FortiWiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss 
       jeder "leaf" Mesh Forti Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
       
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
       
       Gehe auf "refresh" bis der/die "leaf" Mesh Forti Access Points ersichtlich sind. Danach selektiere den Forti
       Access Point und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Forti Access  
       Points ersichtlich sein soll. Konfiguriere die restlichen Positionen sofern notwendig. Danach bestätige mit "OK"
       die Konfiguration.
       
       Sobald die Konfiguration bestätigt wurde wir der Forti Access Point seinen Status von Offline zu Online wechseln 
       (ca. 2 Minuten). Die automatische Konfiguration ist abgeschlossen und kann getestet werden.
       AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING
       
       Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über 
       den Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen 
       Port (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") 
       verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging 
       Mode aktiviert da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point 
       (backhaul link) verbindet. Ein Forti Access Point Device für Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist
       empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Wireless Hosts/Client im Wireless Netzwerk. 
       Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu berücksichtigen:
       
       • Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
       • Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!
       
       Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point
       
       Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
       "leaf" Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti 
       Access Point direkt mit dem zu verbindenen Segment verbunden!
       
       Datei:Fortinet-358.jpg
       MANUELLE KONFIGURATION WIRELESS MESH
       
       Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über  
       den Device erhält. Ein Mesh Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port 
       (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Forti Access Points verbinden 
       sich über diesen "root" Mesh AP (backhaul link) zum FortiGate/FortiWiFi Controller. Ein Forti Access Point Device für 
       Mesh verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 
       GHz für die Wireless Hosts/Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende 
       Punkte zu berücksichtigen:
       
       • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
       • Konfiguriere die "leaf" Mesh Access Point's.
       
       Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Forti Access Point
       
       • Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die Forti Access Points benutzt werden kann.
       • Erstelle eine SSID für den "backhaul link".
       • Erstelle eine Forti Access Point WPT Profil das die SSID für den "backhaul link" enthält.
       • Füge das neue WPT Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
       • Konfigureire den "root" Mesh Forti Access Point.
       
       Um die SSID für den "backhaul link" zu erstellen wähle im Mgmt. Web Interface der FortiGate folgendes:
       
       WiFi Controller > WiFi Network > SSID, select Create New
       
       Konfiguriere folgendes:
       
       Interface Name        [Name des Interfaces zB "mesh-backhaul"]
       IP/Netmask            [Belasse die IPv4 Adresse auf 0.0.0.0/0.0.0.0]
       SSID                  [Name der SSID zB "mesh-backhaul"]
       Preshared Key         [Wähle ein Preshared Key]
       
       Datei:Fortinet-351.jpg
       
       Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
       
       # config wireless-controller vap
       # edit [Name des Interfaces zB "mesh-backhaul"]
       # set mesh-backhaul enable
       # end
       
       Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
       
       Datei:Fortinet-352.jpg
       
       Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
       
       NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
            Position "Traffic Mode"
       
       # config wireless-controller vap
       # edit [Name des Interfaces zB "mesh-backhaul"]
       # set ssid "[Name der SSID zB "mesh-backhaul"]"
       # set security wpa2-only-personal
       # set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
       # set encrypt AES
       # set vdom root
       # set mesh-backhaul enable
       # end
       
       Nun muss ein "backhaul" Forti Access Point Profile erstellt werden. Wähle dazu im Mgt. Web Interface der FortiGate folgendes:
       
       WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
       
       - Wähle für das WTP Profile einen Namen zB "mesh-backhaul-root".
       - Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Forti Access Point.
       - Aktiviere die Position "Mesh Downlink".
       - Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
       
       Datei:Fortinet-353.jpg
       
       NOTE Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
            mehr als Definition innerhalb des WTP Profiles zur Verfügung.
       
       Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
       
       # config wireless-controller wtp-profile 
       # edit [Profil Name zB "mesh-backhaul-root"]
       # config platform
       # set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
       # end
       # config radio-1
       # set mode ap
       # set mesh-downlink enable
       # set band 802.11n-5G
       # set channel "36" "40" "44" "48"  
       # set darrp enable
       # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
       # end
       # end
       
       Nun muss das erstellt WTP Profil dem Forti Access Point hinzugefügt werden der als "root" Mesh aggieren soll. 
       Wähle dazu im WebGui folgendes:
       
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
       
       Der "root" Mesh Forti Access Point muss über physisches LAN/Segment angeschlossen sein sowie Verbindung 
       zum FortiGate/FortiWiFi Controller haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und 
       kann selektiert werden. Gehe auf "Authorize" und wähle das entsprechende WTP Profil das erstellt wurde 
       für den "backhaul link". In unserem Beispiel wäre dies zB  "mesh-backhaul-root"! Nach einiger Zeit geht 
       danach der Forti Access Point auf den Status "Online".
       
       Um das Profil per CLI zum entsprechenden Profile hinzu zufügen, gehe folgendermassen vor:
       
       # config wireless-controller wtp
       # get 
       FAP22B3U11005354
       
       # edit FAP22B3U11005354
       # set admin enable
       # set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
       # end
       
       Nun muss der "root" Mesh Forti Access Point als solches definiert werden dh. im Mgmt. Web Interface unter folgender 
       Position ist die entsprechende IPv4 Adresse des Forti Access Points zu eruieren:
               
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs 
       
       Wir nehmen an, dass der Forti Access Point dem wir das "backhaul" Profil hinzugefügt haben die IPv4 Adresse 192.168.3.2 
       zugewiesen worden ist. Verbinde dich nun anhand dieser IPv4 Adresse auf das Mgmt. Web Interface des Forti Access Point. 
       Führe ein Login durch anhand User "admin" und kein "Passwort" sofern keines gesetzt wurde:
       
       http://192.168.3.2
       
       Im Mgmt. Web Interface auf dem Forti Access Point unter "Mesh Configuration" selektiere:
       
       Ethernet with mesh backup support
       
       Datei:Fortinet-354.jpg
       
       NOTE Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden da
             der Access Point als "root" Mesh konfiguriert ist ignoriert!
       
       Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe Lokal auf der CLI des Forti Access Points folgendes ein:
       
       # cfg -a MESH_AP_TYPE=2
       # cfg –c
       
       Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
       
       # cfg -s
       
       Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
       
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs
       
       Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point
       
       Wie schon beschrieben sind "leaf" Mesh Forti Access Points Devices die das Wireless Netz (nicht physisch verbunden)
       benutzen um sich in das Wireless Netz zu integrieren. Die Verbindung zum FortiGate/FortiWiFi Controller wird über 
       den "root" Mesh Access Point bewerkstelligt.
       
       Um ein "leafe" Forti Access Point zu konfigurieren benutzen wir das Mgmt. Web Interface des Forti Access Points. Per 
       Standard nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2. 
       Verbinde dich nun auf den WebBased Manager anhand dieser IP:
       
       NOTE Betreffend Factory Reset siehe auch folgender Artikel:
            
            FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_Hardware_einen_Factory_Reset_durchf.C3.BChren.3F
       
       http://192.168.1.2
       
       Im WebBased Manager konfiguriere folgendes:
       
       Uplink            [Mesh]
       Mesh AP SSID      [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
       Mesh AP Password  [Preshared Key gemäss SSI "mesh-backhaul"]" 
               
       Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul". 
       Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist. 
       Konfiguration mit "Apply":
       
       Datei:Fortinet-355.jpg
       
       Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
       
       Wenn ein Forti Access Point nicht über einen FortiGate Wireless Controller konfiguriert und eingebunden ist sondern Lokal 
       über einen Host/Client, ist der Consolen Port per "telnet" über die Standard IP 192.168.1.2 erreichbar. Wird ein Forti 
       Access Point über einen FortiGate/FortiWiFi Wireless Controller konfiguriert so ist der Forti Access Point über den 
       FortiGate/FortiWiFi Controller per "telnet" erreichbar sofern dieser Zugriff aktiviert ist. Folgender Artikel gibt 
       Auskunft wie "telnet" aktiviert werden kann:
       
       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
       
       # cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
       # cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
       # cfg -a MESH_AP_TYPE=1
       # cfg -c
       
       Um die Konfiguration zu verifizieren (Es wird ein Neustart des Forti Access Point ausgeführt) geben folgendes ein:
       
       # cfg -s
       
       Als nächsten Schritt muss für die "leaf" Forti Access Points ein Profil angelegt werden. Dazu wähle im Mgmt. Web 
       Interface folgendes:
       
       WiFi Controller > Managed Access Points > Custom AP Profile
       
       Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
       
       Name          Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
       Platform      Selektiere die Platform für den entsprechenden Forti Access Point der für "leaf" Mesh eingesetzt werden soll.
       Radio 1       Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
       Radio 2       Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
       
       Datei:Fortinet-356.jpg
       
       NOTE Ab FortiOS 5.0.2 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
            mehr als Definition innerhalb des WTP Profiles zur Verfügung.
       
       Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
       
       # config wireless-controller wtp-profile
       # edit [Namen für das Profil zB "mesh-backhaul-leaf"]
       # config platform
       # set type [Selektiere entsprechend dem Forti Access Point Modell die für "leaf" Mesh eingesetzt werden die Platform]
       # end
       # config radio-1
       # set mesh-downlink enable
       # set band 802.11n-5G
       # set channel "36" "40" "44" "48" 
       # set darrp enable 
       # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]      
       # end
       # config radio-2
       # set mode ap
       # set band 802.11n
       # set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
       # end
       # end
       
       Nun muss das entsprechende WTP Profil das erstellt worden ist dem entsprechenden Forti Access Point der für "leaf" Mesh
       Forti Access Point benützt wird, zugewiesen werden. Wähle daszu im Mgmt. Web Interface:
       
       WiFi Controller > Managed A ccess Points > Managed FortiAP
       
       Wenn der "leaf" Mesh Forti Access Point in Betrieb ist, müsste dieser nun in der Liste der Forti Access Points erscheinen. 
       Selektiere diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird, sollte 
       der Forti Access Point die Mesh IPv4 Adresse zeigen. Nach dem "Authorize" kann das entsprechende WTP Profile für die "leaf" 
       Mesh Forti Access Point, das vorhergend erstellt worden ist, gewählt werden. Bestätige die Konfiguration anhand "Apply". 
       Wenn die Konfiguration auf der CLI durchgeführt werden soll führe folgendes aus:
       
       # config wireless-controller wtp
       # get 
       FAP22B3U11d05924
       
       # edit FAP22B3U11d05924
       # set admin enable
       # set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
       # end
       
       Die Konfiguration der Manuelle Konfiguration betreffend Mesh ist nun abgeschlossen. Um das "Mesh" Wireless 
       Netzwerk zu kontrollieren wähle im Mgmt. Web Interface folgendes:
       
       WiFi Controller > [WiFi Network] > [Managed Access Points] > Managed FortiAPs 
       
       In dieser View werden alle verbundenen und nicht verbundenen Forti Access Points aufgelistet. Wenn man unter "Column 
       Settings" das Feld "Connected Via" einblended, sieht man in diesem Feld "Mesh" für die Forti Access Points die über 
       Mesh verbunden sind sowie deren IPv4 Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen 
       Forti Access Point durchgeführt werden:
       
       # cw_diag -c mesh
       
       Eine weitere Möglichkeit um an Informationen heranzukommen, ist auf dem Forti Access Point folgender Befehl abzusetzen:
       
       # dmesg
       MANUELLE KONFIGURATION WIRELESS BRIDGING
       
       Der Vorteil einer manuellen Konfiguration liegt darin, dass durch die Konfiguration selber man mehr Kontrolle über den 
       Device erhält. Ein Bridging Wireless Netzwerk basiert darauf, dass ein Forti Access Point über einen physischen Port 
       (Ethernet) am FortiGate/FortiWiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Forti Access Point ("leaf") 
       verbindet sich über diesen "root" Mesh Forti Access Point sowie auf dem "leaf" Mesh Forti Access Point ist Bridging Mode 
       aktiviert da dieser an einem LAN/Segment direkt verbunden ist und dieses über den "root" Mesh Forti Access Point (backhaul 
       link) verbindet. Ein Forti Access Point Device verfügt für Mesh über 2 Radios (2.4 GHz sowie 5 GHz). Es ist  empfohlen 
       5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless Netzwerk. Um eine manuelle Konfiguration
       durchzuführen sind folgende Punkte zu berücksichtigen:
       
       • Konfiguriere den "backhaul link" und den "root" Mesh Forti Access Point!
       • Konfiguriere die "leaf" Mesh Forti Access Point's (Bridging aktiviert)!
       
       Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Forti Access Point
       
       Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem "leaf" 
       Mesh Forti Access Point wird die Position "Ethernet Bridge" zusätzlich Aktiviert. Danach wird dieser Forti Access Point 
       direkt mit dem zu verbindenen Segment verbunden!
       
       Datei:Fortinet-357.jpg

Guest Access

Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion?

Fortinet bietet im Zusammenhang mit der FortiGate Wireless Infrastrukturen zwei verschiedene Arten eines Ticketing System's für Guest Access:

       Guest Access Provisioning: 
       Das "Guest Access Provisioning" basiert auf einem Ticket System dh. durch einen definierten Administrator kann dieser 
       die entsprechenden Tickets erstellen resp. generieren. Für dieses "Gues Access Provisioning" können die Tickets selber 
       dh. Inhalt und Aussehen nicht modifiziert werden sondern sind vorgegeben. In so einer Situation sollte die "Captive 
       Portal" Funktion benutzt werden! Fur die Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit 
       FortiOS 5.0/5.2 oder höher. Es müssen keine zusätzliche Installationen durchgeführt werden da ein FortiGate Wireless 
       Controller alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere Information zur Implmenenterung 
       siehe:
       
       FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F
       User Self Registration: 
       In dieser Funktion muss ein FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf zwar ein "Captive Portal" 
       vorgeschaltet sein, jedoch mit einem Verweis auf den "FortiAuthenticator" und dessen Self Registration Portal. Die Felder, 
       der Inhalt etc. des Self Registration Portal und/oder der Ticket's können vollumfänglich selber betreffend Inhalt und Aussehn 
       definiert werden. Für das "Wireless Self Registration" benötigt man einen FortiAuthenticator! Weitere Inoformationen zur 
       Implementierung siehe:
       
       FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F

Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Self Registration" Funktion?

Für die "Wireless Self Registration" Funktion benötigt man im Gegensatz zur "Wireless Guest Access Provisioning" einen FortiAuthenticator da sich auf diesem das Self Registration Portal befindet. Im nachfolgenden Artikel werden die Unterschiede dieser zwei Möglichkeiten aufgezeigt:

       FortiAP:FAQ#Was_ist_der_Unterschied_zwischen_der_.22Wireless_Self_Registration.22_und_der_.22Guest_Access_Provisioning.22_Funktion.3F

Im nachfolgenden Artikel wird aufgezeigt wie ein "Wireless Self Registration" auf einem FortiAuthenticator im Zusammenhang mit einem FortiGate Wireless Controller konfiguriert wird:

       FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F

Wie implementiere ich für eine SSID auf einem Forti Access Point die "Wireless Guest Access Provisioning" Funktion?

Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5.0/5.2 oder höher) kann ein "restricted" Administrator "Guest Accounts" erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spezielle Gruppe. Dazu führe folgendes Konfiguration durch:

      NOTE Ab FortiOS 5.2 kann für den "restricted" Administrator für die "Guest Accounts" ein eigenes "Sprachfile" erstellt
           werden (Custome Language File). Weitere Informationen wie dieses zu erstelle sowie zu konfigurieren ist siehe 
           nachfolgender Artikel:
           
           FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_.22Wireless_Guest_Access_Provisioning.22_ein_Custome_Language_File.3F
      User & Device > User > User Groups
      
      Datei:Fortinet-363.jpg
      
      Aktiviert man die Position "Enable Batch Guest Account Creation" werden die "Guest Accounts" automatisch durch das System 
      erstellt (Batch):
           
           Datei:Fortinet-373.jpg

Zur dazugehörigen Gruppe erstellen wir einen Administrator, der jedoch eingeschränkt wird als "Restricted to Provision Guest Accounts". Dies bedeutet: Der Administrator hat nur Rechte für diese Gruppe "Guest Accounts" zu erstellen:

      System > Admin > Administrators
      
      Datei:Fortinet-364.jpg

Wenn sich der "Restricted to Provision Guest Accounts" Administrator über das reguläre Login der FortiGate einloggt, kann dieser für die definierte Gruppe "Guest Account's" erstellen resp. verwalten:

      Datei:Fortinet-365.jpg
      Datei:Fortinet-366.jpg

Um nun zB einen "Guest Account" zu erstellen geht der Administrator folgendermassen vor:

      Datei:Fortinet-367.jpg
      Datei:Fortinet-368.jpg
      
      Wird die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die Guest Account's "automatisch" 
      erstellt (Batch). Dies sieht dann folgendermassen aus:
           
           Datei:Fortinet-374.jpg 
           
           Nach der "automatischen" Erstellung wird folgendes Ausgegeben:
           
           Datei:Fortinet-375.jpg 
           
           Wenn man "mehrere" Guest Accounts auf einmal erstellen möchte, wählt man bei der Erstellung folgendes:
           
           Datei:Fortinet-376.jpg  
           
           Danach kann angegeben werden wie viele Guest Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:
           
           Datei:Fortinet-377.jpg
           

Nach der Erstellung der Guest Accounts können die Informationen dem Gast übermittelt werden. Zur Verfügung stehen SMS (Email Only), Email sowie Printing. Vorraussetzung dafür ist jedoch das ein "Email Service" konfiguriert wurde. Dazu siehe nachfolgende Artikel:

      FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F
      FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_den_.22Email_Service.22_konfigurieren.3F
      Datei:Fortinet-369.jpg

Wählt man zB Printing so erscheint folgendes:

      Datei:Fortinet-372.jpg
      
      NOTE Die Informationen die in diesem Ticket enthalten sind sowie das Aussehen können nicht verändert werden! 

Wenn man das Fenster schliesst "Return" kann man den erstellten Guest Account in der Liste einsehen zB "Passwort" und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:

      Datei:Fortinet-370.jpg
      

Wenn man sich als "regulärer" Administrator wiederum einloggt, kann man die Guest Accounts - die durch den "Restricted to Provision Guest Accounts" Administrator erstellt wurden - über folgende Position einsehen:

      User & Device > User > Guest Management
      
      Datei:Fortinet-371.jpg
      

Ein "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue Guest Accounts wie der "Restricted to Provision Guest Accounts" Administrator" erstellen/verwalten! Für die SSID muss nun ein "Captive Portal" ausgewählt jsowie konfiguriert werden. Wähle die entsprechende SSID und füge die Gruppe zum "Captive Portal" hinzu:

       Fortinet-1267.jpg
       

Unter FortiOS 5.2 sind einigen neuen Positionen innerhalb der SSID dazugekommen wie zB "Redirect after Captive Portal". Diese Position ermöglicht es dem "Guest Account" nach einer erfolgreichen Authentifizierung seine vorgängig eingegebene URL automatisch aufzurufen. Unter FortiOS 5.0 war dies nicht möglich und nach einer erfolgreichen Authentifizierung musste der Guest Account die URL abermals eingeben! Als Letzteres muss eine entsprechende Firewall Policy Rule implementiert werden (keine Identity Based Policy) die der SSID den gewünschten Traffic erlaubt. Danach kann die Konfiguration getestet werden. Sobald ein Wireless Host/Client die entsprechende SSID aufruft, wird er mit dieser SSID anhand einer IPv4 Adresse die vom DHCP Server stammt der für die SSID konfiguriert wurde, verbunden. Wenn nun ein Wireless Host/Client danach eine Anfrage absetzt dh. eine Web Seite aufruft wird das "Captive Portal" aufgerufen. Anhand der "Guest Account" Informationen resp. Tickets kann der Wireless Host/Client die Authentifizierung im "Captive Portal" durchführen. Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:

       Guest Access User Group
       
       # config user group
       # edit [Name der Gruppe zB "FortiGroup-Guest"]
       # set group-type guest
       # set user-id [email | auto-generate | specify]
       # set password [auto-generate | specify | disable]
       # set user-name [enable | disable]
       # set email [enable | disable]
       # set mobile-phone [enable | disable]
       # set default-expire [seconds]
       # end
       Guest admin profile options
       
       # config system admin
       # edit [Name des Administrators]
       # set guest-auth [enable | disable]
       # set guest-usergroups [Name der Guest Gruppe zB "FortiGroup-Guest"]
       # end
       SSID Security Mode option captive-portal
       
       # config wireless-controller vap
       # edit [Name des SSID Profiles zB "only4guest"]
       # set vdom "root"
       # set ssid [Name der SSID zB "only4guest"]
       # set security captive-portal
       # set selected-usergroups [Name der Guest-Gruppe zB "FortiGroup-Guest"]
       # set intra-vap-privacy enable
       # end
       # config system interface
       # edit [Name des Interface für SSID zB "only4guest"]
       # set ip [IPv4 Adresse für Interface Konfig zB 192.168.10.1 255.255.255.0
       # set allowaccess ping
       # set devindex 0
       # set device-identification enable
       # set snmp-index 0
       # end
       # config system dhcp server
       # edit [Gebe einen Integer an zB 1]
       # set forticlient-on-net-status disable
       # set dns-service default
       # set default-gateway [IPv4 Adresse zB 192.168.10.1]
       # set netmask [Netmask für DHCP IP Range zB 255.255.255.0]
       # set interface [Interface für DHCP Server zB "only4guest"]
       # config ip-range
       # set start-ip 192.168.10.2
       # set end-ip 192.168.10.254
       # end
       # end

Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:

       # diagnose test guest ?
       add     add a guest user
       del     delete guest users
       list    list guest users
       # diagnose test guest list
       user_id=new-user-1@beispiel.com
       group=Beispiel-Gruppe
       user_name=gast-1
       password=pwj8m9
       mobile_phone=
       sponsor=
       company=
       email=new-user-1@beispiel.com
       expire=1 Hours
       # diagnose test guest add 
       <group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>
       # diagnose test guest del
       12 deleted for group , user-id 
       # diagnose test guest list
       0 found for group , user-id 

Wie konfiguriere ich für ein "Wireless Guest Access Provisioning" ein Custome Language File?

Auf einer FortiGate ist das Mgmt. Web Interface und Replacement Messages per Standard Englisch. Unter der folgende Position können andere Sprachen gewählt werden:

       System > Admin > Settings > View Settings > Language > [English | French | Spanish | Portuguese | Japanese | Tradional Chinese | Simplified Chinese | Korean]

Andere Sprachen wie Deutsch stehen nicht zur Verfügung. Ab FortiOS 5.2 ist es jedoch möglich für folgende Funktion ein eigenes "Sprachefile" anzulegen (Custome Language File):

       • Guest Management Admin Accounts (Guest Access Provisioning)
       • SSL VPN Portal
       • SSL VPN Personal Bookmarks

Wenn für den "Guest Management Admin Accounts" ein eigenes "Sprachfile" erstellt werden soll muss folgendermassen vorgegangen werden:

       # config system global
       # set gui-custom-language enable
       # end
       
       Durch die Aktivierung von "gui-custom-language" wird ein zusätzlicher Menüpunkt auf dem Mgmt. Web Interface auf der FortiGate
       aktiviert:
       
       System > Config > Advanced > Language
       
       Fortinet-1285.jpg
       
       Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:
       
       System > Custom Languages
       
       Unter der Position "Download Sample Language Template" kann eine Vorlage runtergeladen werden, die herangezogen werden kann 
       als Vorlage um das "Sprachfile" zu erstellen. Nachfolgend ein Beispiel dieses "Sample Language Template":
       
       Datei:Sample-language-template.txt
       Datei:Sample-language-template-54.txt
       
       Nachdem das "Sprachfile" modifiziert wurde kann es unter folgender Position wieder raufgeladen werden:
       
       System > Config > Advanced > Language > Create New
       
       Fortinet-1286.jpg
       Unter FortiOS 5.4 befindet sich die entsprechende Menüposition unter:
       
       System > Custom Languages
       
       Danach kann das File raufgeladen werden:
       
       Fortinet-1287.jpg
       
       Damit das entsprechende File benutzt wird für die Funktion des "Wireless Guest Access Provisioning", muss 
       dies unter CLI und/oder über Mgmt. Web Interface für den Guest Administrator konfiguriert werden:
       
       System > Admin > Administrators > [Wähle den entsprechenden Guest Administrator] > Language > [Wähle das entsprechende "Sprachfile"]
       
       Fortinet-1289.jpg
       
       # config system admin
       # edit [Wähle den Namen des entsprechenden Administrators für die Guest Management Admin Accounts]
       # set guest-auth enable
       # set guest-lang [Wähle das entsprechende "Sprachfile"]
       # end
       # end

Wie kann ich für die "Wireless Guest Access Provisioning" Funktion die Erstellung der Tickets (Anzahl) limitieren?

Unter FortiOS 5.0 kann ein "restricted" Administrator "Guest Accounts" Ticket erstellen. Unter FortiOS 5.0 kann dieser "restricted" Administrator soviel Tickets erstellen wie er will dh. es gibt keine Funktion die diese Ticket Erstellung in der Anzahl limitiert. Ab FortiOS 5.2 ist dies nun möglich mit folgenden Kommando:

       # config user group
       # edit guest-group
       # set group-type guest
       # set max-accounts [Standard 0 (Unlimited); Möglicher Wert 0-1024]
       # end
       # end
       

Wird die Konfiguration durchgeführt für Guest Administratoren die bereits Tickets erstellt haben, muss der Wert höher sein als die existierenden "valid" Tickets. Soll der Wert für Anzahl Tickets tiefer als die existierenden "valid" Tickets konfiguriert werden so müssen um den Wert anzupassen zuerst Tickets gelöscht werden um den entsprechenden Wert zu setzen.

Gibt es für das Passwort des Guest-Administrators für "Wireless Guest Access Provisioning" eine Passwort Policy?

Wenn auf einer FortiGate ein "Wireless Guest Access Provisioning" konfiguriert wird ist die Basis ein Administrator der für Guest definiert wird (Restricted to Provision Guest Accounts). Wie ein "Wireless Guest Access Provisioning" konfiguriert wird siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_implementiere_ich_f.C3.BCr_eine_SSID_auf_einem_Forti_Access_Point_die_.22Wireless_Guest_Access_Provisioning.22_Funktion.3F

Neu unter FortiOS 5.4.1 kann diesem Administrator der für Guest definiert wurde eine Passwort Policy aktiviert werden. Dies kann jedoch nur in der CLI konfiguriert werden und ist per Standard deaktiviert:

       # config system password-policy-guest-admin
       # status [enable | disable]
       # apply-to [guest-admin-password]
       # minimum-length [Minimum Länge des Passwortes]
       # min-lower-case-letter [Minimum Anzahl Kleinbuchstaben im Passwort]
       # min-upper-case-letter [Minimum Anzahl Grossbuchstaben im Passwort]
       # min-non-alphanumeric [Minimum Anzahl Non-Alphanumerischen Zeichen im Passwort]
       # min-number [Minimum Anzahl von Nummerischen Zeichen im Passwort]
       # change-4-characters enable/disable Enable/disable changing at least 4 characters for new password.
       # expire-status [enable | disable]
       # reuse-password [enable | disable]        # end

Remote

Wie konfiguriere ich einen Forti Access Point zB. FAP-11C für einen Remote Zugriff?

Ein Forti Access Point FAP-11C kann benutzt werden um einen Remote Zugriff zu konfigurieren. Grundsätzlich kann jeder Forti Access Point benützt werden um diese Konfiguration durchzuführen. Spezialisiert sind jedoch die Forti Access Point FAP-11C, FAP-14C sowie fAP-28C da diese Forti Access Point über einen Internal Switch/Hub verfügen der es dem User/Client erlaubt entweder über den Internen Switch/Hub zu arbeiten oder über Wireless resp. über die konfigurierte SSID. Für unser Beispiel basierend auf einem FAP-11C gehen wir von folgender Situation aus:

        _________
       |         | 193.193.135.70
       | FAP-11C |--|
       |_________|  |
                   WAN
                    | 193.193.135.66               ___________ 
        ____________|____________                 |           |
       |                         | 192.168.3.1    | FAP-11C   |
       |        Fortigate        |----- DMZ ------|           |
       |_________________________|                |___________| 
                    |
                    | 192.168.1.99
                   LAN

In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "dmz" durchgeführt! Dies bedeutet: dieses "dmz" ist nur temporaerer Natur für den FAP-11C und wird nur für die Grundkonfiguration sowie das Testen benützt dh. der FAP-11C wird mit der gesamten Konfiguration lokal eingebunden inkl Firewall Policy Rules usw. Diese Konfiguration kann nachträglich für einen Remote Konfiguration komplett übernommen werden. Alle Forti Access Point benützen für deren Komunikation zum FortiGate Wireless Controller CAPWAP (UDP-5246). Dies ist auch betreffend Remote Zugriff der Fall. Weitere Informationen betreffend CAPWAP siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_werden_Forti_Access_Point_.C3.BCber_einen_FortiGate_Wireless_Controller_verwaltet.2Fkonfiguriert_.28CAPWAP.29.3F

Bei einem Remote Zugriff wird der CAPWAP Tunnel benützt um die Informationen zu transportieren. Der CAPWAP Tunnel selber ist zwar verschlüsselt, jedoch die Informationen die durch den Client/User durch den CAPWAP Tunnel gesendet sowie empfangen werden, sind per Standard "clear-text". Aus diesem Grund sollte darauf geachtet werden, dass wenn ein Remote Zugriff benützt wird die DTLS Verschlüsselung aktiviert ist. Diese "WiFi Data Channel Encryption" ist zuständig um die Daten der User/Client im CAPWAP Tunnel von und zu dem Forti Access Point zum FortiGate Wireless Controller zu verschlüsseln. Weitere Informationen zu DTLS Funktion siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F

Die Konfiguration eines Forti Access Point für Remote Zugriff unterscheidet sich Grundsätzlich nicht gegenüber einer lokalen Konfiguration von Forti Access Points. Um dies durchzuführen siehe nachfolgender Artikel der detailiert zeigt wie ein Forti Access Point unter FortiOS 5.0/5.2/5.4 in Betrieb genommen wird und was dabei zu beachten ist:

       FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F
          

Wenn die Grundkonfiguration für den FAP-11C inkl. den Firewall Policy Rule's gemäss vorhergenden Link durchgeführt wurde sowie alle Tests erfolgreich waren, sollte der FAP-11C aus dem "dmz" Segment entfernt. Ist dies geschehen sollte der entsprechende Forti Access Point Eintrag unter "Managed FortiAP's" gelöscht werden:

       WiFi Controller > WiFi Network > Managed FortiAP's > [Lösche den entsprechenden Eintrag]

Als Nächstes muss nun Lokal auf dem Forti Access Point FAP-11C mitgeteilt werden, mit welchen FortiGate Wireless Controller eine Remote Verbindung erstellt werden soll. Dies kann über das lokale Mgmt. Web Interface oder CLI des Forti Access Point FAP-11C durchgeführt werden. Die Informationen die lokal auf dem Forti Access Point konfiguriert werden müssen sind die Folgenden:

       IPv4 Adresse
       FQDN (Fully Qualified Domain Name]

Um auf einen Forti Access Point lokal zu verbinden kann die Default IPv4 Adresse des Forti Access Point benutzt werden (192.168.1.2). Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F

Es können für Failover Zwecke bis zu 3 Wireless Controller konfiguriert werden:

       Datei:Fortinet-700.jpg

Die Position "AC Discovery Type" steht im Zusammenhang mit CAPWAP und hat folgende Bedeutung: Wenn in einem späteren Zeitpunkt der Forti Access Point in ein IPv4 Segment zB zu Hause verbunden wird, sucht sich dieses "wan" Interface einen DHCP Server. Werden die DHCP Anfragen des "wan" Interfaces beantwortet, wird auf dem "wan" Interface gemäss der DHCP Server Konfiguration eine IPv4 Adresse, Subnet sowie Default Gateway konfiguriert. Sobald dies der Fall ist, wird über das "wan" Interface versucht den konfigurierten FortiGate Wireless Controller anhand dessen IPv4 Adresse oder den FAQDN über CAPWAP (UDP-5246) zu erreichen. Dies wird anhand "AC Discovery Type" durchgeführt. Dieser Konfigurationspuntk ist per Standard auf "Auto" konfiguriert was wiederum bedeutet:

       Broadcast -> Multicast > Static > DNS > DHCP

In dieser Reihenfolge versucht der Forti Access Point über CAPWAP den konfigurierten FortiGate Wireless Controller zu erreichen. Damit kein "Auto" für die Suche des FortiGate Wireless Controller durchgeführt wird, sollte "Static" benutzt werden. Wenn ein FQDN benutzt wird, ist zu berücksichtigen, dass der Forti Access Point in seiner Standard Konfiguration einen FortiGuard DNS Server benutzt. Um einen eigenen DNS Server zu konfigurieren führe folgendes auf der CLI durch:

       # cfg -a DNS_SERVER=[DNS Server IP Adresse]
       # cfg -c 
       # cfg -s

Um die ganze Konfiguration über die CLI der Forti Access Point durchzuführen stehen folgende Befehle zur Verfügung:

       # cfg -a WTP_NAME=FP11C3X12001413                                           [Hostname Forti Access Point]
       # cfg -a ADMIN_TIMEOUT=5                                                    [Admin Timeout Default 5 Minuten]
       # cfg -a AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
       # cfg -a AP_NETMASK=255.255.255.0                                           [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
       # cfg -a IPGW=192.168.1.1                                                   [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
       # cfg -a AP_MODE=0                                                          [0 (Thin AP)] | 2 (Site Survey)]
       # cfg -a DNS_SERVER=208.91.112.53                                           [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
       # cfg -a BAUD_RATE=9600                                                     [Geschwindigkeit der Console; Standard 9600]
       # cfg -a ADDR_MODE=DHCP                                                     [IP Adressierungs Mode dh. DHCP oder STATIC]
       # cfg -a STP_MODE=0                                                         [Spanning Tree 0 = Deaktiviert | 1 = Aktiviert]
       # cfg -a TELNET_ALLOW=1                                                     [1 = Telnet steht zur Verfügung; 0 = Deaktiviert]
       # cfg -a HTTP_ALLOW=1                                                       [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
       # cfg -a AC_DISCOVERY_TYPE=0                                                [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
       # cfg -a AC_IPADDR_1=192.168.1.1                                            [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
       # cfg -a AC_IPADDR_2=                                                       [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
       # cfg -a AC_IPADDR_3=                                                       [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
       # cfg -a AC_HOSTNAME_1=_capwap-control._udp.example.com                     [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
       # cfg -a AC_HOSTNAME_2=                                                     [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
       # cfg -a AC_HOSTNAME_3=                                                     [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
       # cfg -a AC_CTL_PORT=5246                                                   [CAPWAP Comunication Port]
       # cfg -a AC_DISCOVERY_MC_ADDR=224.0.1.140
       # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138                                  [DHCP Option Code]
       # cfg -a AC_DATA_CHAN_SEC=2                                                 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
        
       # cfg -c                                                                    [Speicher Konfiguration in das Flash]
       # cfg -s                                                                    [Liste die Konfiguration auf]

Wie schon erwähnt ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. Auf dem Forti Access Point ist "DTLS" bereits zusammen mit "Clear Text" aktiviert (Standard AC_DATA_CHAN_SEC=2). Dies bedeutet: Die "DTLS" Aktivierung kann über den FortiGate Wireless Controller gesteuert werden. Dazu muss im entsprechenden Profile des Access Point über CLI "DTLS" aktiviert werden:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden Profils]
       # set dtls-policy [dtls-enabled | clear-text]
       # end

Wenn ein Client/Host über den Remote Forti Access Point ein Packet versendet und da der Standard Wert für MTU Size auf den meisten Betriebsystemen auf 1500 konfiguriert ist kann es mit der zusätzlich aktivieren "DTLS" Funktion zu einer Fragmentierung kommen. Der Grund ist der Folgende: Wenn ein Packet über den CAPWAP Tunnel gesendet wird so kommt zum Packet ein kleiner "overhead" des CAPWAP dazu. Dies ist unter normalen Umständen und in den meisten Fällen kein Problem. Kommt jedoch nochmals der "overhead" des "DTLS" dazu, vergrössert sich das Packet dh. mehr als MTU 1500 und somit wird das Packet aufgeteilt dh. es wird eine Fragmentierung durchgeführt. Dies beeinträchtigt die Performance und sollte verhindert werden. Aus diesem Grund empfehlen wir gemäss nachfolgenden Link im WTP Profile dies zu berücksichtigen resp. eine Fragmentierung zu verhindern:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F

Grundsätzlich kann die "Network Configuration" eines Forti Access Point auch auf "Static" gesetzt werden dh. Ein Forti Access Point ist per Standard mit "DHCP" konfiguriert und sollte unter normalen Umständen so konfiguriert sein. Möchte man jedoch für das "wan" Interface des Forti Access Point eine statische IPv4 Adresse vergeben kann dies über Mgmt. Web Interface oder CLI durchgeführt werden. Für eine Konfiguration über CLI lokal auf dem Forti Access Point stehen folgende Konfigurationspunkte zur Verfügung:

       # cfg -a AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
       # cfg -a AP_NETMASK=255.255.255.0                                           [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
       # cfg -a IPGW=192.168.1.1                                                   [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
       # cfg -a AP_MODE=0                                                          [0 (Thin AP)] | 2 (Site Survey)]
       # cfg -a DNS_SERVER=208.91.112.53                                           [Definiert den DNS Server; Standard FortiGuard DNS Server IP]
       # cfg -a BAUD_RATE=9600                                                     [Geschwindigkeit der Console; Standard 9600]
       # cfg -a ADDR_MODE=DHCP                                                     [IP Adressierungs Mode dh. DHCP oder STATIC]
       
       # cfg -c                                                                    [Speicher Konfiguration in das Flash]
       # cfg -s                                                                    [Liste die Konfiguration auf]
       DHCP Konfiguration (Default):
       
       Datei:Fortinet-702.jpg
       Static Konfiguration:
       
       Datei:Fortinet-703.jpg

Damit die Anfragen des Forti Access Point auf den FortiGate Wireless Controller beantwortet wird, muss CAPWAP auf der FortiGate für das "wan" Interface aktiviert werden:

       System > Network > Interface > [Wähle das entsprechende Interface] > Administrative Access > [Aktiviere CAPWAP]
       
       Fortinet-784.jpg
       

Durch die Aktivierung von CAPWAP wird eine "Local-In" Policy erstellt der den Traffic UDP-5246 auf dem "wan" Interface erlaubt. Die "Local-In" Policy erlaubt den UDP-5246 Traffic von jeder Source dh. soll diese eingeschränkt werden kann über die eine manuelle "Local-In" Policy diese Einschränkung konfiguriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel:

            FortiGate-5.0-5.2:FAQ#Was_sind_.22Local_In_Policy.27s.22_und_wie_kann_ich_diese_manipulieren.3F

Wenn nun der Forti Access Point in einer Remote Lokation zB zu Hause benutzt wird so wird folgendes durchgeführt:

       1. Verbinde das "wan" Interface des Forti Access mit dem vorhandenen LAN Segment/Subnet.
          
       2. Dem Forti Access Point wird über DHCP auf das "wan" Interface eine IPv4 Adresse zugewiesen oder das "wan" Interface wurde 
          mit einer LAN IPv4 Adresse aus dem Segment/Subnet statisch konfguriert.
          
       3. Uber das "wan" Interface werden CAPWAP (UDP-5246) Anfragen an die definierte IPv4 Adresse und/oder FQDN an das "wan" 
          Interface des FortiGate Devices gesendet.
          
       4. Da CAPWAP auf dem FortiGate "wan" Interface aktiviert wurde und somit die CAPWAP Anfragen vom FortiGate Wireless Controller
          beantwortet werden, erscheint auf dem FortiGate Device unter "Managed Access Point" der entsprechende Forti Access Point:
          
          WiFi Controller > Managed Access Points 
          
       5. Dem Forti Access Point kann nun das entsprechendes WTP Profile zugewiesen werden.

Als letzten Schritt sollte die DTLS Verschlüsselung kontrolliert werden. Dies kann über das entsprechende WTP Profile sowie auf dem Forti Access Point selber durchgeführt werden:

       FortiGate WTP Profile
       
       Datei:Fortinet-705.jpg
       Forti Access Point
       
       Datei:Fortinet-706.jpg

Wenn man einer der Remote Forti Access Point's einsetzt dh. FAP-11C, FAP-14C sowie FAP-28C hat man nun die Möglichkeit den internen Switch für die lokalen Zwecke zu konfigurieren. Bei der Konfiguration des internent Switches/Hubs ist jedoch folgendes zu berücksichtigen: Ein Port eines Switches kann mit "bridge to SSID" auf die SSID konfiguriert werden. Dies bedeutet: Wenn ein Client/Host sich per RJ-45 auf diesen Port verbindet, wird diesem über den konfigurierten DHCP Server der SSID eine IPv4 Adresse zugewiesen. Wenn dies geschieht, wird keine Authentifizierung für die SSID ausgeführt! Um zB eine Security auf diesen Switch Port für "bridge to SSID" zu konfigurieren, kann der DHCP Server auf "block" gesetzt werden und somit werden vom DHCP Server nur IPv4 Adressen den Clients/Host zugewiesen, wenn diese mit deren MAC Adressen im DHCP Server konfiguriert wurden. Dies wird folgendermassen für den DHCP Server der SSID konfiguriert:

      # config system dhcp server
      # edit [Wähle den entsprechenden Integer für den DHCP Server der SSID zB "1"]
      # set mac-acl-default-action [assign | block]
      # config reserved-Adresse 
      # edit [Setze einen entsprechenden Integer zB "1"]
      # set ip [IPv4-Adresse für IP Reservation]
      # set mac [MAC-Adresse Defintion für IP Reservation]
      # set action [assign | block | reserved]
      # end
      # end

Eine andere Variante ist auf dem Interface der SSID (nicht für die SSID Konfiguration) ein "Captive Portal" zu aktivieren dh. wenn dies geschieht, muss sich der Client/Host in jedem Fall auf dem "Captive Portal" des Interface zuerst authentifizieren bevor er Zugriff erhält. Wie die einzelnen Switch/Hub Ports zu konfigurieren sind siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Remote_Forti_Access_Points_FAP-11C.2C_FAP-14C_und_FAP-28C_die_Switch_Ports_konfigurieren.3F

Desweiteren ist zu berücksichtigen, dass der Traffic des Client/Host der sich über einen Switch/Hub Port der anhand "bridge to SSID" konfiguriert wurde, unweigerlich über CAPWAP zum FortiGate Wireless Controller gesendet wird da die SSID anhand "Tunnel to Wireless Controller" konfiguriert wurde. Möchte der Client/Host jedoch lokale Resourcen ebenfalls erreichen kann ab FortiOS 5.2 ein "Splitt Tunneling" konfiguriert werden. Dies erlaubt einen bestimmten IPv4 Range/Subnet am CAPWAP Tunnel vorbei zu routen. Wie dies konfiguriet wird siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F

Wenn die konfigurierte SSID auf einem Forti Access Point die ebenfalls für die Switch/Hub Ports benutzt wird um "bridge to SSID" zu konfigurieren nicht benötigt wird dh. Client/Hosts die SSID für einen Wireless Zugriff nicht benötigen, sollte diese deaktiviert werden. Dies kann nach Abschluss der Konfiguration im entsprechenden WTP Profile konfiguriert werden in dem der entsprechende "radio" komplett deaktiviert wird!

Wieviel Bandbreite benötigt ein Forti Access Point für CAPWAP in einer Remote Verbindung?

Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP (UDP-5246) für einen Remote Zugriff eines Forti Access Point ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat, dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:

       • Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
       • Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten

Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP bei Notwendigkeit angepasst werden!

LAN Port's / Switch

Wie kann ich für einen Remote Forti Access Points FAP-11C, FAP-14C und FAP-28C die Switch Ports konfigurieren?

Die Remote Forti Access Points wie FAP-11C, FAP-14C und FAP-28C werden mit einem kleinen Switch/Hub ausgeliefert! Bis FortiOS 5.0.4 sowie für Forti Access Points FortiOS 5.0.5 waren diese Ports nicht konfigurierbar dh. konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:

      Fuer die LAN Port Konfiguration gelten folgende Restriktionen:
      
      • Beim FortiAP-14C/25D können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration da es sich
        bei den Ports um ein Hub handelt!
      
      • Jeder Client/Host der sich über die LAN Ports verbindet gilt als Authentifiziert!
      
      • Dynamische VLAN Konfiguration für Client/Host die über die LAN Ports verbunden sind wird nicht unterstützt. Weitere Informationen
        zur Dynamischee VLAN Konfiguration siehe nachfolgender Artikel:
        
        FortiAP:FAQ#Kann_ich_f.C3.BCr_Forti_Access_Point_SSID.27s_.22Dynamische_VLAN.27s.22_vergeben_und_wie_konfiguriere_ich_diese.3F
      
      • RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
      
      • Wenn der/die LAN Port's auf "bridge-to-ssid" gesetzt ist/sind kann DTLS Verschlüsslung aktiviert werden. Dies gilt ab FortiOS 5.0.6 
        und Forti Access Point FortiOS 5.0.7!

Die LAN Ports können sofern gewünscht komplett deaktiviert werden und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden WTP Profile gesetzt. Um die LAN Port's auf der Kommandozeile zu konfigurieren führe folgendes durch:

      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port[Port Nummer]-mode [offline | bridge-to-wan | bridge-to-ssid | nat-to-wan ]
      # end

Die Option "nat-to-wan" steht neu unter FortiOS 5.2 zur Verfügung. Die einzelnen Modi haben folgende Bedeutung:

           • offline              Der Port wird komplett deaktiviert!
           • bridge-to-wan        Auf dem Port wird ein "bridge" auf das WAN Segement ausgeführt. Der Port erhält seine IP aus dem WAN Segement!
           • bridge-to-ssid       Auf dem Port wird ein "bridge" auf die SSID ausgeführt. Der Port erhält seine IP vom DHCP Server der SSID!
           • nat-to-wan           Auf dem Port wird ein "nat" ausgeführt auf den WAN Port. Der Port erhält seine IP vom DHCP Server der SSID!
           Bridge to SSID
           Die LAN Ports können anhand einer SSID mit der Funktion "bridge-to-ssid" versehen werden was folgendes bedeutet: Verbindet sich ein 
           Client/Host über die LAN Ports, wird dem Client über den DHCP Server der für die SSID konfiguriert wurde, eine IPv4 Adresse zugewiesen. 
           Der Traffic des Clients/Hosts, der sich am LAN Port verbindet, wird zum FortiGate Wireless Controller gesendet. Ein "local bridging" 
           ist nicht möglich! Wireless Clients/Hosts die diese SSID benutzen sowie die Clients/Hosts die über den Switch Port verbunden sind,  
           können untereinander uneingeschränkt komunizieren. Es findet keine Authentifizierung auf den LAN Ports statt! Die Clients/Hosts, die 
           über die LAN Ports in diesem Modus verbinden, sind über den folgenden Menüpunkt ersichtlich:
           
           WiFi Controller > Monitor > Client Monitor
           
           Wenn die DTLS Verschlüsselung für "brdige-to-ssid" nicht aktiviert werden kann ist folgendes zu berücksichtigen: Auf dem Forti Access 
           Point steht die DTLS Verschlüsselung per Standard auf "Clear Text oder "DTLS Enabled" dh. der Forti Access Point bietet beides an. Somit 
           steuert der FortiGate Wireless Controller die Funktion. Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
           
           FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F
           Bridge to WAN
           Es wird ein "bridge-to-wan" auf das "wan" Interface des Forti Access Point durchgeführt was folgendes bedeutet: Verbindet sich ein 
           Client/Host über die Switch Ports, wird dem Client/Host über den DHCP Server sofern dieser im "wan" Segment existiert, eine IPv4 
           Adresse zugewiesen. Wireless Clients/Hosts die über eine SSID auf dem Forti Access Point verbunden sind und Clients/Hosts die über 
           die LAN Ports verbunden sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Firewall Policy Rule auf 
           der FortiGate konfiguriert wird die diesen Traffic erlaubt! Somit, wenn dies der Fall ist, wird der Traffic über die FortiGate 
           Device dh. über CAPWAP abgewickelt. DTL kann in diesem Modus nicht aktiviert werden!
           
           NAT to WAN
           Es wird ein "nat-to-wan" auf dem "wan" Port des Forti Access Point durchgeführt dh. die Source des Traffic vom LAN Port wird 
           übersetzt (translated) anhand der IPv4 Adresse die auf dem "wan" Port existiert/konfiguriert wurde.

Die Konfiguration der Switch/Hub Ports kann ebenfalls über Mgmt. Web Interface durchgeführt werden und zwar unter folgender Position sofern es sich um ein WTP Profile eines Forti Access Points handelt der über einen Switch/Hub verfügt:

      WiFi Controller > WiFi Network > Forti/Custom AP Profiles
      
      Fortinet-964.jpg

Wenn die Konfiguration auf der Kommandozeile durchgeführt werden soll muss folgendes durchgeführt werden:

      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port-mode [Gilt für den definierten LAN Port's FAP-14C : offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port-ssid [Name der gewünschten SSID]
      # set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid | nat-to-wan]
      # set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # end
      # set dtls-policy [ dtls-enabled | clear-text]
      # end

Ab FortiOS 5.2 steht neu die Funktion "Split Tunneling" zur Verfügung. Weitere Informationen dazu siehe folgender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_die_Funktion_.22Split_Tunneling.22.3F

Kann ich für einen Forti Access Points für dessen LAN Interfaces eine "Link Aggregation" konfigurieren?

Bis anhin war das nicht möglich. Neu ab FortiOS 5.4.1 ist eine Link Aggregation ausschliesslich für folgende Modelle möglich:

       • FAP-320B und 320C
       NOTE Durch Fortinet Informationen wird ebenfalls explizit erwähnt, dass folgende Forti Access Points keine
            Link Aggregation unterstützen:
            
            • FAP-112B und FAP-112D

Diese Forti Access Point's verfügen über 2 Interfaces und diese können über die Shell des Forti Access Point als Link Aggregation konfiguriert werden. Wie man sich auf einen Forti Access Point über Telnet verbindet wenn dieser zB keine Mgmt. Console verfügt (RS-232) siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Danach muss ein Login durchgeführt werden auf dem Forti Access Point:

      # execute [telnet | ssh] [IPv4 Adresse des Forti Access Point]
      FAP22B3U11011877 login: admin
      
      BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
      Enter 'help' for a list of built-in commands.

Für die Link Aggregation muss folgendes Kommando ausgeführt werden:

       # cfg -a WANLAN_MODE=AGGREGATE

Danach muss die Konfiguration geschrieben werden:

       # cfg -c

Um die geschriebenen Konfiguration auszulesen benutze:

       # cfg -s

Sniffer

Kann ich einen Forti Access Point als Sniffer benutzen um den Traffic aufzuzeichnen (capture)?

Ja diese Möglichkeit existiert jedoch mit folgenden Einschränkungen:

       • Nur ein "radio" pro Aufzeichnung kann benutzt werden um den Sniffer auszuführen (capture)!
       • Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden!
       • Sniffer Mode wird für "radio" für 802.11ac nicht unterstützt (FortiOS 5.2.5 Bug ID 301726)!

Wenn ein "radio" für den Sniffer Mode konfiguriert wurde so wird lokal auf dem Forti Access Point ein File in folgendes Verzeichnis abgelegt:

       /tmp/wl_sniff.pcap
       

Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des Forti Access Point wird durchgeführt, so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none" Persistent Verzeichnis handelt. Aus diesem Grund muss das File vor einem Neustart per TFTP auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren benutze folgende Kommandos:

       # cd /tmp
       # ls
       wl_sniff.cap
       
       # tftp 
       
       BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
       Usage: tftp [OPTIONS] HOST [PORT]
       Transfer a file from/to tftp server
       
       Options:
       
       -l FILE Local FILE
       -r FILE Remote FILE
       -g      Get file
       -p      Put file
             

Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:

       # tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IPv4 Adresse des TFTP Servers] 69

Um einen Forti Access Point in den Sniffer Mode zu versetzen, muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:

       # config radio-1
       # set mode disabled
       # end
       # config radio-2
       # set mode sniffer
       # set ap-sniffer-bufsize 32
       # set ap-sniffer-chan 1
       # set ap-sniffer-addr 00:00:00:00:00:00
       # set ap-sniffer-mgmt-beacon enable
       # set ap-sniffer-mgmt-probe enable
       # set ap-sniffer-mgmt-other enable
       # set ap-sniffer-ctl enable
       # set ap-sniffer-data enable
       # end
       # end

Durch die nachfolgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:

       ap-sniffer-add       Definiert einen spezifischen Client/Host anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
       ap-sniffer-chan      Definiert einen spezifischen "channel"

Sobald die Konfiguration durchgeführt wurde, ist diese über Mgmt. Web Interface der FortiGate ersichtlich:

       Datei:Fortinet-699.jpg

Wenn nun das entsprechende WTP Profile in dem der Sniffer Mode aktiviert wurde einem Forti Access Point zugewiesen wird, so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI lokal auf dem Forti Access Point verifiziert werden:

       # iwconfig

Durch diesen Befehl werden die entsprechenden lokalen Interfaces des Forti Access Point aufgelistet und das entsprechende Interface ist im "monitor" Mode:

       Mode: Monitor

Authentication

Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine "WPA2-Enterprise" Authentifizierung?

Wenn man für Wireless Clients/Hosts eine Authentifizierung implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme! Speziell wenn die Authentifizierung über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin wie das Passwort vom Wireless Client/Host zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung der Passwörter vers. "password hashing schemas" die jedoch nicht kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muesste der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies nicht mehr möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn kein OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte, so ist die bevorzugte Variante eine Radius Server zu implementieren. Diese "Radius Authentication" verifiziert die Credentials des Wireless Clients/Hosts über den Radius Server im Active Directory. Durch diese Art der Authentifizierung wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Wireless Client/Host aus eine Verifizierung des Radius Servers erfolgt, sollte/kann dieser Radious Server anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Trusted CA) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich für die Verifizierung des Radius Servers. Als Radius Server können vers. Produkte eingesetzt werden! Die bevorzugte Variante ist anstelle eines Windows 2008 Server den Fortinet Radius Server zu benutzen resp. den FortiAuthenticator. Weitere Informationen zum FortiAuthenticator findet man unter folgenden Link:

       FortiAuthenticator:FAQ

Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers basierend auf Windows 2008 Server:

       Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf
       Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf

Um die Radius Server Verbindung auf einem FortiGate Device zu troubelshooten resp. einzusehen siehe nachfolgenden Artikel:

       FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F

Wie konfiguriere ich für Forti Access Points eine Authentifizierung für Public HotSpot der Swisscom ?

Nun ein Public HotSpot der Swisscom kennt grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:

       Alte Variante SSID Hot Spot Swisscom
       
       • SSID          MOBILE              (Authentication "Open")
       • SSID          MOBILE-EAPSIM       (Authentication "WPA2-Enerprise" / Radius Port 1645)
       Neue Variante SSID Hot Spot Swisscom
       
       • Swisscom                 (Vorher MOBILE)
       • Swisscom_Auto_Login      (Vorher MOBILE-EAPSIM)

Die Schreibweise der alten/neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten Zeit lanciert werden benützen bereits die neuen SSID's und nicht mehr die alten!

       SSID: MOBILE/Swisscom
       
       Mit der SSID MOBILE oder Swisscom wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu 
       gelangen. Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese 
       SSID aufruft wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom 
       Login etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten 
       Arten wie zB Kreditkarte, Swisscom Login usw.
       SSID: MOBILE-EAPSIM/Swisscom_Auto_Login
       
       Die SSID MOBILE-EAPSIM oder Swisscom_Auto_Login steht ausschliesslich Swisscom Kunden zur Verfügung. Wenn der Kunde 
       diese SSID aufruft, wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius 
       Authentifizierung durchgeführt. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting 
       durchzuführen.

Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE oder Swisscom" sowie "MOBILE-EAPSIM oder Swisscom_Auto_Login" auf einer Fortigate anhand Forti Access Point's durchzuführen ist. Im Beispiel werden nur die alten SSID aufgeführt jedoch sollten die neuen hinzugefügt werden. In unserem Beispiel existiert ein dedizierter Port (port2) der exklusiv für die Swisscom Verbindung benutzt wird und deren Segment darstellt. Nachfolgend einen Ueberblick über das Environment der Swisscom für unser Beispiel:

       Datei:STUE WSTA.pdf
       Datei:STUE WLS.pdf

Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM oder Swisscom_Auto_Login Authentifizierung einen Radius Server. Erstelle diesen unter:

       User > Remote > RADIUS
       Datei:Fortinet-315.jpg

Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server konfiguriert. Dies bedeutet: in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem Verantwortlichen der Swisscom mitgeteilt werden, in welcher Art und Weise die MAC Adresse übermittelt wird um die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen. Diese bdeutet wiederum:

       • Standard Format Beispiel: 0000.4096.3e4a
       • Unformatiert Beispiel:    000040963e4a

Der Swisscom Radius Server in unserem Beispiel arbeitet noch mit dem "old radius port" dh. nicht mit TCP Port 1812 sondern mit TCP Port 1645. Eine FortiGate benützt per Standard TCP Port 1812 und somit muss dieser umkonfiguriert werden auf TCP Port 1645:

       # config system global
       # get | grep radius-port
       # set radius-port 1645
       # get | grep radius-port
       # end
               

Um die Radius Server Konfiguration/Anbindung zu überprüfen siehe nachfolgender Artikel:

       FortiGate-5.0-5.2:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F

Für die Konfiguration der SSID "MOBILE oder Swisscom" und "MOBILE-EAPSIM oder Swisscom_Auto_Login" gehe folgendermassen vor: Als Erstes erstelle die SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM / Swisscom_Auto_Login" unter folgendem Punkt:

       WiFi Controller > WiFi Network > SSID
       Datei:Fortinet-310.jpg
       

Die IPv4 Adresse plus Subnet 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IPv4 Adresse wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

       System > Network > Interface
       Datei:Fortinet-311.jpg
       

Die IPv4 Adresse plus Subnet 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und auf einer Fortigate wird durch diese IPv4 Adresse ein virtuelles Interface unter folgenden Punkt erstellt:

       System > Network > Interface

Nun erstelle ein WTP Profile in dem die zwei/vier SSID's hinzugefügt werden:

       WiFi Controller > Manage Access Points > Custom AP Profile
       
       Datei:Fortinet-312.jpg
       

Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden! Füge die zwei/vier SSID's "MOBILE und Swisscom" und "MOBILE-EAPSIM und Swisscom_Auto_Login" unter SSID den entsprechenden "radio's" hinzu! Nun kann ein Forti Access Point zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein seperates Interface auf einer Fortigate sowie einen DHCP Server auf diesem Interface, dass den Forti Access Point für das Management über den DHCP Server die entsprechende IPv4 Adresse vergibt. In unserem Beispiel haben wir ein dezidiertes Forti Access Point Interface dh. "port1":

       System > Network > Interface
       Datei:Fortinet-313.jpg

Erstelle den dazugehörigen DHCP Server der entsprechenden IPv4 Adressen vergibt für das Management der Forti Access Points:

       System > Network > [Interface] > DHCP Server
       Datei:Fortinet-314.jpg

Nun kann der Forti Access Point an "port1" resp. in diesem IPv4 Segment angeschlossen werden! Damit ein Forti Access Point mit dem FortiGate Wireless Controller komunizieren kann muss CAPWAP (UDP-5246) anhand Broadcast, Multicast sowie Unicast auf diesem Segmment über die Switches erlaubt werden. Nun muss das vorhergehende WTP Profil "Swisscom-HotSpot" auf den entsprechenden Forti Access Points hinzugefügt werden:

       WiFi Controller > Manage Access Points > Manage FortiAP

Sobald der Forti Access Point ersichtlich ist, Doppelklicke den Eintrag dieses Forti Access Point und wähle:

       Authorize

Nun kann unten das entsprechende WTP Profile geladen werden dh. "Swisscom-HotSpot". Wenn das entsprechende WTP Profile dem Forti Access Point zugewiesen wird dauert es ca. 3 - 4 Minuten bis dieser Forti Access Point wiederum mit dem geladenen WTP Profile erscheint! Im Grundsatz sind die Forti Access Point nun konfiguriert und einsatzbereit. Jedoch die angemeldeteten Wireless Clients/Hosts müssen vom DHCP Server der Swisscom eine IPcv4 Adresse zugewiesen bekommen. Bei "MOBILE und Swisscom" geschieht dies "ohne" eine Authentifizierung (Open). Bei "MOBILE-EAPSIM und Swisscom_Auto_Login" wird erst eine IPv Adresse vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden, benötigen wir auf den entsprechenden SSID's einen DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und Swisscom sowie MOBILE-EAPSIM / Swisscom_Auto_Login. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:

       • SSID MOBILE / Swisscom                    (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
       • SSID MOBILE-EAPSIM / Swisscom_Auto_Login  (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
       System > Network > [Interface] > DHCP Server
       
       Datei:Fortinet-316.jpg
       Datei:Fortinet-317.jpg

Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment/Subnet konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE / Swisscom und MOBILE-EAPSIM / Swisscom_Auto_Login Authentifizieren sich in diesem Segment, beziehen die IPv4 Adresse sowie browsen über dieses Segment. Dies bedeutet: sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir eine Policy Route im Layer 4 die vor dem normalen Routing Layer 3 greift:

       Router > Static > Policy Route
       
       Datei:Fortinet-318.jpg
       Datei:Fortinet-319.jpg

Damit die IPv4 Adresse des Radius Server "129.132.254.70" ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:

       Router > Static > Static Route
       
       Datei:Fortinet-320.jpg

Nun fehlt nur noch die Firewall Policy Rule:

       Datei:Fortinet-321.jpg
       Datei:Fortinet-322.jpg

Nun können die ersten Test's durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Interface (port2) einen Sniffer über die Console laufen zu lassen:

       # diagnose sniffer packet port2

Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":

       4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
       4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
       4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
       4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
       4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
       4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
       4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
       4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40

Für das bessere Verständnis Folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM / Swisscom_Auto_Login auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies: Auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):

       Datei:Fortinet-323.jpg

Wie erstelle ich für einen Forti Access Point ein sicheres WLAN Passwort und was ist dabei zu beachten?

Damit niemand in ein WLAN einbrechen kann, sollte als Verschlüsselungsverfahren auf dem Forti Access Point mindestens WPA2 konfiguriert sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken! Ebenso Wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares Paswwort zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB "RK-WLAN-Keygen". Sobald das Tool installiert ist, wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste Variante. Allerdings können dann in dieser Variante auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken abermals um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Forti Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.

Wie kann ich für eine Forti Access Point SSID ein lokales "Captive Portal" konfigurieren?

Ein "Captive Portal" kann dann konfiguriert/benutzt werden, wenn der Traffic der Wireless Clients/Hosts über CAPWAP (UDP-5246) zum FortiGate Wirless Controller übermittelt wird. Dies bedeutet: Ein "Captive Portal" kann nicht benutzt/konfiguriert werden, wenn für eine SSID "Local bridge with FortiAP's Interface" benutzt wird da dieser Traffic nicht zum FortiGate Wireless Controller übermittelt wird sondern direkt über das Interface (Bridge Mode) des Forti Access Point in ein Netzwerk Segement (Local Break-Out). Ein "Captive Portal" wird über folgende Position im Mgmt. Web Interface der FortiGate konfiguriert:

       WiFi Controller > WiFi Network > SSID > Create New > Security Mode > Captive Portal
       Fortinet-1294.jpg

Neu ab FortiOS 5.2 stehen im Zusamenhang mit dem "Captive Portal" neue Funktionen zur Verfügung! Speziell sind zwei Funktionen zu erwähnen dh. "Authentication Portal" sowie "Redirect after Captive Portal". Bei der Position "Authentication Portal" kann nun neu ab FortiOS 5.2 auch ein externes Portal dh. das sich nicht auf der FortiGate befindet, benutzt werden. Die Funktion "Redirect after Captive Portal" ermöglich nun neu die eingegebenen URL des User's nach der Authentifizierung weiterzuverarbeiten! Ebenso kann anhand der "Exempt List" von der "regulären Gruppe" (User Groups) Ausnahmen definiert werden! Diese "Exempt List" kann jedoch nur verwendet werden, wenn die entsprechende Gruppe (User Groups) innerhalb der SSID benutzt wird. Weitere Informationen betreffend der Benutzung sowie Konfiguration eines externen "Captive Portals" siehe nachfolgenden Artikel:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_externes_.22Captive_Portal.22_konfigurieren.3F
            
       Fortinet-1295.jpg
            

Um ein "Captive Portal" innerhalb einer SSID auf der Kommandozeile zu konfigurieren führe folgendes aus:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set security captive-portal
       # set portal type [auth | auth+disclaimer | disclaimer | email-collect]
       # set security-exempt-list [Name der "Exempt List" (config user security-exempt-list)]
       # end
       # end
            

Wenn eine "Exempt List" (security-exempt-list) konfiguiert werden soll muss zuerst diese "Excempt List" definiert werden. Bei der "Exempt List" werden IPv4 Adressen/Subnet/Gruppen definiert die sich nicht anmelden müssen über das "Captive Portal" dh. diese können sich ohne Authentifizierung und ohne "Captive Portal" sowie "Disclaimer" verbinden! Die "Excempt List" wird folgendermassen konfiguriert:

       # config user security-exempt-list
       # edit [Name der Liste
       # config rule
       # edit [Vergebe einen entsprechenden Integer zB 1]
       # set description [Bezeichnung der Liste Optional]
       # set devices [Definition der Device Kategory zB ipad iphone linux-pc; für mehr Info benutze ?]
       # set srcaddr [IPv4 Adresse/Subnet/Gruppen durch Leerschlag getrennt]
       # end
       # end
       # end

Wie kann ich für eine Forti Access Point SSID ein externes "Captive Portal" konfigurieren?

Unter folgenden Artikel sind sind die Möglichkeiten eines "Captive Portals" beschrieben:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F

Wie in diesem Artikel beschrieben, ist es möglich ab FortiOS 5.2.3 ein externes "Captive Portal" zu benutzen anstelle des FortiGate "Captive Portals". Dies sollte dann benutzt werden, wenn das FortiGate "Captive Portal" nicht die HTML/Web Konfiguration zulässt die für das "Captvie Portal" notwendig ist wie zB Dynmaischer Inhalt der Seite usw. da solche Inhalte in den "Replacement Message" Page auf einer FortiGate nicht konfiguriert werden können. Nachfolgend wird gezeigt wie so ein Workflow eines externen "Captive Portal" aussieht:

       L3 External Web Authentication Workflow
       
       Fortinet-1365.jpg
       

In diesem "Workflow" wird ein Beispiel gezeigt im Zusammenhang mit Radius Server dh. zB einem FortiAuthenticator. Dies bedeutet: Ab dem Zeitpunkt "Submit login form (username, password) via a POST method to FGT" werden die entsprechenden Login Informationen zur FortiGate übermittelt und verarbeitet. Ob nun ein Active Directory auf der FortiGate konfiguriert wurde oder Lokale User ist irrelevant dh. Wichtig ist das die entsprechenden Informationen anhand "POST methode" der FortiGate übermittelt werden!

       Konfiguration der SSID mit der Definition des external Captive Portal"
       
       Als Erstes muss eine entsprechende SSID konfiguriert werden. Inerhalb dieser SSID wird das external Captive Portal 
       gewählt mit dessen IPv4 Adresse sowie URL Path. Ebenso muss eine entsprechende Gruppe definiert werden in der sich 
       die User befinden oder auf einen zB Radius Server (FortiAuthenticator) verwiesen wird:
       
       Fortinet-1366.jpg
       
       Für die definierte Gruppe kann ebenfalls eine "Exempt List" definiert werden. Weitere Informationen wie diese zu 
       konfigurieren ist siehe nachfolgenden Artikel:
            
       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_eine_Forti_Access_Point_SSID_ein_lokales_.22Captive_Portal.22_konfigurieren.3F
            
       Wenn die Konfiguration der SSID auf der Kommandozeile durchgeführt werden soll benutze folgende Befehle:
            
       # config wireless-controller vap
       # edit [Name der SSID]
       # set vdom [Name der VDOM per Standard "root"]
       # set ssid [Name der SSID]
       # set security captive-portal
       # set selected-usergroups [Name der Gruppe für die Authentifizierung]
       # set security-exempt-list [Name der "Exempt List"]
       # set security-redirect-url  [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
       # set intra-vap-privacy enable
       # set local-switching disable
       # set external-web [IPv4 Adresse sowie URL Path zum external Captive Portal zB nach unserem Beispiel "192.168.234.51/portal.php"]
       # next
       # end
       
       Wenn die Option "security-redirect-url" nicht gesetzt ist resp. keine entsprechende URL konfiguriert wurde, wird 
       die "Orginal Anfrage" des Users ausfgeführt anstelle des "redirect's". Die "Exempt List" Definition erlaubt "ohne 
       Authentifizerung" auf das externe "Captive Portal" zu zugreifen. Für die Option "security-exempt-list" ist folgendes 
       auszuführen:
       
       # config user security-exempt-list
       # edit [Name der "Exempt List"]
       # config rule
       # edit 1
       # set devices [Name der Devices zB "ip-phone"]
       # next
       # edit 2
       # set srcaddr [Name des Objektes der Source Adressen zB der SSID des "externen" Captive Portals]
       # next
       # end
       # next
       # end
       
       Wenn die Option "external-web" nicht gesetzt wird so wird das "Captive Portal" der FortiGate aufgerufen. In der 
       Option "external-web" muss nicht explizit http oder https aufgeführt werden da http und/oder https über das 
       folgendende Kommando gesteuert wird:
       
       # config user setting
       # set auth-secure-http [disable | enable]
       # end
                 
       Die Option "auth-secure-http" ist per Standard mit "disable" konfiguriert dh. der User wird der ein "http" Anfrage 
       ausführt für eine Authentifizierung wird "nicht" auf "https" weitergeleitet (redirect)!
       Konfiguration der Firewall Policy Rule für den Zugriff auf das externe "Captive Portal"
       
       Nun muss eine sogenannte "Walled Garden Policy" erstellt werden. Dies bedeutet folgendes: In der nachfolgend 
       Firewall Policy Rule wird erlaubt, dass User die verbunden sind mit der SSID des externen "Captive Portals" 
       sich ohne Authentifizierung zu diesem externen "Captive Portal" verbinden dürfen um eine Authentifizierung 
       durchzuführen. Die Option "captive-protal-exempt enable" ermöglicht dies obwohl eine SSID konfiguriert ist 
       mit einer Authentifizierung:
       
       # config firewall address
       # edit [Name des Objekts für die IPv4 Adresse des "external" Captive Portal zB "web-portal-192.168.234.51"]
       # set subnet 192.168.234.51 255.255.255.255
       # next
       # end
       
       # config firewall policy
       # edit [Vergebe einen entsprechender Integer für die Policy]
       # set srcintf [Name der SSID für das "externe" Captive Portal]
       # set dstinf [Name des Interface hinter der sich der "externe" Captive Portal befindet]
       # set srcaddr "all"
       # set dstaddr [Name des Objektes für das "externe" Captive Portal zB "web-portal-192.168.234.51"]
       # set action accept
       # set schedule "always"
       # set service "ALL"
       # set caprive-portal-exempt enable
       # next
       # end

Die Grundkonfiguration für den Zugriff für das externe "Captive Portal" ist nun gegeben. In der SSID wurde das externe "Captive Portal" mit dessen IPv4 Adresse und URL konfiguriert. In unserem Beispiel ist das:

       192.168.234.51/portal.php

Das File "portal.php das unser externes "Captive Portal" darstellt, muss nun die entsprechende HTML/PHP Konfiguration beinhalten um den "Method POST" durchzuführen. Nachfolgend ein Beispiel des Inhaltes ein entsprechendes "portal.php":

     --------------- portal.php ---------------
     
     <?php
      
      define('login', 'login');
      define('success', 'auth=success');
      define('fail', 'auth=failed');
      define('logout', 'logout=ok');
      
      function getLeft($urlstring, $key) 
      {
      	$key_pos = strpos($urlstring, $key);
      	return substr($urlstring, 0, $key_pos);
      }
      
      function getRight($urlstring, $key) 
      {
      	$key_pos = strpos($urlstring, $key);
      	return substr($urlstring, $key_pos);
      }
      
      $myqury = $_SERVER['QUERY_STRING'];
      $auth_string = 'fgtauth';
      $magic = 'magic=';
      $needle = '&';
      $fgt_post = "post=";
      
      if (stristr($myqury, login)) {
      	$pos = strpos($myqury, $fgt_post);
      	if ( $pos > 0 ) {
      		$start = $pos + strlen($fgt_post);
      		$fgt_url = substr($myqury, $start);
      		$post_url = getLeft($fgt_url, $auth_string);
      		$other_var = getRight($fgt_url, $magic);
      		$magic_pair = getLeft($other_var, $needle);
      		$magic_id = substr($magic_pair, strlen($magic));
      
      		$pre_act ='<table width="300" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
      <tr>
      <form name="form1" method="post" action='; 
      		$post_act = '>
      <td>
      <table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
      <tr>
      <td colspan="3"><strong>Test Login</strong></td>
      </tr>
      <input type="hidden" name="magic" value=';
      		$post_magic = '> 
      <tr> 
      <td width="78">Username</td>
      <td width="6">:</td>
      <td width="294"><input name="username" type="text" id="username">
      </td>
      </tr>
      <tr>
      <td>Password</td>
      <td>:</td>
      <td><input name="password" type="text" id="password"></td>
      </tr>
      <tr>
      <td> </td>
      <td> </td>
      <td><input type="submit" name="Submit" value="Login"></td>
      </tr>
      </table>
      </td>
      </form>
      </tr>
      </table>';
      		$login_form = $pre_act . $post_url . $post_act . $magic_id . $post_magic;
      		echo $login_form;
      	} else {
      		echo "login command without post url";
      	}
      }
      
      $mycmd = strtolower($myqury);
      
      switch($mycmd) {
      	case success:
      		echo "here is success page";
      		break;
      	case fail:
      		echo "here is fail page";
      		break;
      	case logout:
      		echo "here is logout page";
      		break;
      }
      
      ?>
     
     --------------- portal.php ---------------

Der letzte Schritt der Konfiguration der nun vollzogen werden muss, ist was durchgeführt werden soll wenn die Authentifizierung auf dem externen "Captive Portal" erfolgreich durchgeführt wurde. Dabei gibt es zwei Möglichkeiten:

       1. In der SSID ist die folgende Option gesetzt:
          
          # config wireless-controller vap
          # edit [Name der SSID]
          # set vdom [Name der VDOM per Standard "root"]
          # set security-redirect-url  [Name der URL die nach einer erfolgreichen Authentifizierung aufgerufen werden soll zB "http://www.also.com"]
          # end
          
          Wenn diese Option benutzt wird so wird der User automatisch nach einer erfolgreichen Authentifizierung zu dieser konfigurierten
          "security-redirect-url" weitergeleitet und es benötigt keine zusätzliche Konfiguration!
       2. In der SSID ist die Option "security-redirect-url" nicht gesetz:
          
          In so einer Situation wird die Orginal URL benützt die der User zu Beginn benutzt hat. Damit der User nach einer erfolgreichen 
          Authentifizierung zu dieser orginal URL weitergeleitet wird, muss die entsprechende "Replacement Message" Group konfiguriert 
          werden. Diese "Replacment Message" Groups arbeiten mit "tags" die dies ermöglichen. Nachfolgend ein Beispiel das für unsere 
          Konfiguration benützt werden kann:
          
          # config system replacemsg auth "auth-success-page"
              set buffer "<html>
            <head>
              <title>
                Firewall Authentication
              </title>
            </head>
            <body>
              If JavaScript is not enabled, please
             <a href=\"%%AUTH_REDIR_URL%%\">
                click here
              </a>
              to continue.
              <script language=\\\"JavaScript\\\">
                window.location=\\\"%%AUTH_REDIR_URL%%?usermac=%%USER_MAC%%&apmac=%%AP_MAC%%&apip=%%AP_IP%%&userip=%%USER_IP%%&device_type=%%DEVICE_TYPE%%&continueURL=%%PROTURI%%&portalAddr=%%PORTAL_ADDR%%&redirectURL=%%AUTH_REDIR_URL%%\\\";
              </script>
            </body>
          </html>"
          end

Weitere Informationen zu den "Replacement Message" Groups siehe auch nachfolgender Artikel:

       FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F

Wie kann ich für einen Forti Access Point Traffic für ein "Captive Portal" ohne Authentifizierung erlauben?

Ein User der eine Anfrage für eine bestimmte Domaine/Zieladresse durchführt, wird automatisch beim ersten Aufruf dieser Domain/Zieladresse zum entsprechenden "Captive Portal" - das für die entsprechende SSID konfiguriert wurde - weitergeleitet. Nachdem der User sich korrekt auf dem "Captive Portal" authentifiziert hat, wird die Anfrage des Users für die Domaine ausgeführt. Wenn man nun für eine bestimmte Domaine/Zieladresse keine Authentifizierung über das "Captive Portal" benützen möchte dh. wenn der User diese Domaine/Zieladresse aufruft, wird dieser direkt "ohne Authentifizierung auf dem Captive Portal" direkt zur entsprechender Domaine/Zieladresse weitergeleitet. Um dies zu konfigurieren muss eine bestimmte Policy erstellt werden und in dieser die Option "captive-portal-exempt" aktiviert werden. Diese Option steht ab FortiOS 5.2 zur Verfügung. Um die Konfiguration durchzuführen führe folgendes aus:

       Erstellen eines Objektes für Domaine die erlaubt werden soll
       
       # config firewall address
       # edit "also.com"
       # set type fqdn
       # set fqdn "also.com"
       # next
       # end
       Erstellen der Firewall Policy und Aktivierung der Option
       
       # config firewall policy
       # edit 
       # set srcintf "[Name der SSID auf dem ein Captive Portal konfiguiert wurde]"
       # set dstintf "wan1"
       # set srcaddr "all"
       # set dstaddr "[Name des Adresss Objektes das wir erstellt haben zB "also.com"]"
       # set action accept
       # set schedule "always"
       # set service "[Gebe den entsprechenden Service an zB HTTP]"
       # set captive-portal-exempt enable
       # set nat enable
       # next
       # end

Wird für eine Forti Access Point SSID Radius Server Authentifizierung die Funktion "Accounting" unterstützt?

Wenn ein zB WPA2-Enterprise Authentifizierung über Radius Server für eine SSID konfiguriert wird so wir Radius "Accounting" ab FortiOS 5.2 unterstützt. Bei der Radius "Accounting" Funktion handelt es sich um folgendes: Bei der Radius Authentifizierung wird IPv4 Adresse sowie Usernamen zum Radius Server übermittelt. Wenn Radius "Accounting" auf dem Radius Server benutzt wird, beginnt nach einer erfolgreichen Authentifizierung eine interne "Zurechnung". Diese interne "Zurechnung" wird benutzt um zu entscheiden ob die konfigurierte Zeit für eine Verbindung abgelaufen ist und/oder wieviel Zeit abgelaufen ist. Je nach Konfiguration zB bei Ablauf einer vorgegebener Zeit auf dem Radius Server, sendet dieser dem zuständigen Device zB der FortiGate eine "Accounting" Nachricht, dass die Authentifizierung des User's/IP abgelaufen ist. Danach wird die Authentifizierung des User's/IP als ungültig erklärt. Dies Art des "Accounting" wird zB bei Wireless HotSpot's wie Swiccom benützt um Abrechnung zu erstellen und/oder Zugriffe zu steuern. FortiOS 5.0 unterstützt keine Radius Server "Accounting" Funktion. Weitere Informationen betreffend dem Radius Protokoll findet man unter folgenden Link:

       http://de.wikipedia.org/wiki/RADIUS_(Protokoll)

Um eine Radius Server "Accounting" Funktion seitens FortiGate zu konfigurieren muss folgendes durchgeführt werden:

       # config user radius
       # edit [Gebe den entsprechenden Namen ein]
       # config accounting-server
       # edit 1
       # set status enable
       # set server [IPv4 Adresse des Radius Servers]
       # set secret [Definition des Preshared Secrets]
       # end
       # set acct-interim-interval [Zeitintervall in Sekunden 600 - 86400 Sekunden]
       # end

Durch diese Konfigurtion sendet die FortiGate dem Radius Server Update Benachrichtigungen betreffend dem "Accounting" durch die konfigurierte "acct-interim-interval" Funktion! Durch die Konfiguration "acct-interim-interval" wird im Hintergrund auf dem API des Radius Servers folgende Information dem Radius Server gesendet, der dieses API unterstüzen/verstehen muss:

       Acct-Interim-Interval=600

Wie wird für eine Forti Access Point SSID Authentifizierung einen MAC Filter (802.11x) Konfiguriert?

Praktisch jeder Wireless Access Point bietet die Möglichkeit den Zugang zur SSID einzuschränken anhand einer vordefinierten und eingetragener MAC-Adresse (Filter). Eine MAC Adresse (Media Access Control) ist ein 48-Bit lange Adresse im Hexadezimalcode. Jeder Netzwerk basierende Device ist mit einer solchen MAC Adresse ausgestattet und diese wird, um den Datenaustausch zu gewährleisten, über "arp request" zwischen den Devices ausgetauscht. Somit wäre diese MAC Adresse eigentlich eine gute Möglichkeit einen Zugriff einzuschränken jedoch ist folgendes zu berücksichtigen:

       Diese MAC Adresse wird nicht durch den Device selber einem Teilnehmer (Device) im Netzwerk weitergegeben sondern über das 
       Betriebssystem. Somit ist es möglich die Information auf dem Betriebssystem zu verändern dh. manuell die Mac Adresse des 
       Devices zu verändern. Dies ist auch bekannt als "MAC-Spoofing" (Vorgabe einer fingierten MAC Adresse). Um ein "MAC-Spoofing" 
       durchzuführen muss man nur den Wireless Traffic sniffen (abhören), denn die Informationen des MAC Adressen Austausch (arp 
       request) werden "clear-text" übertragen. Somit ist eine reine Authentifizierung basierend auf MAC Adressen absolut nicht zu 
       empfehlen kann jedoch als zusätzliche Security Implementation konfiguriert werden!

Nichts desto trotz stellt jedoch eine MAC Adressen basierende Authentifizierung eine gute Möglichkeit dar, den Zugriff zusätzlich einzuschränken. Dabei kann zB der DHCP Server der SSID von "assign" auf "block" gesetzt werden. Dadurch vergiebt der DHCP Server nur IPv4 Adressen an Devices die im DHCP Server mit deren MAC Adressen eingetragen sind (MAC Adress Filer + IP Reservation). Im Zusammenhang mit einer WPA/WPA2 Authentifizierung kann somit durch dies Konfiguration eine zusätzliche Sicherheit gewährleisten werden. Zusätzlich kann ebenfalls eine "Device Authentification" durchgeführt werden dh. es werden nur Devices zugelassen wie zB IPhone's. Nachfolgendes Beispiel zeigt eine solche Erweiterung basierend auf MAC Adressen und Device Authentication. Basis dafür ist eine SSID basierend auf einer "wpa-personal" Authentifizierung. Diese Konfiguration kann jedoch mit jeglicher Authentifizierung durchgeführt werden:

       Erstelle eine neue SSID basierend auf "wpa2-only-personal":
       
       # config wireless-controller vap
       # edit [Name der entsprechenden SSID zB "only4intern"]
       # set vdom "root"
       # set ssid [Name der entsprechenden SSID zB "only4intern"]
       # set intra-vap-privacy enable
       # set security [Setze die entsprechende Security für die SSID zB "wpa2-only-personal"]
       # set passphrase [Passwort für die "wpa-personal" Authentifizierung]
       # end
       Konfiguriere das Interface für die SSID:
       
       # config system interface
       # edit [Name der entsprechenden SSID zB "only4intern"]
       # set ip [IPv4 Adresse für das Interface der SSID zB "192.168.3.1 255.255.255.0"]
       # set allowaccess ping
       # set device-identification enable
       # end
       Definiere für das Interface der SSID eine DHCP Server basierend auf "block":
       
       # config system dhcp server
       # edit [Definiere einen entsprechenden Integer zB "5"]
       # set mac-acl-default-action [Setze den DHCP Server von "assign" auf "block"]
       # set dns-service default
       # set ntp-service default
       # set default-gateway [IPv4 Adresse für Default Gateway zB "192.168.3.1"]
       # set interface [Defniere das Interface für diesen DHCP Server zB "only4intern"]
       # set timezone-option default
       # set netmask [Konfiguriere die Subnet Mask für den IP Range des DHCP Servers zB "255.255.255.0"]
       # config ip-range
       # edit [Definiere einen entsprechenden Integer zB "0"]
       # set start-ip [Definiere die Start IPv4 Adresse des DHCP Servers zB "192.168.3.2"]
       # set end-ip [Definiere die End IPv4 Adresse des DHCP Servers zB "192.168.3.254"]
       # end
       # end
       Trage eine entsprechende MAC Adresse eines Device für den DHCP Server der SSID ein:
       
       # config system dhcp server
       # edit [Gebe einen entsprechenden Integer an zB "5"]
       # config reserved-address
       # edit [Gebe einen entsprechenden Integer an zB "0"]
       # set mac [Definiere die entspechende MAC Adresse zB "94:65:9c:74:47:c6"]
       # set ip [Definiere die IPv4 Adresse die der MAC Adresse zugewiesen werden soll zB "192.168.3.2"]
       # end
       # end

Da der DHCP Server von "assign" auf "block" gesetzt wurde, werden keine IPv4 Adressen durch den DHCP Server vergeben mit Ausnahme für Devices die anhand des "MAC Reservation + Access Control" definiert wurden. Diese Konfiguration kann ebenfalls über Mgmt. Web Interface durchgeführt werden für das entsprechenden Interface des FortiGate Devices dh.:

       System > Network > [Markiere den Eintrag des Interface der SSID] > Edit > DHCP Server > Advanced > MAC Reservation + Access Control > Create New

Unter dieser Positon existiert ein "Standard Eintrag" dh. "Unknown MAC Adresses Block" der zuständig ist das nur definierten MAC Adressen eine IP zugewiesen wird!

       Konfiguriere für den DHCP Server der SSID eine Device Authentication:
       
       # config user device-access-list 
       # edit [Gebe einen Namen ein für die "device-access-list" zB "whitelist"]
       # set default-action deny
       # config device-list
       # edit [Gebe einen Integer ein zB "1"]
       # set device [Definiere den entsprechenden Device zB "iphone" (Für mehr Infos benütze "?"]
       # set action accept 
       # next
       # end
       # end
       
       # config system interface
       # edit only4intern 
       # set device-identification enable
       # set device-access-list [Konfiguriere die entsprechende "device-access-list" zB "whitelist"]
       # next
       # end

Ein Device und/oder eine Gruppe von Devices kann ebenfalls manuell definiert werden. Dies ist über Mgmt. Web Interface über folgenden Menüpunkt verfügbar:

       User & Device > Device > Device definition > Create New

Weitere Informationen beteffend "config user devcie-access-list" findet man auch unter folgenden Artikel:

       FortiGate-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_die_Device_Identification_Funktion_anhand_einer_Mac_Adresse_einen_Device_blocken_.28802.11x.29.3F

Somit kann nur der Device mit der MAC "94:65:9c:74:47:c6" der über ein "IPhone" verfügt und vom DHCP Server die IP Adresse "192.168.3.2" zugewiesen wurde über "wpa2-personal" anhand des entsprechenden "Passwortes" auf die SSID "only4intern" zugreifen. Obwohl eine relativ einfache Security anhand "wpa2-personal" gewählt wurde konnte durch zusätzliche Filter die Security erhöht werden.

Wireless Health

Gibt es eine Möglichkeit die Forti Access Points über den FortiGate Wireless Controller zu überwachen (Health Monitor)?

Natürlich kann man die Forti Access Point über das entsprechende MIB File der FortiGate anhand SNMP überwachen. Die Möglichkeiten über SNMP die Forti Access Points zu überwachen sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die über den FortiGate Wireless Controller angeschlossenen Forti Access Points über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende "Widgets" für die Uberwachung zur Verfügung:

       WiFi Controller > Monitor
       
       Fortinet-796.jpg
       Fortinet-797.jpg

Diese Widget's sind zum Teil basierend auf den Funktionen "ab-bgscan" (Background Scan) und/oder "spectrum-analysis" (Spectrum Analyse). Weitere Informationen siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F

WIDS

Was bedeutet die Funktion "WIDS" (Wireless IDS) innerhalb eines WTP Profiles eines Forti Access Points?

"Wireless IDS" (WIDS) ist ein Intrusion Detection System und steht ab FortiOS 5.0 zur Verfügung sowie überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten (Log). Wenn ein Angriff stattfindet, wird dieser auf der FortiGate ins Wireless Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen:

       • Unauthorized Device Detection
       • Rogue/Interfering AP Detection
       • Ad-hoc Network Detection and Containment
       • Wireless Bridge Detection
       • Misconfigured AP Detection
       • Weak WEP Detection
       • Multi Tenancy Protection
       • MAC OUI Checking

Per Standard existiert ein Standard Profil "default". Dieses Profile wird innerhalb eine Access Point WTP Profiles als "default" automatisch unter FortiOS 5.0 ausgewählt! Dies ist jedoch ab FortiOS 5.2 nicht mehr der Fall dh. für die WIDS Funktion wird per Standard kein Profile automatisch ausgewählt. Gleichzeitig wurde die Funktion des "Rogue AP" die unter FortiOS 5.0 eine seperate Konfiguration war in die WIDS Profile verschoben. Weitere Informationen betreffend "Rogue AP" findet man im nachfolgenden Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F

Das "default" Profile für WIDS enthält folgendes:

       FortiOS 5.0
       
       WiFi Controller > WiFi Network > WIDS Profiles
       
       Fortinet1276.jpg
       
       # config wireless-controller wids-profile
       # edit default
       # get
       name                : default
       comment             : default wids profile
       used-by             :
       wireless-bridge     : enable
       deauth-broadcast    : enable
       null-ssid-probe-resp: enable
       long-duration-attack: enable
       long-duration-thresh: 8200
       invalid-mac-oui     : enable
       weak-wep-iv         : enable
       auth-frame-flood    : enable
       auth-flood-time     : 10
       auth-flood-thresh   : 30
       assoc-frame-flood   : enable
       assoc-flood-time    : 10
       assoc-flood-thresh  : 30
       spoofed-deauth      : enable
       asleap-attack       : enable
       eapol-start-flood   : enable
       eapol-start-thresh  : 10
       eapol-start-intv    : 1
       eapol-logoff-flood  : enable
       eapol-logoff-thresh : 10
       eapol-logoff-intv   : 1
       eapol-succ-flood    : enable
       eapol-succ-thresh   : 10
       eapol-succ-intv     : 1
       eapol-fail-flood    : enable
       eapol-fail-thresh   : 10
       eapol-fail-intv     : 1
       eapol-pre-succ-flood: enable
       eapol-pre-succ-thresh: 10
       eapol-pre-succ-intv : 1
       eapol-pre-fail-flood: enable
       eapol-pre-fail-thresh: 10
       eapol-pre-fail-intv : 1
       FortiOS 5.2
       
       WiFi Controller > WiFi Network > WIDS Profiles
       
       Fortinet1277.jpg
       
       # config wireless-controller wids-profile 
       # edit default 
       # get
       name                : default 
       comment             : Default WIDS profile. 
       used-by             : 
       ap-scan             : enable 
       ap-bgscan-period    : 600
       ap-bgscan-intv      : 1
       ap-bgscan-duration  : 20
       ap-bgscan-idle      : 0
       ap-bgscan-report-intv: 30
       ap-bgscan-disable-day: 
       ap-fgscan-report-intv: 15
       ap-scan-passive     : disable 
       rogue-scan          : disable 
       wireless-bridge     : enable 
       deauth-broadcast    : enable 
       null-ssid-probe-resp: enable 
       long-duration-attack: enable 
       long-duration-thresh: 8200
       invalid-mac-oui     : enable 
       weak-wep-iv         : enable 
       auth-frame-flood    : enable 
       auth-flood-time     : 10
       auth-flood-thresh   : 30 
       assoc-frame-flood   : enable 
       assoc-flood-time    : 10
       assoc-flood-thresh  : 30
       spoofed-deauth      : enable 
       asleap-attack       : enable 
       eapol-start-flood   : enable 
       eapol-start-thresh  : 10
       eapol-start-intv    : 1
       eapol-logoff-flood  : enable 
       eapol-logoff-thresh : 10
       eapol-logoff-intv   : 1
       eapol-succ-flood    : enable 
       eapol-succ-thresh   : 10
       eapol-succ-intv     : 1
       eapol-fail-flood    : enable 
       eapol-fail-thresh   : 10
       eapol-fail-intv     : 1
       eapol-pre-succ-flood: enable 
       eapol-pre-succ-thresh: 10
       eapol-pre-succ-intv : 1
       eapol-pre-fail-flood: enable 
       eapol-pre-fail-thresh: 10
       eapol-pre-fail-intv : 1
       FortiOS 5.4
       
       WiFi Controller > WIDS Profiles
       
       Fortinet-1696.jpg
       
       # config wireless-controller wids-profile 
       # edit default 
       # get
       name                : default
       comment             : default wids profile 
       ap-scan             : disable 
       wireless-bridge     : enable 
       deauth-broadcast    : enable 
       null-ssid-probe-resp: enable 
       long-duration-attack: enable 
       long-duration-thresh: 8200
       invalid-mac-oui     : enable 
       weak-wep-iv         : enable 
       auth-frame-flood    : enable 
       auth-flood-time     : 10
       auth-flood-thresh   : 30
       assoc-frame-flood   : enable 
       assoc-flood-time    : 10
       assoc-flood-thresh  : 30
       spoofed-deauth      : enable 
       asleap-attack       : enable 
       eapol-start-flood   : enable 
       eapol-start-thresh  : 10
       eapol-start-intv    : 1
       eapol-logoff-flood  : enable 
       eapol-logoff-thresh : 10
       eapol-logoff-intv   : 1
       eapol-succ-flood    : enable 
       eapol-succ-thresh   : 10
       eapol-succ-intv     : 1
       eapol-fail-flood    : enable 
       eapol-fail-thresh   : 10
       eapol-fail-intv     : 1
       eapol-pre-succ-flood: enable 
       eapol-pre-succ-thresh: 10
       eapol-pre-succ-intv : 1
       eapol-pre-fail-flood: enable 
       eapol-pre-fail-thresh: 10
       eapol-pre-fail-intv : 1
       deauth-unknown-src-thresh: 10

Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen WIDS Profile Positionen:

       Fortinet-361.jpg
       Fortinet-362.jpg

Split Tunneling

Wie konfiguriere ich für eine Forti Access Point SSID die Funktion "Split Tunneling"?

Wenn ein Forti Access Point zB für Remote benutzt wird, sei es als Remote Zugang und/oder in der Remote Lokation, konnten bis anhin im "Tunnel to Wireless Controller" Mode die lokalen Resourcen nicht direkt angegangen werden da im "Tunnel to Wireless Controller" Mode der Traffic unter FortiOS 5.0 ohne Ausnahme zum FortiGate Wireless Controller gesendet wird. Ab FortiOS 5.2 wurde die neue Funktion "Split Tunneling" implementiert. Dies bedeutet: anhand einer "Split Tunneling" Konfiguration auf der SSID wird definiert welche lokalen Resourcen existieren um den Zugriff direkt über die SSID zu erlauben ohne die SSID als "Local bridge with FortiAP's Interface" zu konfigurieren. Diese neue Funktion wird ausdrücklich nur im "Tunnel to Wireless Controller" Mode empfohlen! VLAN's im Zusammenhang mit der "Split Tunneling" Funktion wird nicht unterstützt. Wie schon erwähnt wird die Konfiguration auf der SSID durchgeführt resp. muss aktiviert werden. Danach muss im entsprechendne WTP Profile des Forti Access Point das "Split Tunneling" konfiguriert werden:

       # config wireless-controller vap
       # edit [Name des entsprechenden SSID Profiles]
       # set split-tunneling enable
       # end
       # config wireless-controller wtp-profile
       # set split-tunneling-acl-local-ap-subnet enable
       # config split-tunneling-acl
       # edit [Gebe einen entsprechenden Integer an zB "1"]
       # set dest-ip [IPv4 Adresse plus Subnet Mask zB "192.168.10.0/24"]
       # end
       # end

Die Option "split-tunneling-acl-local-ap-subent" bezieht sich auf "ganze" Subnet des Forti Access Point und muss nur dann aktiviert werden, wenn das Subnet in dem sich der Forti Access Point befindet als "ganzes" Subnet freigegeben werden soll! Somit wenn nur eine bestimmte IPv4 Adresse freigegeben werden soll, muss diese Option nicht aktiviert werden und die einzelne IPv4 Adressen können unter "dest-ip" definiert werden. Wenn die Funktion des "split-tunneling" benutzt wird ist folgendes zu berücksichtigen: Im Fall eines aktivierten "split-tunnling" wird ein "NAT" (Network Address Translation) durchgeführt dh. der Client der über eine SSID verbunden ist und eine Anfrage an eine IPv4 Adresse die für ein "split-tunneling" konfiguriert ist, wird hinter der Management IPv4 Adresse des Forti Access Point ein Source NAT durchgeführt (Hide behind outgoing Interface). Somit komuniziert der Wireless Client/Host zur Destination IPv4 Adresse als Source IPv4 Adresse diese Management IPv4 Adresse des Forti Access Point und nicht die IPv4 Adresse die dem Wireless Client/Host über die SSID zugewiesen wurde. Die Management IPv4 Adresse des Forti Access Point, ist die IPv4 Adrresse die dem Forti Access Point zugewiesen wird, wenn sich der Forti Access Point zum Forti Wirless Controller verbindet (CAPWAP).

CAPWAP / DTLS

Wieviel Bandbreite steht mir über CAPWAP auf einem FortiGate Wireless Controller für Forti Access Points zur Verfügung?

Wenn Forti Access Point über den FortiGate Wireless Controller verwaltet werden und dabei SSID benutzt werden im "Tunnel to Wireless Controller" Mode, stellt sich die Frage wieviel Bandbreite für diese Forti Access Point über CAPWAP zur Verfügung steht. Dies bedeutet: Die CAPWAP Bandbreite gibt die maximale Grösse an die eine FortiGate Wireless Controller verarbeiten kann betreffend Forti Access Points Traffic. Somit wird die CAPWAP Grösse nicht pro Forti Access Point berrechnet sondern als Totale Bandbreite die zur Verfügung steht. Neu wird diese CAPWAP Bandbreite in den FortiGate Datasheet's aufgeführt als HTTP was wiederum bedeutet: Um eine Referenz zu erhalten wird die Bandbreite anhand des HTTP Protokolls referenziert. Weitere Informationen siehe nachfolgendes Dokument:

       Fortinet:ProduktInfo#FortiGate

Somit steht diese CAPWAP Bandbreite ebenfalls in Zusamenhang mit den maximal Anzahl Forti Access Points die über einen FortiGate Wireless Controller verwaltet werden können. Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Wieviele_Forti_Access_Points_k.C3.B6nnen_.C3.BCber_eine_FortiGate_Wireless_Controller_konfiguriert_werden.3F

Nachfolgend eine Kurzübersicht über diesen "CAPWAP HTTP Throughput" für die Fortinet Produktelinie:

       Fortinet-1357.jpg

Wenn eine FortiGate Device über einen NP6 verfügt, kann dieser grundsätzlich den Traffic beschleunigen (Acceleration). Jedoch ist diese Funktion unter FortiOS 5.2 deaktiviert und nicht in Benutzung. Ab FortiOS 5.4 wird diese Funktion per Standard aktiviert um somit betreffend CAPWAP eine Beschleunigung zu ermöglichen.

Wird der CAPWAP Traffic zwischen einem FortiGate Wireless Controller und Forti Access Pointse verschlüsselt?

Der Traffic zwischen dem Ethernet "wan" Interface eines Forti Access Point und dem FortiGate Wireless Controller wird über einen CAPWAP Tunnel gesendet/empfangen. Dabei wird dieser Traffic "encapsulated" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen dem FortiGate Wireless Controller und den Forti Access Point kann die DTLS Verschlüsselung ab FortiOS 5.0 Optional aktiviert werden. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F

Wie werden Forti Access Point über einen FortiGate Wireless Controller verwaltet/konfiguriert (CAPWAP)?

Der Standard der benutzt wird um die Forti Access Point über einen Fortigate Wireless Controller zu konfigurieren/verwalten ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:

       http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol

Die Ports die benutzt werden für CAPWAP sind per Standard:

       UDP 5246 und 5247

Ab FortiOS 5.0.3 kann die CAPWAP Funktion auf den jeweiliegen FortiGate Interfaces über die "Administrative Access" Funktion aktiviert und deaktiviert werden.

       System > Network > Interfaces > [Wähle das entsprechende Interface] > Administrative Access > CAPWAP

Durch die Aktivierung von CAPWAP auf einem FortiGate Interface wird im Hintergrund eine automatische "Local-In" Policy konfiguriert, die den Traffic von CAPWAP vom Segment gemäss der Konfiguration des Interfaces und auf die IPv4 Adresse des FortiGate Interfaces zulässt. Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat's basierend dh. Anhand Zertifikate auf dem FortiGate Wireless Controller sowie auf dem Forti Access Point! Per Standard ist der "Data Channel" der durch die Wireless Clients/Hosts benutzen wird um Ihre Daten zu senden sowie zu empfangen "clear-text". Um diesen "Data Channel" zu Verschlüsseln kann die DTLS Funktion auf dem FortiGate Wireless Controller aktiviert werden. Weitere Informationen dazu seieh nachfoglender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F

Wenn es betreffend Wireless Clients/Hosts im Zusammenhang mit DTLS Verschlüsselung zu Performance Problemen kommt, die zurück zu führen sind auf Defragmentierung, gibt folgender Artikel Auskunft was getan werden kann:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_innerhalb_des_CAPWAP_Tunnel_eine_IP_Fragmentierung_verhindern.3F

Wenn DTLS Verschlüsselung aktiviert wird so wird empfohlen den oberen Artikel zu berücksichtigen und die Konfiguration zur Verhinderung einer Fragmentierung durchzuführen!

Wie konfiguriere ich für ein Forti Access Point WTP Profile eine "Data Channel Encryption" (DTLS)?

DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic der Wireless Clients/Hosts, der vom Forti Access Point "wan" Interface zum FortiGate Wireless Controller übermittelt wird, innerhalb CAPWAP als "Data Channel" zu verschlüsseln. Somti wird der "Data Channel" "encapsulated" im CAPWAP. Per Standard wird dieser Traffic nicht verschlüsselt (clear-text). Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen, dasd beide Seiten dh. der FortiGate Wireless Controller und der Forti Access Point gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert. Ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate Wireless Controller sowie den Forti Access Point etabliert. Dabei ist die nötige Performance, die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "clear-text" sowie "dtls" auf den Forti Access Point aktiviert. Somit kann über den FortiGate Wireless Controller die Funktion gesteuert werden. Wenn auf dem FortiGate Wireless Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funktion "dtls" und/oder "clear-text" wird im entsprechenden Access Point Profile konfiguriert. Wenn die "automatic" Funktion (kein WTP Profile) die ab FortiOS 5.0 zur Verfügung steht benutzt wird, kann nur "clear-text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren führe folgendes durch:

       Auf dem FortiGate Wireless Controller:
       
       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden Profils]
       # set dtls-policy ["dtls-enabled" oder "clear-text"]
       # end
       Auf dem FortiAP:
       
       # cfg -a AC_DATA_CHAN_SEC=1
       # cfg -c

Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:

       • 0 is Clear Text
       • 1 is DTLS Enabled
       • 2 is Clear T ext or DTLS Enabled (default)

Unter FortiOS 5.4 gibt es für DTLS eine zusätzliche Option um DTLS direkt im Kernel zu aktivieren dh. da DTLS im Kernel direkt aktiviert ist, wird die Funktion Perfomanter resp. schneller da die Funktion für DTLS direkt im Memory über den Kernel durchgeführt wird. Um diese Funktion zu aktivieren benutze folgendes CLI Kommando:

       Auf dem FortiGate Wireless Controller:
       
       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden Profils]
       # set dtls-in-kernel [enable | disable]
       # end

Die Konfiguration auf dem Forti Access Point solle untern normalen Umständen nicht verändert werden da die Standard Konfgiguration "AC_DATA_CHAN_SEC=2" ist was wiederum bedeutet: Der Forti Access Point akzeptiert "clear-text" und/oder "dtls". Dies bedeutet wiederum die Funktion der DTLS Verschlüsselung kann über den FortiGate Wireless Controller gesteuert werden und muss auf dem Forti Access Pont nicht konfiguriert werden da dieser beide Methoden anbietet. Ebenfalls ist es für ein Troubleshooting möglich die Funktion ohne die Konfiguration zu ändern vorübergehend zu deaktivieren. Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_einen_Forti_Access_Point_die_DTLS_Funktion_f.C3.BCr_ein_Troubleshooting_vor.C3.BCbergehend_deaktivieren.3F

Wie kann ich für einen Forti Access Point innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern?

Die MTU Size auf den meisten Betriebsystemen ist auf max MTU Size 1500 gesetzt. Dieser Wert stellt eher ein suboptimalen Wert dar dh. wenn ein Wireless Client/Host ein grosses Packet über ein Forti Access Point sendet verfügt dieses Packet über eine max. MTU Size von 1500. Da dieses Packet auf dem Forti Access Point verschlüsselt werden muss, um über den CAPWAP Tunnel versendet zu werden, muessen Informationen zum 1500 MTU Size grossen Packet hinzugefügt werden. Geschieht dies, kann dieses Packet nicht mehr in einem Packet versendet werden da die Grösse max MTU Size 1500 übersteigt. Somit müssen in dieser Situation zwei Packete versendet werden. Dies stellt eine Defragmentierung dar und beieinträchtigt die Performance da anstelle eines Packets zwei Packete versendet werden müssen. Unter normalen Umständen geschieht dies nicht auf den Forti Access Point zurück zuführen auf den "overhead" des CAPWAP Tunnels da diese Information sehr klein sind. Wird jedoch DTLS Verschlüsselung aktiviert, muss diese Information auf dem Forti Access Point ebenfalls zu den existierendnen Headers hinzugefügt werden und dabei kommt es mit ziemlich grosser Sicherheit zu einer Fragmentierung. Die DTLS Strucktur sieht folgendermassen aus:

       DTLS Packet Structure and Fields
       
       I’ve been digging into the DTLS packet structure, looking for free bytes for some security related ideas I have been playing with.
        This following is the DTLS packet structure:
        | Type | Version | Epoch | Sequence Number | Length | IV | Data | MAC | Padding |
        Type = (1 byte), Version (2 byte)
        Epoch is incremented each rekey (2 byte)
        Seq Num incremented per packet (6 byte)
        Epoch + sequence number = IV for MAC
        Length (2 byte) = IV + MAC + Padding
        IV = Initial Vector = randomizer / seed used by encryption
        Encrypted section: Data, MAC, Padding
        MAC uses epoch and seq number for its sequence number (similar to an IV)
        Padding added to get block size for crypto (16 or AES, 8 for DES)

Aus diesem Grund wird empfohlen im Zusammehang mit DTLS Verschlüsselung die nachfolgend Konfiguration durchzuführen. Durch diese nachfolgende Konfiguration wird der Wireless Client/Host angewiesen kleinere Packete zu versenden (max. transmission unit) anstelle der max. MTU Size 1500 um einen Fragementierung durch zusätzlich hinzugefügte TCP Header Informationen zu verhindern. Dabei ist folgendes zu berücksichtigen: Die Grösse der MTU Size hängt von der Punkt zu Punkt Verbindung ab dh. eine MTU Size wird immer über Punkt zu Punkt Verbindung verifiziert dh. Wenn die MTU Size auf zB 1442 gesetzt ist und der CAPWAP Tunnel wird zu einem FortiGate wan1 Interface aufgebaut und dieses ist auf 1462 gesetzt kommt es unweigerlich zur Fragementierung. Dies bedeutet ebenfalls die MTU Size Grösse unterliegt in erster Linie dem kleinsten Wert in einer Punkt zu Punkt Verbindung. Auf dem Forti Access Point dürfen somit nicht grössere Packete als der kleinste Wert in der Punkt zu Punkt Verbindung übermittelt werden. Somit ergiebt sich für den MTU Wert für einen Forti Access Point:

       [Kleinster Wert der Punkt zu Punkt Verbindung] Minus [DTLS Crypto Packet Size] = [Wert für "ip-fragment-preventing"]

Für die Option "ip-fragment-preventing" stehen zwei Optionen zur Verfügung dh. "tcp-mss-adjust" oder "icmp-unreachable". Dabei ist folgendes zur berücksichtigen. Die Option "tcp-mss-adjust" ist eine Funktion (1 bit) innerhalb eines TCP Headers. Somit wird durch "tcp-mss-adjust" ausschliesslich TCP unterstützt und nicht UDP. Aus diesem Grund empfehlen wir "icmp-unreachable" da diese Funktion TCP und UDP unterschtützt. Die Funktion "ip-fragment-preventing" kann folgendermassen konfiguriert werden:

       # config wireless-controller wtp-profile
       # edit [Wähle das entsprechende Profile]
       # set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
       # set tun-mtu-uplink [0 | 576 | 1500]
       # set tun-mtu-downlink [0 | 576 | 1500]
       # end
       # end
       tcp-mss-adjust
       Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den Forti Access Point den Wireless Client ein "max sgement size" (MSS) 
       zu senden. Der Forti Access Point fügt dem "SYN" TCP Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client 
       mit dem Forti Access Point Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink" 
       und somit kann der Forti Access Point den Overhead des CAPWAP/DTLS hinzufügen und eine Fragmentierung verhindern.
       icmp-unreachable
       Ist per Standard deaktiviert und bedeutet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, dass der Forti
       Access Point Packete verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine Fragmentierung.
       Wenn dies eintrifft, sendet der Forti Access Point ein Packet zum Wireless Controller:
       
       Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
       
       Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
       tun-mtu-uplink
       Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)! 
       tun-mtu-downlink 
       Per Standard auf "0" gesetzt (Setze den entsprechenden TCP MTU Wert)!

Wie kann ich für einen Forti Access Point die DTLS Funktion für ein Troubleshooting vorübergehend deaktivieren?

Die DTLS Funktion dh. "Data Channel Encryption" wird im entsprechenden WTP Profile eines Forti Access Point aktiviert resp. deaktiviert. Da auf dem Forti Access Point die DTLS Funktion auf "clear-text und "DTLS" zur Verfügung steht, kann die Funktion über den FortiGate Wireless Controller gesteuert resp. konfiguriert werden dh. im entsprechenden WTP Profile aktiviert und/oder deaktiviert werden. Wenn aus irgendwelchen Gründen dies nicht möglich ist und die Funktion nur vorübergehend deaktiviert werden soll, kann dies über "diagnose wireless" Funktion für einen entsprechenden Forti Access Point durchgeführt werden. Dazu muss folgendes ausgeführt werden:

       Liste alle Forti Access Points auf dem FortiGate Wirless Controller auf:
       
       # config wireless-controller wtp
       # get
       == [ FAP14C3X13000543 ]
       wtp-id: FAP14C3X13000543    
       == [ FP221C3X14001296 ]
       wtp-id: FP221C3X14001296    
       == [ FAP21D3U14000144 ]
       wtp-id: FAP21D3U14000144    
       == [ FAP24D3X14000101 ]
       wtp-id: FAP24D3X14000101 
       # end
       Aktiviere vorübergehend die "plain-ctl" Funktion (DTLS deaktiviert) auf einem entsprechenden Forti Access Point:
       
       # diagnose wireless wlac plain-ctl FAP21D3U14000144 1
       
       WTP 0-FAP21D3U14000144 Plain Control: enabled

Wenn die Option "1" benutzt wird so wird auf dem FortiGate Wireless Controller die Funktion "Plain Control" aktiviert. Wenn nachträglich die Option "0" benutzt wird so wird die "Plain Control" wiederum deaktiviert! Ebenso kann die Funktion "plain-ctl" Lokal auf dem Forti Access Point über "telnet" aktiviert resp. deaktiviert werden. Nachfolgender Artikel gibt Auskunft wie man Zugriff über "telnet" auf einen Forti Access Point erlangt:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
       Aktiviere dei "plain-ctl" Funktion auf dem Forti Access Point:
       
       Nachdem einloggen kann folgendes Kommando Lokal auf dem Forti Access Point eingegeben werden um die "plain-ctl" Funktion zu aktivieren:
       
       # cw_diag plain-ctl 1
       Nachdem Troubleshooting deaktiviere die "plain-ctl" Funktion (DTL aktiviert) auf einem entsprechenden Forti Access Point:
       
       # diagnose wireless wlac plain-ctl FAP21D3U14000144 0
       
       WTP 0-FAP21D3U14000144 Plain Control: disabled
       
       Ebenfalls muss auf dem entsprechenden Forti Access Point die "plain-ctl" Funktion deaktiviert werden:
       
       # cw_diag plain-ctl 0

Weitere Informationen zur Funktion DTLS siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Forti_Access_Point_WTP_Profile_eine_.22Data_Channel_Encryption.22_.28DTLS.29.3F

Channel

Welche Radio "channel" muss ich auf dem Forti Access Point für verschiedenen Ländern benutzen?

Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:

       Datei:Fortinet-304.jpg
       

Für den 5 GHz "channel" ist dabei der DFS (Dynamic Frequency Selection) Support der einzelnen Forti Access Points zur Verfügung steht zu berücksichtigen! Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F
       Datei:Fortinet-305.jpg
       Datei:Fortinet-306.jpg

Was bedeutet es wenn ein Forti Access Point über den DFS (Dynamic Frequency Selection) Support verfügt?

Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden und zwar so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wird. Dadurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLAN's gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wird, muss unverzüglich ein Wechsel des Kanals initiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Forti Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar nur auf spezifischen Fortinet Modellen wie:

       • FAP-221B/C   Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
       • FAP-222C     Ab FortiOS 5.2.3 und nur für "European Union"
       • FAP-320B/C   Ab FortiOS 5.0.8 / 5.2.0 und nur für "European Union"
       • FAP-321C     Ab FortiOS 5.4.2 und nur für "European Union"
       • FAP-323C     Ab FortiOS 5.4.2 und nur für "European Union"
       • FAP-421E     Ab FortiOS 5.4.2 und nur für "European Union"
       • FAP-S421E    Ab FortiOS 5.4.2 und nur für "European Union"
       • FAP-423E     Ab FortiOS 5.4.2 und nur für "European Union"
       • FAP-S423E    Ab FortiOS 5.4.2 und nur für "European Union"
       • FAP-S422E    Ab FortiOS 5.4.2 und nur für "European Union"
       Fortinet-843.jpg
       Datei:DFS Europe.pdf

Grundsätzlich gilt folgendes:

       Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:
       
       UNI1  : 4 Kanäle 
       UNI2  : 4 Kanäle 
       UNI2e : 7 Kanäle 
       UNI3  : 4 Kanäle 
       Für die Schweiz gilt:
       
       Indoor:  Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
                Channels: 36 40 44 48 52* 56* 60* 64* 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
                
                * Nur mit DFS Support!
       
       Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz) 
                Channels: 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
                
                * Nur mit DFS Support! 

Somit gilt als komplett Uebersicht im 2.4 GHz und 5 GHz Bereich Folgendes:

       • WLAN 2.4 GHz nach dem Standart IEEE 802.11b/g darf auf den Kanälen 1-13 mit einer Leistung von
         100 mW EIRP innerhalb und ausserhalb von Gebäuden betrieben werden.
       
       • WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen 34-48 mit einer Sendeleistung 
         von 200mW EIRP nur innerhalb von Gebäuden betrieben werden.
        
       • WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen 52-64 mit einer Sendeleistung
         von 200mW EIRP (100mW ohne TPC) nur innerhalb von Gebäuden betrieben werden. DFS muss 
         aktiviert sein.
         
       • WLAN 5 GHz nach dem Standart IEEE 802.11a/h darf auf den Kanälen 100-140 mit einer Sendeleistung
         von 1W EIRP (500mW ohne TPC) innerhalb und ausserhalb von Gebäuden betrieben werden. DFS 
         muss aktiviert sein.

Weitere technische Informationen zum DFS findet man auch unter folgenden Link:

       http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
       http://en.wikipedia.org/wiki/List_of_WLAN_channels
       
       http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de

Was bedeutet "overlapping wifi channels" für einen Radio eines Forti Access Point Konfiguration?

Wireless Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channel) genannt. Einer der Gründe, dass eine Verbindung Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird durch andere Forti Access Points oder fremde Access Poinst. Dadurch wird die Verbindung und schlussendlich die Performance beeinträchtigt. Aus diesem Grund sollte man dieses "overlapping" möglichst verhindern. Nachhfolgend eine Abbildung für den 2.4 GHz sowie 5 GHz Bereich der die verschiedenen Kanäle aufzeigt und dadurch entstehendes "overlapping":

       Datei:Fortinet-330.jpg

Um herauszufinden welchen Kanal in der Umgebung verwendet wird durch eigenen Forti Access Point oder fremde Access Points, kann der Monitor auf dem FortiGate Wireless Controller benutzt werden. Siehe auch:

       FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F
       FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F

Dies bedeutet: man setzt einen "radio" auf einem Forti Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Somit muss in erster Stelle die Umgebung kurz analysiert werden um festzustellen welche Kanäle bereits benutzt werden. Danach kann im entsprechednen WTP Profile die entsprechenden Kanäle speziell im 2.4 GHz Bereich ausgewählt werden. Alle Kanäle zB im 2.4 GHz Bereich zu aktivieren und "Radio Resource Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar das "Radio Resource Provisioning" (DARRP) in jedem Fall zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zum "Radio Resource Provisioning" siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F

Desweiteren ist folgendes zu berücksichtigen: Wird eine Umgebung mit mehreren Forti Access Points aufgebaut ist es nicht zu empfehlen für alle Forti Access Points obwohl es sich um die gleichen Modelle handelt das gleiche WTP Profile zu benutzen. Wenn dies dennoch konfiguriert wird und der FortiGate Wireless Controller bemerkt ein "overlapping" wird da alle Forti Access Point das gleiche WTP Profile benutzen für alle den Kanal gewechselt. Damit sollten logisch gesehen für eine Umgebung mit mehreren Forti Access Point diese anhand mehrerer WTP Profiles betrieben werden. Konkret bedeutet dies folgendes: Muss eine Umgebung aufgebaut werden in einem Gebäude zB 3 Stockwerke sollten für jedes Stockwern mind ein WTP Profile konfiguriert werden mit unterschiedlichen Kanälen. Zustätzlich sollte analysiert werden ob die einzelnen Forti Access Points in den einzelnen Stockwerken oder über die einzelnen Stockwerke hinweg sich sehen. Ist dies der Fall sollte auch hier einzelne WTP Profiles konfiguriert werden. Dies kann mit einem einfachen Trick bewerkstelligt werden. Ueber Mgmt. Web Interface oder über CLI konfiguriere ein entsprechendes WTP Profile. Nach der Konfiguration führe auf der CLI folgendes aus:

       # show wirless-controller wtp-profile [Name des konfigurierten WTP Profiles]

Danach wird als Beispiel folgendes ausgegeben auf der CLI:

       config wireless-controller wtp-profile
           edit "FAP-1-Stock-Rechts"
               set comment "FortiAccess Point FAP221C Stock 1 Rechts"
               config platform
                   set type 221C
               end
               set ap-country CH
               config radio-1
                   set band 802.11n
                   set wids-profile "local-default.local"
                   set darrp enable
                   set vap-all disable
                   set vaps "fortinet4guest" "fortinet4intern"
                   set channel "3" "8" "13"
               end
               config radio-2
                   set band 802.11ac
                   set darrp enable
                   set vap-all disable
                   set vaps "fortinet4guest" "fortinet4intern"
                   set channel "36" "40" "44" "48" "52" "56" "60" "64"
               end
           next
       end

Nun kopiere den "output" in ein Text File und ändere folgende Position ab:

       config wireless-controller wtp-profile
           edit "FAP-1-Stock-Links"
               set comment "FortiAccess Point FAP221C Stock 1 Links"
               config platform
                   set type 221C
               end
               set ap-country CH
               config radio-1
                   set band 802.11n
                   set wids-profile "local-default.local"
                   set darrp enable
                   set vap-all disable
                   set vaps "fortinet4guest" "fortinet4intern"
                   set channel "1" "6" "11"
               end
               config radio-2
                   set band 802.11ac
                   set darrp enable
                   set vap-all disable
                   set vaps "fortinet4guest" "fortinet4intern"
                   set channel "36" "40" "44" "48" "52" "56" "60" "64"
               end
           next
       end

Führe dies durch führ jedes WTP Profile resp. Forti Access Point. Danach kann der "output" wiederum 1:1 per copy/paste in die CLI des FortiGate Devices reinkopiert werden. Nun als letzten Schritt muss nur noch das entsprechende WTP Profile dem entsprechenden Forti Access Point zugewiesen werden. Somit verfügt jeder Forti Access Point über sein eigenes kontrollierbares und konfigurierbares WTP Profile und kann bei Problemen angepasst werden. Diese granulare Konfiguratin gewährleistet eine optimale Konfiguration und dauert einige Minuten die zu vernachlässigen sind.

Wie kann ich auf einem Forti Access Point herausfinden welche "channel" ich benutzen soll um "overlapping" zu verhindern?

Wenn ein Forti Access Point eigerichtet wird, müssen die "channel" (Kanäle) speziell im 2.4 GHz Bereich definiert/konfiguriert werden. Dazu stehen in der Schweiz 13 Kanäle für den 2.4 GHz Bereich zur Verfügung. Alle Kanäle zu selektieren sowie "Radio Resource Provisioning" (DARRP) wäre die falsche Vorgehensweise da es so gezwungenermassen zu Problemen kommt sowie zu einem "ovelapping wifi channels"t. Weitere Informationen zu den Länderspezifischen Channels sowie "Radio Resource Provisioning" siehe folgende Artikel:

       FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F
       FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F
       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F

Daher benötigt es speziell im 2.4 GHz Bereich eine Analyse der bereits benutzten "channel" in der Umgebung. Dies kann über die "dedicated monitoring" Analysiert werden. Eine weitere Variante wäre auf einem Client/Host die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:

       FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_einem_Forti_Access_Point_auftreten.3F

Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhelfen dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" Forti Access Point die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channel's" unter der Spalte "overlap-ap" aufgelistet. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese "channel" aufgeführt. Aus diesen Informationen können dann die freien Kanäle ausgewählt werden die im WTP Profile konfiguriert werden:

       # get wireless-controller rf-analysis
       WTP: FAP14C3X13000543  0-193.193.135.70:5246
            channel    rssi-total   rf-score     overlap-ap   interfere-ap
                 1      90           7            6            11
                 2      45           10           0            11
                 3      127          4            2            11
                 4      33           10           0            11
                 5      38           10           3            16
                 6      19           10           0            10
                 7      23           10           0            10
                 8      45           10           0            8
                 9      192          1            5            16
                10      57           9            0            13
                11      46           10           0            13
                12      63           9            0            13
                13      231          1            8            13
                14      53           10           0            8
       
       WTP: FAP22B3U11011877  0-192.168.3.3:5246
            channel    rssi-total   rf-score     overlap-ap   interfere-ap
                 1      153          2            6            12
                 2      91           7            0            12
                 3      270          1            3            12
                 4      76           8            0            12
                 5      76           8            3            17
                 6      33           10           0            11
                 7      33           10           0            11
                 8      50           10           0            8
                 9      214          1            5            16
                10      68           8            0            13
                11      62           9            0            13
                12      89           7            0            13
                13      329          1            8            13
                14      79           7            0            8
                40      216          1            9            9
                44      30           10           4            4
                48      70           8            2            2
       
       Controller: FGT60D4613048017-0
            channel    rssi_total
                 1      243
                 2      136
                 3      397
                 4      109
                 5      114
                 6      52
                 7      56
                 8      95
                 9      406
                10      125
                11      108
                12      152
                13      560
                14      132
                40      216
                44      30
                48      70

Die empfohlene Vorgehensweise um die Kanäle zu wählen ist immer zwischen den verschiedenen "channel" mindestens 4 freizulassen. Dies wäre Optimal kann jedoch nicht immer speziell im 2.4 GHz Bereich konfiguriert werden. Es kann auch anhand der "wtp-id" (Serien Nummer) nur ein spezifischer Forti Access Point aufgelistet werden:

       # get wireless-controller rf-analysis FAP22B3U11011877
       
       WTP: FAP22B3U11011877  0-192.168.3.3:5246
            channel    rssi-total   rf-score     overlap-ap   interfere-ap
                 1      153          2            6            12
                 2      91           7            0            12
                 3      270          1            3            12
                 4      76           8            0            12
                 5      76           8            3            17
                 6      33           10           0            11
                 7      33           10           0            11
                 8      50           10           0            8
                 9      214          1            5            16
                10      68           8            0            13
                11      62           9            0            13
                12      89           7            0            13
                13      329          1            8            13
                14      79           7            0            8
                40      216          1            9            9
                44      30           10           4            4
                48      70           8            2            2

Desweiteren kann mit folgenden Befehl alle Fortti Access Point's augelistet werden, die durch den Scan erkannt werden:

       # get wireless-controller scan
       CMWF VF  SSID                BSSID              CHAN RATE SIGNAL NOISE  INT CAPS ACT LIVE  AGE WIRED
                                                                (dBm)  (dBm)
       UNNN 0                       00:09:0f:95:30:f0    8   11M  -91    -95   100 ESs   N  336613 52253   ?    WME VEN VEN ATH
       UNNN 0                       12:09:0f:95:30:f0    8   11M  -92    -95   100 ESs   N  336639 52253   ?    WME VEN VEN ATH
       UNNN 0                       22:09:0f:95:30:f0    8   11M  -92    -95   100 ESs   N  336639 52253   ?    WME VEN VEN ATH
       UNNN 0                       32:09:0f:95:30:f0    8   11M  -91    -95   100 ESs   N  336763 52252   ?    WME VEN VEN ATH
       UNNN 0                       42:09:0f:95:30:f0    8   11M  -90    -95   100 ESs   N  336618 52253   ?    WME VEN VEN ATH
       UNNN 0   4ourguests          58:97:1e:b3:4c:70    9  216M  -45    -95   102 ESs   Y  343847  203    ?    WME VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:71    9  216M  -57    -95   102 ESs   N  343847 1146    ?    WME VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:72    9   54M  -57    -95   102 EPSs  N  343847 1144    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:74    9   54M  -42    -95   102 EPSs  Y  343847  548    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:75    9   54M  -59    -95   102 EPSs  Y  343847  544    ?    RSN VEN VEN VEN VEN
       UNNN 0   only4also           58:97:1e:b3:4c:76    9  216M  -44    -95   102 EPSs  Y  343847  203    ?    RSN WPA WME VEN VEN VEN
       UNNN 0   only4also           58:97:1e:b3:4c:79   48  450M  -60    -95   102 EP    Y  343830  811    ?    RSN WPA WME VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7a   48   54M  -60    -95   102 EP    N  342030 9211    ?    RSN VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7b   48   54M  -60    -95   102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7d   48   54M  -59    -95   102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7e   48  450M  -59    -95   102 E     Y  340230  811    ?    WME VEN VEN VEN VEN

Gibt es eine Möglichkeit alle Access Points aufzulisten für die ein "overlapping channel" stattfindet (Interfering AP's)?

Wenn Forti Access Points speziell im 2.4 GHz Bereich installiert werden, muss darauf geachtet werden, dass kein "overlapping" (Interferenzen) mit fremden Access Points stattfinden. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:

       FortiAP:FAQ#Wie_kann_ich_auf_einem_Forti_Access_Point_herausfinden_welche_.22channel.22_ich_benutzen_soll_um_.22overlapping.22_zu_verhindern.3F

Um die Konfiguration der Forti Access Points nachträglich zu kontrollieren, gibt es über folgende Position die Möglichkeit event. "overlapping channel" resp. Interferenzen zu kontrollieren:

       WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)

Diese Widget zeigt auf ob durch den FortiGate Wireless Controller event. "overlapping channel" (Interferenze) bestehen. Siehe auch:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29_innerhalb_einer_WTP_Profile_Konfiguration.3F

Dies wird in den "Widget" unter der folgender Position aufgeführt:

       Fortinet-1090.jpg
       Fortinet-1091.jpg

Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:

       Fortinet-1092.jpg

Wird ein entsprechende Position unter "Interfering AP's" angewählt, sieht man die Details wie "MAC Adresse des AP's, SSID, benutzter Channel und Signalstärke". Dabei ist die Signalstärke korrekt einzuschätzen dh. Auch wenn ein "overlapping channel" stattfindet jedoch die Signalstärke des Access Points schlecht ist, sind die Interferenzen zu vernachlässigen:

       Fortinet-1093.jpg

Es ist je nach Anzahl der Access Points nicht immer möglich "overlapping channel" resp. Interferenzen im 2.4 GHz Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Wireless Clients/Host den 5 GHz Bereich unterstützen, sollte der 2.4 GHz Bereich gemieden werden! Dies wird auf modernen Devices automatisch vollzogen dh. zB ein IPhone unterstützt 2.4 GHz sowie 5 GHz jedoch benützt sofern irgendwie möglich nur 5 GHz!

Site Survey

Gibt es eine Möglichkeit anhand eines Forti Access Point ohne FortiGate Wireless Controller die Wireless Abdeckung zu testen?

Diese Möglichkeit exisitert dh. es ist möglich einen Forti Access Point Vorort für einen "Site Survey" einzusetzen und dies ohne FortiGate Wireless Controller. Wenn eine grössere Umgebung mit Forti Access Point ausgerüstet werden soll, muss festgestellt werden wieviele Forti Access Points benötigt werden sowie wo diese installiert werden sollen um eine möglichst gute Abedeckung zu erzielen. Die "Site Survey" Funktion eines Forti Access Point ermöglicht eine definierte SSID auf einem Forti Access Point lokal zu diesem Zweck zu konfigurieren und zu betreiben. Anhand eines Tools auf einem Client/Host zB SSIDer kann nachträglich Vorort die Abedeckung anhand dieser SSID kontrolliert und somit den idealen Standort für den Forti Access Point herausgefunden werden. Diese Funktion des "Site Survey" kann mit jedem Forti Access Point durchgeführt werden, jedoch ist der FAP-221B/FAP-223B sowie FAP-221C/FAP-223C zu empfehlen. Wenn ein Forti Access Point benützt wird für ein "Site Survey" muss berücksichtigt werden, das zB ein FAP-221B/C sowie FAP-223B/C über keinen mitgelieferten Power Adapter verfügt sondern über PoE betrieben werden. Die Power Adapter für diese Modelle können jedoch seperat bestellt werden. Weitere Informationen dazu siehe nachfolgeden Artikel:

       FortiAP:FAQ#Wo_finde_ich_eine_Uebersicht_ob_ein_Forti_Access_Point_mit_PowerAdapter_geliefert_wird_oder_PoE_unterst.C3.BCtzt.3F

Um auf einem Forti Access Point lokal über CLI eine SSID für "Site Survey" zu konfigurieren führe folgendes aus:

       1. Verbinde den Forti Access Point mit einem Client/Host über die Ethernet Interface's; Konfiguriere auf der Ethernet
          Schnittstelle des Client/Host folgende IPv4 Adresse:
          
          192.168.1.1/24 (Kein Gateway, Kein DNS)
       2. Starte den Forti Access Point; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface 
          folgende IPv4 Adresse konfiguriert:
          
          192.168.1.2/24
          
          Weitere Informationen zu "default" IPv4 Adresse eines Forti Access Point siehe nachfolgender Artikel:
               
          FortiAP:FAQ#Was_ist_die_Default_IPv4_Adresse_f.C3.BCr_einen_Forti_Access_Point_und_wie_kann_ich_mich_auf_diese_IPv_Adresse_verbinden.3F
       3. Verbinde dich per "telnet" auf die IPv4 Adresse des Forti Access Point:
          
          > telnet 192.168.1.2
       4. Aktiviere den entsprechenden "Site Survey" Mode auf dem Forti Access Point anhand folgenden Befehls:
          
          # cfg –a AP_MODE=2
          # cfg -c
          
          AP_MODE=2 bedeutet "Site Survey". Per Standard ist konfiguriert 0"Thin AP"! Weitere Informationen findet 
          man ebenfalls unter folgenden Artikel:
          
          FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_Forti_Access_Point_.C3.BCber_die_CLI_eingegeben_werden.3F                     
       5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des Forti Access Point durchgeführt!
       6. Nachdem Neustart sendet der Forti Access Point eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann 
          nun die Abedeckung Vorort mit einem Tool wie zB SSIDer überprüft werden!
       7. Soll die SSID oder andere Werte für die SSID im "Survey Mode" angepasst werden stehen folgende Einstellungen 
          zur Verfügung:
          
          • SURVEY_SSID='FAP_SURVEY'         --> Diese Option vergibt den Namen für die SSID im "Site Survey" Mode.
          • SURVEY_TX_POWER=30               --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige Forti Access Points gilt ein Maximum von 17dBm.
          • SURVEY_CH_24=6                   --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
          • SURVEY_CH_50=36                  --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
          • SURVEY_BEACON_INTV               --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
          
          Wenn die Werte für "Site Survey" konfiguriert werden müssen diese folgendermassen konfiguriert werden:
          
          # cfg -a [Entsprechende Option mit deren Wert]
          # cfg -c
       8. Nach einem "Site Survey" ist es empfohlen den Forti Access Point wieder auf Factory Default zu setzen. Dies
          wird folgendermassen durchgeführt:
          
          # cfg -x
          
          oder
          
          # factoryreset
          # reboot

Konfiguration

Was bedeutet der Konfigurationspunkt "security" (Security Mode) innerhalb einer SSID Konfiguration?

Für einen SSID auf einem Forti Access Point können verschiedenen Security Mode benutzt werden dh. zB WPA2 Enterprise. Die üblichen Security Mode's können über das Mgmt. Web Interface konfiguriert werden:

       • Open
       • Captive Portal
       • WPA2 Personal
       • WPA2 Personal with Captive Portal
       • WPA2 Enterprise

Ueber CLI stehen jedoch weitere Security Mode zur Verfügung:

       FortiOS 5.0
       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]
       # end
       FortiOS 5.2/5.4
       # config wireless-controller vap
       # edit [Name des SSID Profile]
       # set security [captive-portal | open | wpa-enterprise | wpa-personal | wpa-personal+captive-portal | wpa2-only-personal | wpa2-only-personal+captive-portal | wpa2-only-enterprise]
       # end

Zusätzlich kann über CLI die Encryption für den Security Mode gesetzt werden sofern WPA benutzt wird. Per Standard wird für WPA die AES Encryption benutzt. Ebenso kann der Key Interface anhand "gtk-rekey-intv" gesetzt werden. Dieser ist per Standard auf 3600 gesetzt:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set encrypt [AES | TKIP | TKIP-AES]
       # set gtk-rekey-intv [Intervall in Sekunden von 60 bis 864000; Standard 3600]
       # end

Wenn zB für WEP ein Key definiert werden muss dh. das Passwort ist in den meisten Fällen 1 Passwort zu setzen. Einige Wireless Clients/Hosts dh. Treiber und Software unterstützen die Defintion von mehreren Key's. Wenn dies der Fall ist können mehrer Passwörter definiert werden und somit muss der "keyindex" erweitert werden mit der Anzahl zu definierenden Passwörter:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # keyindex [1 | 2 | 3 | 4]
       # end

Was bedeutet der Konfigurationspunkt "schedule" innerhalb einer SSID Konfiguration?

Bis anhin unter FortiOS 5.0 sowie 5.2 war es nicht möglich eine SSID Zeitgesteuert zu aktivieren/deaktivieren. Neu unter FortiOS 5.4 ist dies nun möglich. Per Standard stehen alle konfigurierten SSID auf dem "schedule" Objekt "always". Möchte man Zeitgesteuert eine SSID aktivieren/deaktivieren, muss vorgängig ein "Schedule" Objekt erstellt werden, dass nachträglich unter der SSID konfiguriert werden kann. Ein "Schedule" Objekt wird unter folgender Position konfiguriert:

       Policy & Objects > Schedules > Create New > Schedule

Danach kann anhand "Recurring" (Wiederholend), "Days" (Tagen) sowie einer "Start Time" und "Stop Time" ein "Schedule" Objekt erstellt werden. Ein zeitgesteuertes Objekt basierend auf "Schedule Group" kann nicht innerhalb einer SSID konfiguriert werden. Nachträglich kann das "Schedule" Objekt innerhalb der SSID konfiguriert werden. Dazu wähle im Mgmt. Web Interface folgendes:

       WiFi Controller > SSID > Schedule > [Wähle das entsprechende "Schedule" Objekt]

Wenn ein "Schedule" Objekt auf CLI konfiguriert werden soll und dieses nachträglich ebenfalls auf CLI für die entsprechende SSID konfiguriert werden soll führe folgendes aus:

       # config firewall schedule [recurring | onetime]
       # edit [Name des entsprechenden "Schedule" Objekt zB "daily-0800-1700-business-hour"]
       # set start [Gebe die Start Zeit ein zB "08:00"]
       # set end [Gebe die End Zeit ein zB "17:30"]
       # set day [Gebe die entsprechenden Tage ein für den "Schedule"; monday | tuesday | wednesday | thursday | friday | saturday | sunday]
       # end
       
       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set schedule [Wähle das entsprechende "schedule" Objekt; Standard "always"]
       # end

Was bedeutet der Konfigurationspunkt "Override Settings/Automatic" innerhalb einer Forti Acces Point Konfiguration?

Die empfohlen Konfigurationsweise eines Forti Access Point ist es diesem ein entsprechendes WTP Profile zu zuweisen. Dies bedeutet: In diesem WTP Profile wird definiert welcher "radio" über welche Einstellungen (5 GHz oder 2.4 GHz) sowie "channel" verfügt. Dieses WTP Profile, das auf den entsprechenden Forti Access Point abgestimmt is, wird nach dessen Erstellung dem Forti Access Point über "Managed FortiAPs" zugewiesen. Ab FortiOS 5.0 ist es möglich anstelle dieses WTP Profile "automatic" zu wählen. Unter FortiOS 5.2 gibt es die Position "automatic" nicht mehr jedoch ist es möglich anhand "Override Settings" das entsprechende WTP Profile zu überschreiben. Wenn unter FortiOS 5.0 "automatic" gewählt wird gilt folgendes:

       Datei:Fortinet-333.jpg

Wenn die Option "Override Settings" aktiviert wird so wird im Hintergrund folgendes Kommando ausgeführt:

       # config wireless-controller wtp
       # edit [Name/Serien Nr. des entsprechenden Profiles]
       # set override-profile enable
       # end
       # end

Ueber Mgmt. Web Interface sieht die Option folgendermassen aus:

       Fortinet-1291.jpg

Was bedeutet der Konfigurationspunkt "Scan Outgoing Connections to Botnet Sites" innerhalb einer SSID Konfiguration?

Dieser Konfigurationspunkt unter FortiOS 5.4 ist nicht Wireless Spezifisch sondern steht jedem FortiGate Interface zur Verfügung. Weitere Informationen zu dieser Funktion siehe nachfolgender Artikel:

       FortiGate-5.4-5.6:FAQ#Wie_kann_ich_unter_FortiOS_5.4_f.C3.BCr_eine_FortiGate_Verbindungen_zu_.22botnet.22_Servern_blocken_oder_.C3.BCberwachen.3F

Was bedeutet der Konfigurationspunkt "Active Scanning" innerhalb einer SSID Konfiguration?

Dieser Konfigurationspunkt steht im Zusammenhang mit "Network Devices" resp. "Device Detection" und steht nur unter FortiOS 5.4 zur verfügung. Wenn "Device Detection" aktiviert wird und diese Funktion der "Device Detection" kann einen entsprechenden Device nicht identifizieren, wird dieser anhand "Active Scanning" Passive gescannt. Dabei wird die gleiche Technik angewandt wie in einem "vulnaribility scan". Diese Funktion wird auf allen Devices die "vulnerability scan" unterstützen per Standard aktiviert. Wir empfehlen im Wireless Bereich zwar die "Device Detection" zu aktivieren jedoch das "Active Scanning" per Standard zu deaktvieren sowie diese Funktion nur punktuell zu benutzen. Um die Funktion "Active Scanning" zu benutze muss "Device Detection" zuerst aktiviert werden. Dies kann im Mgmt. Web Interface durchgeführt werden für die entsprechende SSID oder über CLI:

       WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Active Scanning
       # config system interface
       # edit [Gebe das entsprechende Interface an zB "dmz"]
       # set device-identification [enable | disable]
       # set device-identification-active-scan [enable | disable]
       # end

Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic" innerhalb einer SSID Konfiguration?

Dieser Konfigurationspunkt innerhalb der SSID bedeutet folgendes: Wenn zwei User auf der gleichen SSID verbunden sind, können die User sofern "Block Intra-SSID Traffic" deaktiviert ist, nicht untereinander direkt komunizieren. Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke, von einem Device im selben Segment/IP Range (SSID). Dies gilt bis 5.4.0 ausschliesslich für "Tunnel To Wireless Controller" basierende SSID und nicht für "Local bridge with FortiAP's Interface". Ab FortiGate/FortiAP FortiOS 5.4.1 gilt dies für beide Modes dh. auch für "Local bridge with FortiAP's Interface". Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Forti Access Point resp. SSID komunizieren können ohne das der Traffic den Forti Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:

       Block Intra-SSID Traffic Aktiviert
       
       # config wireless-controller vaps
       # edit [Name der SSID]
       # set intra-vap-privacy enable
       # set local-switching disable
       # end
       Block Intra-SSID Traffic Deaktiviert
       
       # config wireless-controller vaps
       # edit [Name der SSID]
       # set intra-vap-privacy disable
       # set local-switching enable
       # end

Was bedeutet der Konfigurationspunkt "Broadcast SSID" innerhalb einer SSID Konfiguration?

Wenn auf einem Forti Access Point eine SSID konfiguriert wird so wird diese per Standard über Broadcast mitgeteilt. Dies erlaubt dem Wireless Host/Client diese auf den Device's auszuwählen und dementsprechend für die Authentifizierung zu konfigurieren. Wenn der Broadcast der SSID unterbunden werden soll, kann dies für FortiOS 5.4 über Mgmt. Web Interface konfiguriert werden oder für FortiOS 5.0 sowie 5.2 in der CLI:

       WiFi Controller > SSID > [Wähle die entsprechende SSID] > Edit > Broadcast SSID
       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set broadcast-ssid [enable | disable]
       # end

Die ebenfalls existierende Option "broadcast-suppress" unter der SSID resp. "wireless-controller vap" steht nicht im Zusammenhang mit der Option "broadcast-ssid". Die Option "broadcast-suppress" verhindert das ARP und/oder DHCP Broadcassts nicht zu den Forti Access Point's versendet werden die über die gleiche SSID verfügen resp. konfiguriert haben! Weitere Informationen zu "broadcast-suppress" siehe nachfolgender Artikel:

       FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F

Was bedeutet der Konfigurationspunkt "fast-roaming" innerhalb einer SSID Konfiguration?

Wenn Wireless Clients/Hosts sich in einem Wireless Netzwerk befinden/verbunden sind speziell zB mit Mobile Devices, kann die Situation entstehen, dass diese von Forti Access Point zu Forti Access Point wandern dh. ausser Reichweite des einten Forti Access Point sind und in Reichweite zu einem anderen Forti Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen sich in Reichweite befindenden Forti Access Point wieder verbunden. Dadurch wird eine erneute Authentifizierung ausgelöst. Möchte man diese erneute Authentifikation verhindern so muss "fast-roaming" aktiviert werden was auf jeder SSID eines Forti Access Point der Fall ist. "fast-roaming" benützt 2 Unterschiedliche Techniken:

       • Pairwise Master Key (PMK) Caching
       Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im Cache abgelegt wird der mit dem ersten Access Point mit dem sich der 
       User zu Beginn verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch bekannt als "fast roam back"!
       • Pre-authentication oder "fast-associate in advance"
       Aktiviert einen 802.11 Access Point der mit einem Client/Host verbunden ist um den verbundenen Client/Host auf eventuell weiteren Access Points 
       zu authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen weiteren Access Points auf dem sich der Client/Host verbinden könnte
       dh. es veranlasst den Access Point auf dem der Client verbunden ist, diesen PMK abzulegen um zukünftige Authentifizierung für den Client/Host 
       durchzuführen ohne das dieser eine Authentifizierung selber/manuell erneut durchführen muss.
       # config wireless-controller vap
       # edit [Name der SSID]
       # set fast-roaming enable
       # end

Was bedeutet der Konfigurationspunkt "multicast-enhance" (Frame Acknoledgement) innerhalb einer SSID Konfiguration?

Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" durchgeführt. Dieser Umstand kann Multicast" Uebermittlungen über die Forti Access Point's verlangsamen und somit die Performance im Multicast Bereich beeinträchtigen. Um diesen Umstand entgegenzutreten, kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine optimale Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:

       # config wirless-controller vap
       # edit [Name der entsprechenden SSID]
       # set multicast-enhance [enable | disable]
       # end

Dieses Kommando "multicast-enhance" aktiviert die Konvertierung von Multicast zu Unicast jedoch muss ein "threshold" konfiguriert werden dh. der Zeitpunkt ab dem Multicats zu Unicast umkonvertiert wird. Dies wird anhand "me-disable-thresh" konfiguriert. Dieser "thresold" konfiguriert eine obere Grenze für die Multicast Erweiterung dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (Anzahl Forti Access Point's).

       # config wirless-controller vap
       # edit [Name der entsprechenden SSID]
       # set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
       # end

Was bedeutet der Konfigurationspunkt "probe-resp-suppression" (Probe Respond Suppression) innerhalb einer SSID Konfiguration?

Um dem Wireless Client/Host eine Verbindung auf einen Forti Access Point zu ermöglichen, sendet der Forti Access Point in bestimmten Intervallen "beacon's" aus. Weitere Informationen betreffend "beacon's" siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22beacon-interval.22_innerhalb_einer_WTP_Profile_Konfiguration.3F

Auf der Wireless Client/Host Seite gibt es eine ähnliche Funktion und zwar "probe request". Diese Frame's ähneln den "beacon's" jedoch führen diese "probe response" Frame's die auf einen "probe request" gesendet werden keine Traffic Indication Message (TIM) Informationen. Zum Beispiel: Werden diese "probe request" Frame vom Wireless Client/Host an den Forti Access Point gesendet um über den "probe response" Informationen über einen Wireless Client/Host im gleichen Wireless Netzwerk zu erhalten. Ebenfalls wird zB diese Funktion von Sniffer Applikationen verwendet um genau diese Informationen über den "probe response" zu erhalten. Diese Funktion wird auf dem Forti Access Point über die folgende Option gesteuert:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set probe-resp-suppression [enable | disable]
       # set probe-resp-threshold [Möglicher Range [-20,-95]dBm; Standard -80dBm sofern aktiviert]
       # next
       # end

Per Standard ist "probe-resp-suppression" deaktiviert dh. Die Funktion selber kann nicht komplett deaktiviert werden durch "enable". Jedoch kann durch den Werte "dBm" der Wert gesetzt werden in welchem Range ein "prope response" gesendet werden soll. "probe request" ausserhalb des Ranges werden nicht mehr beantwortet mit einem "probe response". Ebenfalls ist zu berücksichtigen, dass viele Mobile Wireless Clients/Hosts diese Funktion sobald eine Verbindung zu einem Forti Access Point etabliert wurde deaktivieren um deren Akkus zu schonen!

Was bedeutet der Konfigurationspunkt "broadcastsuppression" (Broadcast Suppression) innerhalb einer SSID Konfiguration?

Innerhalb einer SSID kann die Option "broadcastsuppression" mit verschiedenen Werten gesetzt werden. Dabei können verschiedenen Werte gleichzeitig gesetzt werden und der Fokus der Option liegt darin Broadcast Informationen im Zusammenhang mit ARP zu unterdrücken. Weitere detaillierte Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Kann_ich_auf_einem_Forti_Access_Point_f.C3.BCr_ein_.22local_bridging.22_Broadcast.2FMulticast_verhindern_.28susspression.29.3F

Was bedeutet der Konfigurationspunkt "pmf" (Protected Management Frames) innerhalb einer SSID Konfiguration?

Protected Management Frames schützen einige Management Frames wie zB "deauthorization", "disassociation" sowie "action" Frames for Angriffen. Dieses Feature wurde zwingend Notwendig für den Standard 802.11ac um zu verhindern, dass Angreifer "deauthorization/disassociation" Frames sendet um Verbindungen zu unterbrechen oder gänzlich zu verhindern. Diese Funktion PMF wurde spezifiziert in IEE 802.11w. Per Standard ist jedoch diese Funktion nicht aktiviert sollte jedoch aktiviert werden für Fortinet Access Points die über den 802.11ac Standard verfügung wie zB FAP-221C. Die Funktion wird folgendermasse aktiviert:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set pmf [disable | enable | optional]
       # set pmf-assoc-comeback-timeout [1 - 20 Sekunden; Standard 1]
       # set pmf-sa-query-retry-timeout [1 - 5 = 100ms - 500ms]
       # next
       # end

Die Option "pmf optional" Bedeutet folgendes: Optional wird PMF aktiviert und Clients/Workstations ohne PMF werden erlaubt.

Was bedeutet der Konfigurationspunkt "okc" (Opportunistic Key Caching) innerhalb einer SSID Konfiguration?

Die Option "okc" innerhalb einer SSID bedeutet: Opportunistic Key Caching und hat folgende Funktion: Wenn ein Client im Zusammenhang mit WPA/WPA2-Enterprise Authentifizierung eine Authentifizerung durchführt und diese Erfolgreich abgeschlossen wird so wird der PMK Identifier auf diesem Fortinet Access Point gespeichert und zu allen anderen Fortinet Access Point Distribuiert resp. in den Cache aller Fortinet Access Points geschrieben. Wenn ein Authentifizierter Client somit den Fortinet Access Point im Fast-Roaming/Roaming Verfahren wechselt, muss kein vollständiger EAP Exchange Voragang mehr ausgeführt werden da die Information für den Client bereits auf den Fortinet Access Points im Cache zur Verfügung steht. Diese Funktion kann innerhalb eine SSID folgendermassen aktiviert werden:

       # config wireless-controller vap
       # edit [Name der entsprechenden SSID]
       # set okc [disable | enable]
       # next
       # end

Was bedeutet der Konfigurationspunkt "Rogue AP’s" innerhalb einer WIDS Konfiguration?

"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Forti Access Point Verbund/Netzwerk gehört. Dies kann bedeuten: Illegale betriebenen Access Points mit gleicher SSID wie für die regulären Forti Access Points konfiguriert wurde. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören, können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der FortiGate Wireless Controller in dem die Mac Adressen mit den regulären Forti Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken, werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Unter FortiOS 5.0 wird/kann die Funktion "nur" Global aktiviert oder deaktiviert werden. Ab FortiOS 5.2 ist diese Funktion WTP Profile basierend und wird über ein WIDS Profile konfiguriert und dem entsprechenden WTP Profile zugewiesen! Desweiteren muss berücksichtigt werden, dass auf einem "radio" für 802.11ac kein "Roque AP" Scan benützt werden kann (Stand FortiOS 5.2.5 Bug ID 225550). Um den FortiGate Wireless Controller für "AP-Scan" resp. "On-Wire-Scan" zu aktivieren muessen über das Web Mgmt. Interface die folgenden Position aktiviert werden:

       FortiOS 5.0
       
       WiFi Controller > WiFi Network > Rogue AP Settings
       
       Fortinet-1268.jpg
       
       # config wireless-controller setting
       # set ap-scan enable
       # set on-wire-scan enable
       # end
       FortiOS 5.2/5.4
       
       Fortinet-1269.jpg
       
       # config wireless-controller wids-profile
       # set ap-scan enable
       # set rogue-scan enable
       # end

Um das Scanning resp. Monitoring zu benutzen, muss in den entsprechenden WTP Profile's folgendes konfiguriert werden:

       FortiOS 5.0
       
       WiFi Controller > WiFi Network > Custom AP Profiles
       
       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-1
       # set ap-bgscan enable
       # set rogue-scan enable
       # set ap-bgscan-period 300
       # set ap-bgscan-intv 1
       # set ap-bgscan-duration 20
       # set ap-bgscan-idle 100
       # end
       # end
       FortiOS 5.2/5.4
       
       WiFi Controller > WiFi Network > WIDS Profiles
       
       # config wireless-controller wids-profile
       # edit [Name des entsprechenden WIDS Profil]
       # set ap-scan [enable | disable]
       # set ap-scan-passive [enable | disable]
       # set ap-bgscan-duration [Zeit in ms 10 - 1000; Standard 20]
       # set ap-bgscan-intv [Interval in Sekunden 1 - 600; Standard 1]
       # set ap-bgscan-period [Interval in Sekunden; Standard 600]
       # set ap-bgscan-report-intv [Interval Refresh/Update 15 - 600; Standard 15]
       # set ap-bgscan-disable-day [Tag der Woche dh. sunday | monday | tuesday | wednesday | thursday | friday | saturday]
       # set ap-bgscan-disable-start [Zeitdefinition Start für Tag "ap-bgscan-disable-day"; Format hh:mm]
       # set ap-bgscan-disable-end [Zeitdefinition End für Tag "ap-bgscan-disable-day"; Format hh:mm]
       # end

Im Gegensatz zu FortiOS 5.0 kann nun diese Konfiguration ab FortiOS 5.2 vollumfänglich über das Web Mgmt. Interface durchgeführt werden:

       WiFi Controller > WiFi Network > WIDS Profiles
       Fortinet-1270.jpg

Im Zusammenhang mit dieser Funktion "ap-scan" gibt es einige Situationen in dem folgendes zu berücksichtigen ist:Wenn ein Forti Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Forti Access Points im gleichen IPv4 Adress Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und Wireless Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" "7". Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt wird, wird der Access Point alse "On-Wire rogue" erachtet. Für "On-wire Rogue-Erkennung" muss mindestens ein Wireless Client/Host vorhanden/verbunden sein auf einem verdächtigen Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router handelt, muss die Wireless MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein ansonsten kann die Erkennung nicht korrekt durchgeführt werden. Um den Standard Wert "7" für "MAC adjacency distance" anzupassen führe folgendes durch:

       # config wireless-controller global
       # set rogue-scan-mac-adjacency [0 - 7; Standard 7]
       # end

Was bedeutet der Konfigurationspunkt "Band" (IEEE_802.11 Standard) innerhalb einer WTP Profile Konfiguration?

Wenn ein WTP Profile innerhalb des Mgmt. Web Interface einer FortiGate konfiguriert wird, stehen unter der Position "Band" folgende Möglichkeiten zur Verfügung:

       2.4 GHz Band
       
       Fortinet-1740.jpg
       5 GHz Band
       
       Fortinet-1741.jpg

In der CLI sieht diese mögliche Konfiguration folgendermassen aus:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-[1 oder 2]
       # set band [802.11a | 802.11b | 802.11g | 802.11n | 802.11n-5G | 802.11ac | 802.11n,g-only | 802.11g-only | 802.11n-only | 802.11n-5G-only | 802.11ac,n-only | 802.11ac-only]
       # end
       # end

Weitere Informationen zu den einzelnen IEEE_802.11 Möglichkeiten siehe nachfolgender Link:

       https://en.wikipedia.org/wiki/IEEE_802.11

Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP) innerhalb einer WTP Profile Konfiguration?

ARRP "Automatic Radio Resource Provisioning" oder DARRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "channels" (Kanäle) für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung (overlapping) der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet: Wenn diese Position aktiviert ist, sucht sich der FortiGate Wireless Controller den oder die besten "channels" raus, die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird alle 1800 Sekunden (Standard) evaluiert und falls notwendig dem FortiGate Wireless Client/Host mitgeteilt damit dieser auf den neuen "channel" wechseln kann. Dieser Standard Wert 1800 Sekunden kann unter folgendem Kommando Konfiguriert werden:

       # config wireless-controller timers
       # set darrp-optimize [0 - 86400 Sekunden; Standard 1800 Sekunden]
       # end

Ab FortiOS 5.4 kann die DARRP resp. Radiu Resource Provisioning ebenfalls Zeitbasierend aktiviert werden dh. Wenn die Option "darrp-optimize auf "0" gesetzt wird so wird die Zeitgesteuerte DARRP Funktion aktiviert und es kann folgendes Konfiguriert werden:

       # config wireless-controller timers
       # set darrp-optimize 0
       # set darrp-day [sunday | monday | tuesday | wednesday | thursday | friday | saturday]
       # set darrp-time [Zeitangabe im Format hour:minute]
       # end

Für die Optionen "darrp-day" sowie "darrp-time" können mehrer Angeben Konfiguriert werden dh. zB :

       # config wireless-controller timers
       # set darrp-optimize 0
       # set darrp-day monday | tuesday | wednesday | thursday | friday
       # set darrp-time 06:00 12:00 18:00
       # end

Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung zu wissen welche "channels" in der Umgebung benutzt werden. Dies kann über die "Rogue AP Monitor" und dessen Funktion eruiert werden. Dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22_innerhalb_einer_WIDS_Konfiguration.3F

Wenn nun feststeht welche "channels" in der Umgebung bereits benutzt werden, kann ein entsprechendes Forti Access Point WTP Profil erstellt werden unter berücksichtigung der zu wählenden "channels" speziell für den 2.4 GHz Bereich. Dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_f.C3.BCr_einen_Radio_eines_Forti_Access_Point_Konfiguration.3F
       FortiAP:FAQ#Welche_Radio_.22channel.22_muss_ich_auf_dem_Forti_Access_Point_f.C3.BCr_verschiedenen_L.C3.A4ndern_benutzen.3F
       FortiAP:FAQ#Was_bedeutet_es_wenn_ein_Forti_Access_Point_.C3.BCber_den_DFS_.28Dynamic_Frequency_Selection.29_Support_verf.C3.BCgt.3F

Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrere Access Points in Reichweite sind um diese Kollisionen unter den "channels" zu verhindern. DARRP wird in den entsprechenden WTP Profil "radios" des Forti Access Point für 2.4 GHz sowie 5 GHz konfiguriert. Im Mgmt. Web Interface findet man diese Position im WTP Profile unter:

       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Radio Resource Provision"]

Um die Konfiguration auf Kommandozeile durchzuführen muss folgendes durchgeführt werden:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-[1 oder 2]
       # set darrp enable
       # end
       # end

Um nach der Konfiguration festzustellen ob eine Kollidierung (overlapping) unter den "channels" exisitiert, kann über "Wireless Health Monitor" die Interferenzen eingesehen werden. Für nähere Informationen siehe nachfolgende Artikel:

       FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F

aB FortiOS 5.2 wurde innerhalb des Forti Access Point wtp Profile's unter Radio-1 und/oder 2 die Position "Background Scan" (ap-bgscan) ersetzt mit der Position "Spectrum Analysis"! Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Background_Scan.2FSpectrum_Analyse.22_innerhalb_einer_WTP_Profile_Konfiguration.3F

Was bedeutet der Konfigurationspunkt "Background Scan/Spectrum Analyse" innerhalb einer WTP Profile Konfiguration?

Unter FortiOS 5.0 existiert in den Forti Access Point WTP Profile unter Radio-1 und/oder 2 die Position "Background Scan". Diese Position ist zuständig über Radio-1 und/oder 2 Informationen zu sammeln und diese unter "Wireless Health Monitor" zur Verfügung zu stellen. Weitere Informationen zum "Wireless Health Monitor" siehe nachfolgenden Artikel:

       FortiAP:FAQ#Gibt_es_eine_M.C3.B6glichkeit_die_Forti_Access_Points_.C3.BCber_den_FortiGate_Wireless_Controller_zu_.C3.BCberwachen_.28Health_Monitor.29.3F

Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's" (overlapping channel). "Background Scan" sowie "Spectrum Analyse" sollte unter normalen Umständen deaktiviert werden da diese Funktion enorm Performance Intensiv sind. Diese Funktion sollte nur vorübergehend aktiviert werden um "troubleshooting" oder "Analysen" durchzuführen! Desweiteren ist zu beachten, dass für die Forti Access Point FAP-221B, FAP-223B und FAP-221C im Zusammenhang mit FortiOS 5.2.4/5 diese Funktion nicht benutzt werden sollte (Bug 245323) da durch die Funktion "Spectrum Analyse" auf den Forti Access Point ein "high cpu" produziert wird! Ueber Mgmt. Web Interface findet man diesen Konfigurationspunkt unter:

       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profil] > Edit > [Radio 1 und/oder 2 Position "Background Scan/Spectrum Analyse"]
       Fortinet-1271.jpg

Auf der Kommandozeile wird diese Konfiguration folgendermassen durchgeführt:

       # config wirless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-[1 oder 2]
       # set ap-bgscan eanble
       # end
       # end
       Fortinet-1272.jpg
       # config wirless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-[1 oder 2]
       # set spectrum-analysis eanble
       # end
       # end

Wenn die Funktion "Background Scan/Spectrum Analyse" aktiviert wird, können die entsprechenden Informationen auch über Kommandozeile abgeruft werden anhand folgenden Befehls:

       # diagnose wireless wlac -c rf-sa [Name des FAP zB "FP221B3X13843475"]  1

Weitere Informationen betreffend dem Troubleshooting Kommando "diagnose wireless" siehe nachfolgenden Artikel:

       FortiAP:FAQ#Welche_Troubleshooting_Kommandos_.28diagnose.29_stehen_auf_dem_Wireless_Controller_einer_FortiGate_zur_Verf.C3.BCgung.3F

Was bedeutet der Konfigurationspunkt "short guard intervall" innerhalb einer WTP Profile Konfiguration?

"Guard Intervalle" auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen gegen die digitale Daten die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei wie störanfällig eine Übertragung ist. Je länger ein solcher Intervall ist, desto besser schützt es gegen Störungen sowie geringer wird allerdings auch die Kanaleffektivität (Performance).

       802.11 Guard Interval
       
       Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
       fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
       "short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
       jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
       oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung 
       könnte entwickelt werden, um herauszufinden ob ein "short guard intervall" von Vorteil wäre. Um die Komplexität
       zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
       zu erhöhen.

Wie beschrieben dient diese Konfiguration der Performance resp. um diese zu erhöhen. Jedoch kann die Aktivierung des "short guard intervall" auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser diese Funktion "short guard intervall" in der ersten Phase nicht zu benutzen resp. zu deaktivieren! "short guard intervall" kann für den 5 GHz Bereich für 40/80 MHz aktiviert/deaktiviert werden:

       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Short Guard Interval"]
       
       Fortinet-1273.jpg
       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-[1 oder 2]
       # set short-guard-interval enable
       # end
       # end

Was bedeutet der Konfigurationspunkt "channel-bonding" (Channel Width) innerhalb einer WTP Profile Konfiguration?

Die Funktion "channel-bonding" (40/20 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat, ist der Einsatz dieser Funktion kontraproduktiv sowie störanfällig und sollte deshalb nicht benutzt werden. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" für 2.4 GHz nicht im 40 MHz Bereich zu empfehlen! Da die einzelnen Kanäle breiter werden aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr das sich WLANs gegenseitig stören wenn sie auf angrenzenden Kanälen (channel) funken. Die Standard Werte für das "channel-bonding" im 2.4 GHz und 5 GHz Bereich ist 20 MHz. Das "channel-bonding" im 5 GHz Bereich kann unter FortiOS 5.0/5.2 innerhalb der Forti Access Point WTP Profile konfiguriert werden. Unter FortiOS 5.4 steht diese Funktion nur über CLI zur Verfügung.:

       FortiOS 5.0
       
       WiFi Controller > WiFi Network > Custome AP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
       
       Fortinet-1274.jpg
       
       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # config [radio-1 oder 2]
       # set channel-bonding [enable | disable]
       # end
       FortiOS 5.2
       
       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Channel Width"]
       
       Fortinet-1275.jpg
       
       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # config [radio-1 oder 2]
       # set channel-bonding [20MHz | 40MHz]
       # end

Damit "channel-bonding" aktiviert werden kann für 40 MHz im 2.4 GHz Bereich obwohl dies nicht zu empfehlen ist, müssen zuerst im entsprechende WTP Profile für die "channel" ein "unset" durchgeführt werden:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # config radio-1
       # unset channel
       # set channel-bonding 40MHz
       # end

Diese Funktion steht ebenfalls im Zusammenhang mit der Funktion "coexistence". Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22coexistence.22_innerhalb_einer_WTP_Profile_Konfiguration.3F

Was bedeutet der Konfigurationspunkt "Client Load Balancing Access Point Hand-off" innerhalb einer WTP Profile Konfiguration?

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Forti Access Point Hand-off" ist die folgende: Ein "Hand-off" wird durch den Forti Access Point ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem Forti Access Point den gesetzten "threshold" übersteigt, wird der Wireless Client/Host angewiesen auf den nächsten Forti Access Point und/oder "radio" zu wechseln. Für diesen Wechsel des "Hand-off" ist die Signalstärke des Client/Host entscheidend (RSSI threshold). Dieser Wert erhält der Client/Host vom zuständigen Forti Access Point. Um zu verhindern das der Zugriff auf den Client/Host durch einen Forit Access Point verhindert wird, werden wiederholende Anfragen zum Forti Access Point durch den Wirless Client/Host der auf dem Forti Access Point verbunden ist akzeptiert. Dieser Vorgang nennt man "soft-limit":

       Datei:Fortinet-340.jpg

Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden WTP Profil ein- oder auszuschalten sowie den "threshold" zu setzen:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # set handoff-sta-thresh [Grenzwert des handoff; Standard 30]
       # config [radio-1 oder 2]
       # set ap-handoff {disable | enable}
       # end
       # end

"handoff-sta-thresh" bedeutet: Der Durchschnitt verbundener Wireless Clients/Host der erreicht werden soll auf einem Forti Access Point, bevor diese Wireless Clients/Hosts durch den Forti Access Point angewiesen werden sich auf dem nächsten Forti Access Point zu verbinden! Die Funktion des "ap-handhoff" kann wie hier gezeigt über Mgmt. Web Interface durchgeführt werden. Jedoch ist die Konfiguration "handoff-sta-thresh" nur über CLI möglich! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "AP Handoff"]

Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Hand-off" innerhalb einer WTP Profile Konfiguration?

Diese Funktion wird benutzt im Zusammenhang mit dem "Wireless Load Balancing" ab FortiOS 5.0. Die Funktionsweise des "Access Point Frequenzy Hand-off" ist die folgende: Der FortiGate Wireless Controller überprüft in gewissen Abständen die Wireless Clients/Hosts betreffend Ihrer Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den FortiGate Wireless Controller betreffend dem Wireless Client/Host die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer Wireless Client/Host sich verbinden will, überprüft der FortiGate Wireless Controller die MAC Adresse des Wireless Client/Host und schaut gleichzeitig in den "Tabellen" nach in denen die verschiednen Informationen abgelegt sind, wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiGate Wireless Controller entscheiden ob der Device über "dual band" (2.4 GHz / 5 GHz verfügt oder nicht:

       Datei:Fortinet-341.jpg
       • Wenn der Wireless Client/Host über "kein" Dual-Band verfügt: Wird dem Wireless Client/Host erlaubt sich mit dem Access Point 
         (2.4 GHz) zu verbinden!
         
       • Wenn der Wireless Client/Host über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiGate Wireless Controller 
         nicht auf die Anfrage betreffend 2.4 GHz sondern der Wireless Client/Host wird angewiesen sich mit 5 GHz auf den Forti Access 
         Point zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum Forti 
         Access Point durch den Wireless Client/Host auf dem Forti Access Point auf dem sich der Wireless Client/Host verbinden will 
         akzeptiert (soft-limit).

Einige Wireless Clients/Hosts unterstützen diesen Vorgang dh. diese Wireless Client/Host unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 5 GHz benutzt. Auf den Wireless Clients/Hosts wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices. Das "frequency-off" respektive der "threshold" wird unter der CLI folgendermassen konfiguriert:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # set handoff-rssi  [Grenzwert des handoff; Standard 25]
       # config [radio-1 oder 2]
       # set frequenciy-handoff {disable | enable}
       # end
       # end

"handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Wireless Client/Host bevor der Wireless Client/Host auf den 5 GHz Bereich verschoben wird! Die Konfiguration des "frequenciy-handoff kann ebenfalls im Mgmt. Web Interface durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi" zu konfigurieren muss die CLI benutzt werden! Im Mgmt. Web Interface findet man die Funktion unter folgender Position:

       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Frequency Handoff"]

Was bedeutet der Konfigurationspunkt "Auto TX Power Control" innerhalb einer WTP Profile Konfiguration?

Bei "Auto TX Power Control" handelt es sich um die Stärke des Signals für ein Forti Access Point! Benützt werden kann diese Funktion, wenn zwei Forti Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Auto TX Power Control" aktiviert und somit herabgesetzt werden. AB FortiOS 5.0 kann diese Konfiguration automatisiert werden. Dies bedeutet folgendes:

       • Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
         
       • Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!

Die Informationen über die Signalstärke wird durch den FortiGate Wireless Controller im Hintergrund gesammelt und ausgewertet. Aus diesem Grund erkennt der FortiGate Wireless Controller ein "channel overlapping" innerhalb des Forti Access Point Verbund der über dessen FortiGate Wireless Controller verwaltet wird. Desweiteren ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das wenn 50% TX Power benützt wird folgendes gilt:

            50% of 100mW = 50mW was wiederum 17dBm entspricht
            
             0 dBm =   1 mW
             3 dBm =   2 mW
             6 dBm =   4 mW
             9 dBm =   7.9 mW
            12 dBm =  15.8 mW
            15 dBm =  31.6 mW
            18 dBm =  61.1 mW
            21 dBm = 125.9 mW
            24 dBm = 251.2 mW

Dieser Konfigurationspunkt kann im entsprechenden Forti Access Point WTP Profil konfiguriert werden:

       WiFi Controller > [WiFi Network] > FortiAP Profiles > [Wähle das entsprechende Profile] > [Radio-1 und/oder 2 "Auto TX Power Control"]
       Fortinet-1278.jpg
       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # config [radio-1 oder 2]
       # set auto-power-level [enable | disable]
       # set power-level [Setze den entsprechenden Wert in % dh. 1 - 100; Standard 100]
       # end

Was bedeutet der Konfigurationspunkt "protection-mode" (802.11g Protection Mode) innerhalb einer WTP Profile Konfiguration?

Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerk's! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall, wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:

       http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination

Ab FortiGate 5.06 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert für "protection-mode" auf "disable":

       # config wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # config [radio für 5 GHz]
       # set protection-mode [ctsonly | disable | rtscts]
       # end
       # end
       # end

Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass sich 802.11a und/oder 802.11b Wireless Clients/Hosts verbinden können resp. ausgeschlossen werden! Jedoch wird durch die Aktivierung dieses Modus Focus auf 802.11g gesetzt und die 802.11a/b Client's vernachlässigt. Aus diesen Informtionen stellt sich die Frage wann dieser Protection Mode aktiviert werden soll und wenn nicht. Die Antwort ist nicht Generell zu beantworten! Jedoch kann man Grundsätzlich von Folgendem ausgehen:

       • Wenn der Forti Access Point sowie die Wireles Clients/Hosts ausschliesslich 802.11g und/oder 802.11n benutzen, kann der 
         Protect Mode ausgeschaltet (deaktiviert) werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt:
         
         protection-mode disabled             = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
       • Wenn der Forti Access Point sowie die Wireless Clients/Hosts zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen, sollte der 
         Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b zu gewährleisten und diese 
         "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen:
         
         protection-mode ctsonly oder rtscts  = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b

Was bedeutet der Konfigurationspunkt "beacon-interval" innerhalb einer WTP Profile Konfiguration?

Ein Forti Access Point sendet in einstellbaren Intervallen (beacon-intervall) kleine Datenpakete, sogenannte "beacons" (Leuchtfeuer) an alle Stationen im Empfangsbereich. Die "beacons" enthalten unter anderem folgende Informationen:

       • Netzwerkname ("Service Set Identifier", SSID)
       • Liste unterstützter Übertragungsraten
       • Art der Verschlüsselung

Dieses "Leuchtfeuer" (beacons) erleichtert den Verbindungsaufbau ganz erheblich, da die Wireless Clients/Hosts lediglich den Netzwerknamen und optional einige Parameter für die Verschlüsselung kennen müssen. Gleichzeitig ermöglicht der ständige Versand der Beacon-Pakete die Überwachung der Empfangsqualität und zwar auch dann, wenn keine Nutzdaten gesendet oder empfangen werden. "beacons" werden immer mit der niedrigsten Übertragungsrate (1 MBit/s) gesendet um somit ein erfolgreiche Empfang des "Leuchtfeuers" garantiert wird. Der "beacon-interval" ist ein fixer Parameter der Konfiguriert wird. Bei einer FortiGate im WTP Profile steht dieser Wet auf 100 Millisekunden. Dies bedeutet: 100 steht für den Interval in Millisekunden für die Versendung der "beacon's". Im normal Fall sollte der Wert nicht manipuliert werden denn: Ist der "beacon-interval" hoch, bedeutet dies eine hohe Kapazität auf dem Forti Access Point sprich viele Wireless Clients/Hosts können sich auf dem Forti Access Point verbinden (es werden weniger "beacon's" versendet). Bedeutet jedoch auch: Die Wireless Clients/Hosts benötigen eine sehr lange Zeit bis die Verbindung zustande kommt, da der Interval in Millisekunden der "beacon's" höhere ist. Wenn man den Interval der "beacon's" verkleinert, werden die passiven Scan's der Wireless Clients/Hosts schneller beantwortet. Also ist die Verbindung schneller jedoch sinkt die Kapazität des Forti Access Point (es werden mehr "beacons" versendet). Wenn man einen Forti Access Point in einer Umgebung einsetzt mit vielen Interferenzen (overlapping channel) sollten die "beacon's" herabgesetzt werden um die Netzwerk Performance/Qualität zu erhöhen (es werden mehr "beacon's" versendet). In einer Umgebung mit wenig Interferenzen oder wenigen Wireless Clients/Hosts sollte der "beacon" erhöht werden um mehr Kapazität zu schaffen. Der Befehl um den "beacon's" zu manipulieren wäre der folgende:

       # config system wireless-controller wtp-profile
       # edit [Name des entsprechendend WTP Profile]
       # config radio-[1 | 2]
       # set beacon-inteval [40 - 3500 Millisekunden; Standard 100]
       # end

Der Standard Wert 100 für "beacon's" sollte unter normalen Umständen nicht manipuliert werden! Kommt es zu Problemen, sollte bevor der Interval der "beacon's" manipuliert wird eventuell die Option "probe-resp-suppresion" konsultiert werden, Dazu siehe nachfolgender Artikel:

       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22probe-resp-suppression.22_.28Probe_Respond_Suppression.29_innerhalb_einer_SSID_Konfiguration.3F

Was bedeutet der Konfigurationspunkt "ekahau-blink-mode" innerhalb einer WTP Profile Konfiguration?

Die Option "ekahau-blink-mode" stellt einen Service dar für das "Real-Time Location System" von Ekahau Vision. Diese Funktion erlaubt es Informationen basierend auf dem Ekahau Vision zum diesem Dienst von Ekahau Vision zu senden um das "Real-Time Location System" zu benützen. Dies bedeutet: Diese Option steht nur im Zusammenhang mit diesem Dienst und muss auch nur dann aktiviert werden wenn dieser Dienst genutzt wird:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config lbs
       # set ekahau-blink-mode [enalbe | disable]
       # set ekahau-tag [ Mac Adresse xx:xx:xx:xx:xx:xx]
       # set erc-server-ip [IPv4 Adresse]
       # set erc-server-port [Port Nummer]
       # end
       # end

Was bedeutet der Konfigurationspunkt "coexistence" innerhalb einer WTP Profile Konfiguration?

Wenn man ein WTP Profile konfiguriert existiert in den "radio-1 oder 2" settings eine Option mit dem Namen "coexistence". Diese Option steht im Zusammenhang mit den Modi "802.11n und 802.11ac" und somit für 2.4GHz und 5GHz. Die Konfiguration für "coexistence" kann nur über CLI durchgeführt werden und zwar folgendermassen:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profils]
       # config radio-[1 | 2]
       # set channel-bonding [20MHz | 40MHz | 80MHz]
       # set coexistence [enable | disable]
       # end
       # end

Die Option steht im direkten Zusammenhang mit dem "channel-bonding". Dies bedeutet: ist das "channel-bonding" auf 20MHz gesetzt steht die Option "coexistence" nicht zur Verfügung da der 40MHz Bereich nicht aktiviert ist. Wenn das "channel-bounding" auf 40MHz gesetzt ist kann die "coexsistence" aktiviert werden was wiederum bedeutet: 20MHz und 40MHz koesistierten resp. beide sind erlaubt. Die Option "coexistence" definiert den HT20 resp. HT40 Mode was wiederum bedeutet:

       HT20 = Einzelner 20MHz Channel
       HT40 = 2 X 20Mhz Channels und Autoselektierung des Sekundären höherer und tieferen Channels

Wenn somit ein "channel-bounding" aktiviert wird auf 40MHz jedoch die "coexistence" deaktiviert ist so wird 20MHz als Sekundärer Channel ausgeschlossen. Aus kompatibilitäts Gründen sollte dies nicht konfiguriert werden, kann jedoch in Ausnahmen Sinn machen wenn die Performance ausschlaggeben ist jedoch klar damit gerechnet wird das Geräte im 20MHz Bereich damit ausgeschlossen werden.

Was bedeutet der Konfigurationspunkt "max-distance" (ACK timeout) innerhalb einer WTP Profile Konfiguration?

Das "ACK timeout" auf einem Forti Access Point wird über die Option "max-distance" innerhalb eines WTP Profiles gesteuert. Dies wird in der CLI wie folgt beschrieben:

       Setzt das erwartete Maximum in Meter zwischen dem Forti Access Point und den Wireless Clients. Dieser Wert verändert 
       "ACK timeout" auf dem Forti Access Point um einen maximalen throughput für die maximale definierte Distanz zwischen 
       Forti Access Point und Wireless Client zu erreichen. Mögliche Werte sind zwischen 0 und 20'000 Meter (Standard 0).

Unter normalen Umständen sollte dieser Wert dh. "0" belassen werden. Wird jedoch eine Punkt zu Punkt Verbindung konfiguriert/etabliert über lange Distanzen zB eine Bridge, kann dieser Wert angepasst werden um ein grosszügiges "ACK timeout" zu erlauben. Für ein Troubleshooting kann dieses Timeout auf dem Forti Access Point angepasst werden. Folgender Befehl Lokal auf dem Forti Access Point gibt den momentanen Wert aus für "ACK timeout" aus:

       # iwpriv wifi0 get_acktimeout
       wifi0      get_acktimout:64   (0x40)

Um den das "ACK timeout" auf dem FortiAP anzupassen führe folgendes durch:

       # Iwpriv wifi-acktimeout [ Wert zB "120"]

Wie Lokaler Zugriff erlangt wird auf einen Forti Access Point beschreibt nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Was bedeutet der Konfigurationspunkt "transmit-optimize / powersave-optimize" (PowerSave) innerhalb einer WTP Profile Konfiguration?

Die Optionen "transmit-optimize / powersave-optimize" die in einem WTP Profile innerhalb von "radio-1" gesetzt werden können stehen im Zusammenhang mit der "Strom-Spar / Power-Saving" Funktion und 2.4 GHz. Diese Funktion kommt vor allem in mobilen und damit Akku-betriebenen Geräten zu Zuge. Zum Beispiel: Smartphones, Tablets und Notebooks. Um die Akku-Laufzeit dieser Geräte zu verlängern gibt es spezielle Strom-Spar- und Power-Management-Funktionen. Die Traffic-Indicator-MAP (TIM) ist eine Liste, die der Access Point erstellt, um dort alle Wireless-Stationen zu speichern. Um diese Liste aktuell zu halten, schickt der Access Point regelmäßig TIM-Signale (Beacons), die die Wireless-Stationen aufwecken. Die Delivery-Traffic-Indicator-MAP (DTIM) ist auch eine Liste, die vom Access Point gepflegt wird. Der DTIM-Beacon ist ein Broadcast-Signal, das mit einem größeren zeitlichen Abstand gesendet wird, als der TIM-Beacon. Im Regelfall werden WLAN-Netzwerkkarten nur mit dem DTIM-Beacon aufgeweckt um die Laufzeit mobiler Geräte noch weiter zu erhöhen. Unter normalen Umständen sollte die standard Konfiguration nicht verändert werden. Ist dies denoch nötig stehen unter den Optionen folgende Möglichkeiten zur Verfügung:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profil]
       # config [radio-1]
       # set transmit-optimize [disable | power-save | aggr-limit | retry-limit | sendbar]
       # end
       # end

Die möglichen Optionen haben folgende Bedeutung:

       • disable:      Disable transmit optimization.
       • power-save:   Mark a client as power save mode if excessive transmit retries happen.
       • aggr-limit:   Set aggregation limit to a lower value when data rate is low.
       • retry-limit:  Set software retry limit to a lower value when data rate is low.
       • send-bar:     Do not send BAR frame too often.

Per Standard steht die Option "transmit-optimize" auf folgende Werte:

       # set transmit-optimize power-save aggr-limit retry-limit sendbar

Zusätzlich gibt es die Möglichkeit im 2.4 GHz Bereich den nicht mehr unterstützten 802.11b Bereich komplett zu deaktivieren. Dies wird erreicht in dem die Sendetzeit heruntergesetzt wird für die "beacons" der Management Frames. Damit wird das Signal mit Minimum 6Mbps gesendet anstellt 1Mbps und somit wird 802.11b ausgeschlossen:

       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden WTP Profil]
       # config [radio-1]
       # set powersave-optimize no-11b-rate
       # end
       # end

Unter "powersave-optimize" stehen weitere Optionen zur Verfügung die jedoch nur in speziellen Situationen benutzt werden sollten:

       • tim                   TIM bit for client in power save mode.
       • ac-vo                 Use AC VO priority to send out packets in the power save queue.
       • no-obss-scan          Do not put OBSS scan IE into beacon and probe response frame.
       • no-11b-rate           Do not send frame using 11b data rate.
       • client-rate-follow    Adapt transmitting PHY rate with receiving PHY rate from a client.

Wireless Client

Welcher Wireless Client unterstützt welche Kanaele?

Info.svg

Auf der folgenden Listen kann man entnehmen, welche Wireless Clients welche Kanäle unterstützen:

 Datei:Client-DFS-CapabilitiesSupport-Tabelle.pdf

Diese Liste habe ich von folgender Quelle:

https://clients.mikealbano.com/

add 18.03.2022 - 4Tinu

CLI

Welche Kommandos können Lokal auf einem Forti Access Point über die CLI eingegeben werden?

Grundsätzlich wird eine Konfiguration eine Forti Access Points über den FortiGate Wireless Controller durchgeführt. Nichts desto trotz verfügt ein Forti Access Point Lokal über Befehlsatz der es erlaubt zB eine statische IPv4 Konfiguration durchzuführen oder ein Troubleshooting. Um Lokal auf einem Forti Access Point per "telnet" zu verbinden muss dieser Zugriff aktiviert werden. Danach kann über den FortiGate Wireless Controller per "telnet" eine Verbindung zu einem entsprechenden Forti Access Point erstellt werden um Lokal auf dem Forti Access Point die Kommandos einzugeben. Weitere Informationen wie dieser Zugriff aktiviert wird siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Unter FortiOS 5.0/5.2/5.4 stehen folgende Kommandos zur Verfügung:

       FortiOS 5.0
       
       # fap-get-status
       Version: FortiAP-220B v5.0,build064,140117 (GA)
       Serial-Number: FAP22B3U11011877
       BIOS version: 04000010
       Regcode: E 
       Hostname: FAP22B3U11011877
       Branch point: 064
       Release Version Information:GA
       
       # help
       FortiAP commands:
       -----------------
               brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
               diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
               fap-get-status, fap-set-hostname, restore, radartool
       
       # brctl -h
       brctl: invalid argument '-h' to 'brctl'
       
       BusyBox v1.15.0 (2014-01-17 16:28:04 PST) multi-call binary
       
       Usage: brctl COMMAND [BRIDGE [INTERFACE]]
       
       Manage ethernet bridges.
       
       Commands:
               show                    Show a list of bridges
               showmacs BRIDGE         Show a list of mac addrs
               addbr BRIDGE            Create BRIDGE
               delbr BRIDGE            Delete BRIDGE
               addif BRIDGE IFACE      Add IFACE to BRIDGE
               delif BRIDGE IFACE      Delete IFACE from BRIDGE
               setageing BRIDGE TIME           Set ageing time
               setfd BRIDGE TIME               Set bridge forward delay
               sethello BRIDGE TIME            Set hello time
               setmaxage BRIDGE TIME           Set max message age
               setpathcost BRIDGE COST         Set path cost
               setportprio BRIDGE PRIO         Set port priority
               setbridgeprio BRIDGE PRIO       Set bridge priority
               stp BRIDGE [1|0]                STP on/off
       
       # cw_test_radio -h
       /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       
       # diag_console_debug -h
       Usage:
       
               diag_console_debug <on|off>               --turn on/off console log message
       
       # diag_debug_crashlog     
       Usage:
       
               diag_debug_crashlog clear                     --clear crash log
               diag_debug_crashlog read                      --read crash log and print
       
       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOG IN_PASSWD
           ADM IN_TIMEOUT
               Telnet and GUI session admin timeout in minutes
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
           AP_MGMT_VLAN_ID
           TELNET_ALLOW
           HTTP_ALLOW
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV
       
       # cw_diag help
       cw_diag usage:
           cw_diag help                             --show this usage
           cw_diag uptime                           --show daemon uptime
           cw_diag --tlog  <on|off>                 --turn on/off telnet log message.
           cw_diag --clog  <on|off>                 --turn on/off console log message.
           cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
           cw_diag kernel-panic [size [ID]]         --show saved kernel panic log fromflash
           cw_diag kernel-panic clear               --clear saved kernel panic log from flash
           cw_diag k-dvlan-debug [0-15]             --enable/disable kernel dynamic vlan debug
           cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
           cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
           cw_diag sniff [intf [0|1|2] | clear]     --show, set or clear sniff setting on intf
           cw_diag stats wl_intf                    --show wl_intf status
           cw_diag wl-log                           --get wlan's beacon/probe related info 
           cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
           cw_diag pkt-pattern [rId]                --show traffic packet length info.
           cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
           cw_diag sys-performance                  --show CPU load and memory usage
           cw_diag clear debug                      --clear all debug settings
           cw_diag show debug                       --show all debug settings
           cw_diag show control                     --show all -c settings
           cw_diag show all                         --show all debug and -c settings
           cw_diag -c wtp-cfg                       --show current wtp config params in control plane
           cw_diag -c radio-cfg                     --show current radio config params in control plane
           cw_diag -c ssid                          --show current configrued SSIDs
           cw_diag -c vap-cfg                       --show current vaps in control plane
           cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
           cw_diag -c sta-rogue                     --show rogue STAs pushed by AC for on-wire scan
           cw_diag -c arp-req                       --show scanned arp requests
           cw_diag -c ap-scan                       --show scanned APs
           cw_diag -c sta-scan                      --show scanned STAs
           cw_diag -c sta-cap                       --show scanned STA capabilities
           cw_diag -c sta-locate                    --show scanned STA locate data
           cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
           cw_diag -c wids                          --show scanned WIDS detections
           cw_diag -c mesh                          --show mesh status
           cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
           cw_diag -c mesh-veth-vap                 --show mesh veth vap
           cw_diag -c mesh-veth-host                --show mesh veth host
           cw_diag -c mesh-ap                       --show mesh ap candidates
           cw_diag -c vlan                          --show current vlan info in daemon
           cw_diag -c sta                           --show current station info in daemon
           cw_diag -c sys-vbr                       --show WTP Vlan Bridges
           cw_diag -c net-topo                      --show interface topology
           cw_diag -c k-vap                         --show WTP Kernel local-bridge VAPs
           cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
           cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
           cw_diag -c k-vbr                         --show WTP Kernel local-bridge Vlan Bridges
           cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
           cw_diag -c ap-suppress                   --show suppressed APs
           cw_diag -c sta-deauth                    --de-authenticate an STA
       FortiOS 5.2
       
       # get system status
       Version: FortiAP-221C v5.2,build490,140616 (GA)
       Serial-Number: FP221C3X14001296
       BIOS version: 04000003
       Regcode: E 
       Base MAC: 08:5b:0e:5d:f7:0c
       Hostname: FP221C3X14001296
       Branch point: 212
       Release Version Information: GA
       
       # help
       FortiAP commands:
       -----------------
               brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
               diag_console_debug, diag_debug_crashlog, dmesg, factoryreset
               fap-get-status, fap-set-hostname, restore, radartool
       
       # cw_test_radio -h
       /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       
       # diag_console_debug -h
       Usage:
       
               diag_console_debug <on|off>               --turn on/off console log message
       
       # diag_debug_crashlog      
       Usage:
       
               diag_debug_crashlog clear                     --clear crash log
               diag_debug_crashlog read                      --read crash log and print
       
       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOGIN_PASSWD
           ADMIN_TIMEOUT
               Telnet and GUI session admin timeout in minutes [0-480]
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
           AP_MGMT_VLAN_ID
           TELNET_ALLOW
           HTTP_ALLOW
           DDNS_ENABLE
           DDNS_PORT
           DDNS_SERVER
               0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
           DDNS_UNIQUE_LOCATION
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV
       
       # cw_diag help
       cw_diag usage:
           cw_diag help                             --show this usage
           cw_diag uptime                           --show daemon uptime
           cw_diag --tlog  <on|off>                 --turn on/off telnet log message.
           cw_diag --clog  <on|off>                 --turn on/off console log message.
           cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
           cw_diag kernel-panic [size [ID]]         --show saved kernel panic log fromflash
           cw_diag kernel-panic clear               --clear saved kernel panic log from flash
           cw_diag k-dvlan-debug [0-15]             --enable/disable kernel dynamic vlan debug
           cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
           cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
           cw_diag sniff [intf [0|1|2] | clear]     --show, set or clear sniff setting on intf
           cw_diag stats wl_intf                    --show wl_intf status
           cw_diag deauth wl_intf sta-mac           --deauthenticate the sta from wl_intf
           cw_diag disassoc wl_intf sta-mac         --disassociate the sta from wl_intf
           cw_diag ksta                             --show clients on the FortiAP
           cw_diag wl-log                           --get wlan's beacon/probe related info 
           cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
           cw_diag pkt-pattern [rId]                --show traffic packet length info.
           cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
           cw_diag sys-performance                  --show CPU load and memory usage
           cw_diag clear debug                      --clear all debug settings
           cw_diag show debug                       --show all debug settings
           cw_diag show control                     --show all -c settings
           cw_diag show all                         --show all debug and -c settings
           cw_diag -c wtp-cfg                       --show current wtp config params in control plane
           cw_diag -c radio-cfg                     --show current radio config params in control plane
           cw_diag -c ssid                          --show current configrued SSIDs
           cw_diag -c vap-cfg                       --show current vaps in control plane
           cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
           cw_diag -c sta-rogue                     --show rogue STAs pushed by AC for on-wire scan
           cw_diag -c arp-req                       --show scanned arp requests
           cw_diag -c ap-scan                       --show scanned APs
           cw_diag -c sta-scan                      --show scanned STAs
           cw_diag -c sta-cap                       --show scanned STA capabilities
           cw_diag -c sta-locate                    --show scanned STA locate data
           cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
           cw_diag -c wids                          --show scanned WIDS detections
           cw_diag -c mesh                          --show mesh status
           cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
           cw_diag -c mesh-veth-vap                 --show mesh veth vap
           cw_diag -c mesh-veth-host                --show mesh veth host
           cw_diag -c mesh-ap                       --show mesh ap candidates
           cw_diag -c vlan                          --show current vlan info in daemon
           cw_diag -c sta                           --show current station info in daemon
           cw_diag -c sys-vbr                       --show WTP Vlan Bridges
           cw_diag -c net-topo                      --show interface topology
           cw_diag -c k-vap                         --show WTP Kernel local-bridge VAPs
           cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
           cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
           cw_diag -c k-vbr                         --show WTP Kernel local-bridge Vlan Bridges
           cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
           cw_diag -c ap-suppress                   --show suppressed APs
           cw_diag -c sta-deauth                    --de-authenticate an STA
       FortiOS 5.4
       
       # get system status
       Version: FortiAP-221C v5.4,build0327,160107 (GA)
       Serial-Number: FP221C3X14001296
       BIOS version: 04000003
       System Part-Number: P15285-01
       Regcode: E 
       Base MAC: 08:5b:0e:5d:f7:0c
       Hostname: FP221C3X14001296
       Branch point: 327
       Release Version Information: GA
       
       # help
       FortiAP commands:
       -----------------
               brctl, cfg, cw_debug, cw_diag, cw_test_led, cw_test_radio
               diag_console_debug, diag_debug_crashlog, diag_sniffer
               dmesg, factoryreset, fap-get-status, fap-set-hostname
               ft_rate_config, restore, radartool, reboot
       
       # cw_test_radio -h
       /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       
       # diag_console_debug -h
       Usage:
       
               diag_console_debug <on|off>               --turn on/off console log message
       
       # diag_debug_crashlog      
       Usage:
       
               diag_debug_crashlog clear                     --clear crash log
               diag_debug_crashlog read                      --read crash log and print
       
       # cw_test_led
       /sbin/cw_test_led <all|power|status|wifi1|wifi2> <all|0|1|2|3|4> [interval]
       lan is controlled by hardware, we don't test it here
                 0: Off
                 1: On-Amber
                 2: On-Green
                 3: On-Flashing Amber
                 4: On-Flashing Green
          interval: Period in each state when all is selected for state
       
       # dmesg 
       
       # ft_rate_config
       ft_rate_config usage:
       command and options:
                -n <dev_name> -p
                -n <dev_name> -m [11bg|11a|11n|11ac] -s <string_256>
                -n <dev_name> -a
                -n <dev_name> -r
                -p print out current rate configuration
                -m radio mode
                -s configure rate set
                   11a string format is (6|6-basic,9|9-basic,12|12-basic,18|18-basic,24|24-basic,36|36-basic,48|48-basic,54|54-basic)
                   11bg string format includes 11a string format and also (1|1-basic,2|2-basic,5.5|5.5-basic)
                   11n string format is (mcs0/1,mcs1/1,...,mcs6/1,mcs7/1,mcs8/2,mcs9/2,...,mcs15/2,mcs16/3,mcs17/3,...,mcs31/4)
                   11ac string format is (mcs0/1,mcs1/1,mcs2/1,...,mcs8/1,mcs9/1,mcs0/2,mcs1/2,...,mcs9/4)
                -a apply the current configuration to radio
                -r reset the user configuration from the ssid
       
       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOGIN_PASSWD
           ADMIN_TIMEOUT
               Telnet and GUI session admin timeout in minutes [0-480]
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
               0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
           AP_MGMT_VLAN_ID
           ALLOW_TELNET
               0(Telnet disable), 1(Telnet enable), 2(controlled by AC)
           ALLOW_HTTP
               0(Http disable), 1(Http enable), 2(controlled by AC)
           DDNS_ENABLE
           DDNS_PORT
           DDNS_SERVER
               0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
           DDNS_UNIQUE_LOCATION
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_DISCOVERY_FCLD_APCTRL
           AC_DISCOVERY_FCLD_ID
           AC_DISCOVERY_FCLD_PASSWD
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV
           LED_STATE
               0(LED on), 1(LED off), 2(controlled by AC)
               
       # cw_diag help
       cw_diag usage:
           cw_diag help [module [mod name]]   --show this usage
           cw_diag uptime                     --show daemon uptime
           cw_diag --tlog  <on|off>           --turn on/off telnet log message.
           cw_diag --clog  <on|off>           --turn on/off console log message.
           cw_diag --flog  <size in MB>       --turn on/off log message to /tmp/var_log_wtpd.
           cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
           cw_diag kernel-panic [size [ID]]   --show saved kernel panic log fromflash
           cw_diag kernel-panic clear         --clear saved kernel panic log from flash
           cw_diag k-dvlan-debug [0-15]             --enable/disable kernel dynamic vlan debug
           cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
           cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
           cw_diag sniff [intf [0|1|2] | clear]     --show, set or clear sniff setting on intf
           cw_diag stats wl_intf                    --show wl_intf status
           cw_diag deauth wl_intf sta-mac           --deauthenticate the sta from wl_intf
           cw_diag disassoc wl_intf sta-mac         --disassociate the sta from wl_intf
           cw_diag ksta [HHHH]                      --show clients on the FortiAP
           cw_diag wl-log                           --get wlan's beacon/probe related info
           cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
           cw_diag pkt-pattern [rId]                --show traffic packet length info.
           cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
           cw_diag sys-performance                  --show CPU load and memory usage
           cw_diag clear debug                      --clear all debug settings
           cw_diag show debug                       --show all debug settings
           cw_diag show control                     --show all -c settings
           cw_diag show all                         --show all debug and -c settings
           cw_diag -c wtp-cfg                       --show current wtp config params in control plane
           cw_diag -c fcld-cfg                      --show current forticloud client config
           cw_diag -c radio-cfg                     --show current radio config params in control plane
           cw_diag -c ssid                          --show current configrued SSIDs
           cw_diag -c vap-cfg                       --show current vaps in control plane
           cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
           cw_diag -c sta-rogue                     --show rogue STAs pushed by AC for on-wire scan
           cw_diag -c arp-req                       --show scanned arp requests
           cw_diag -c ap-scan                       --show scanned APs
           cw_diag -c sta-scan                      --show scanned STAs
           cw_diag -c sta-cap                       --show scanned STA capabilities
           cw_diag -c sta-locate                    --show scanned STA locate data
           cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
           cw_diag -c wids                          --show scanned WIDS detections
           cw_diag -c mesh                          --show mesh status
           cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
           cw_diag -c mesh-veth-vap                 --show mesh veth vap
           cw_diag -c mesh-veth-host                --show mesh veth host
           cw_diag -c mesh-ap                       --show mesh ap candidates
           cw_diag -c vlan                          --show current vlan info in daemon
           cw_diag -c sta                           --show current station info in daemon
           cw_diag -c sys-vbr                       --show WTP Vlan Bridges
           cw_diag -c net-topo                      --show interface topology
           cw_diag -c wev                           --show queued wireless events to report
           cw_diag -c k-vap                         --show WTP Kernel local-bridge VAPs
           cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
           cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
           cw_diag -c k-vbr                         --show WTP Kernel local-bridge Vlan Bridges
           cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
           cw_diag -c ap-suppress                   --show suppressed APs
           cw_diag -c sta-deauth                    --de-authenticate an STA

Neu können unter FortiOS 5.0 / 5.2 auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu siehe Artikel:

       FortiAP:FAQ#Welche_Linux_Befehle_k.C3.B6nnen_auf_einem_FortiOS_f.C3.BCr_einen_Forti_Access_Point_ben.C3.BCtzt_werden.3F

Welche Kommandos kann ich auf einem Forti Access Point benützen um die Uptime eines Forti Access Point herauszufinden?

Wenn vermutet wird, dass ein Forti Access Point selbständig einen Neustart ausführt, kann folgender Befehl Lokal auf der CLI des Forti Access Point ausgeführt werden um die Uptime des entsprechenden Forti Access Point zu eruieren:

       # cw_diag uptime
        Current uptime                  : 574652
        WTP daemon start uptime         : 18
        WTP daemon RUN uptime           : 74
        Time since WTP daemon started   : 574634
        Time since WTP daemon connected : 574578
        
        Watchdog timer triggered        : 0
        Watchdog timer action           : 1
        Watchdog timer time             : 22

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Welche Kommandos kann ich auf einem Forti Access Point benützen um über die CLI die Netzwerk Konfiguration auszulesen?

Die Netzwerk Konfiguration eines Forti Access Point kann über das Forti Access Point Mgmt. Web Interface ausgelesen werden. Wenn dies jedoch nicht möglich ist, kann die momentane Netzwerk Konfiguration über CLi Lokal auf dem Forti Access Point ausgelesen werden. Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Nachdem der Zugriff gewährleistet ist, kann folgendes Kommando ausgeführt werden um die Netzwerk Konfiguration Lokal auf dem Forti Access Point auszulsen:

       # cfg -s
       AP_IPADDR:=192.168.1.2
       AP_NETMASK:=255.255.255.0
       IPGW:=192.168.1.1
       ADDR_MODE:=DHCP
       TELNET_ALLOW:=0
       AC_DISCOVERY_TYPE:=0
       AC_IPADDR_1:=192.168.1.1
       AC_CTL_PORT:=5246
       AC_DISCOVERY_MC_ADDR:=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE:=138

Welche Kommandos kann ich auf einem Forti Access Point benützen um die Firmware Version eines Forti Access Points herauszufinden?

Die Firmware eines Forti Access Points ist über das Mgmt. Web Interface der Fortigate unter "Managed FortiAPs" ersichtlich. Zusätzlich kann Lokal auf dem Forti Access Point nachfolgender Befehl durchgeführt werden um die Firmware Version resp. FortiOS zu verifizieren:

       # fap-get-status
       Version: FortiAP-220B v4.0,build222,120109 (MR3)
       Serial-Number: FAP22B1234567890
       BIOS version: 04000010
       Regcode: N
       Hostname: FAP22B1234567890
       Branch point: 222
       Release Version Information:MR3

Dazu benötigt man einen "telnet" Zugriff. Wie dieser Zugriff konfiguriert wird, wenn der Forti Access Point über keinen Consolen Port verfügt siehe nachfolgender Artikel:

       FortiAP:FAQ#Wie_kann_ich_per_.22telnet.2Fssh.22_auf_einen_Forti_Access_Point_verbinden_wenn_dieser_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Troubleshooting

Wie kann vorgegangen werden wenn Performance Problem auf einem Forti Access Point auftreten?

Wenn ein Wireless Infrastruktur aufgebaut wird, kommt es nicht selten zu Performance Probleme dh. Diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Wireless Clients usw. Nun wie soll vorgegangen werden wenn solche Performance Problem auftreten:

        •  Als Erstes führe Tests durch mit den Wireless Client's/Workstation basierend auf einem "Freien Kanal" (ganz sicher 
           nicht besetzt oder beeinträchtigt durch "fremde" andere Wireless Infrastrukturen). Nach Möglichkeit ist der 5 Ghz 
           zu bevorzugen vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GHz Bereich durch 
           Interferenzen das Resultat negativ beeinflusst. In diesen Test's sollten vers. Wireless Client's/Workstation benutzt 
           werden um festzustellen ob das Problem basierend auf einer spezifischen Gruppe von Wireless Client's/Workstation ist. 
           Ebenfalls sollte für die Wireless Client's/Workstations nur die neusten Wireless Treiber verwendet werden. Ziel ist 
           es zu versuchen das Problem einzugrenzen auf spezifische Wireless Client's/Workstation oder Bereich wie 5 GHz und
           oder 2.4 GHz usw.
        •  Stelle fest/sicher das der Wireless Client/Workstation mit der max. Rate verbunden ist:
           
           130Mbps für 2Ghz 2x2 
           300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
        •  Folgendes Tool kann auf einem Laptop helfen Störungen (Interferenzen) und Signalqualität zu identifizieren:
           
           http://www.metageek.net/support/downloads                    (inSSIDer für Windows / Mac / Android)
           http://www.nirsoft.net/network_tools.html                    (WifiInfoView für Windows)
           http://www.ekahau.com/products/heatmapper/overview.html      (HeatMapper für Windows XP / Windows Vista / Windows 7)
        •  Vergewissere dich, dass zwischen den Forti Access Point, FortiGate Wireless Controller und Server 1000Mbit benutzt wird. Sofern 
           nötig setze den speed fix (set speed 1000full) und kontrolliere einen event. Duplex Mismatch.
        •  Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung die Auslastung/Auswirkungen 
           auf den CPU und/oder Memory herauszufinden/zu Monitoren:
           
           # get sys perf status
           # diagnose sys top
        •  Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance zu erhöhen werden die Packete 
           "aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe durchgeführt (Block Ack Technique 802.11n). Wenn Packete 
           verworfen werden ist dies ein Hinweis auf Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr 
           aufzuzeichnen benötigt man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).
        •  Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)
           
           Datei:Jperf-how-to.pdf
        •  Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch Counter-Mode/CBC-MAC Protocol 
           ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch:
           
           http://en.wikipedia.org/wiki/CCMP
           
           CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-Methode.
        •  Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
          
          Datei:Fortinet-332.jpg
        •  Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen) verursachen.
        •  Ueberprüfe ob zuviele Broadcast sowie Multicast über das Wireless Netz gelangen/transportiert werden.
        •  Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. deaktivieren)
        •  Ueberprüfe ob auf den End Devices der User die neusten Treiber sowie Wireless Software installiert ist und überprüfe deren Datenrate.

Wie kann vorgegangen werden wenn auf einem Forti Access Point für Performance Probleme Messungen durchgeführt werden sollen?

Um in einem Netzwerk sei es Wireless oder Ethernet Messungen durchzuführen, ist es ratsam eine kleine Client to Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:

       http://www.ars.de/ars/ars.nsf/docs/netio

Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab, die danach ausgewertet werden. Ein Scenario wäre zB:

       Windows Client --> Windows Server
       
       Windows Server:
       Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
       Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
       
       C:\netio131>win32-i386.exe -s
       
       Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein 
       anderer Port definiert werden.
       
       Windows Client:
       Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
       Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
       
       C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
       
       Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls 
       angegeben werden mit -b. Weitere Optionen sind:
       
       Usage: netio [options] [<server>]
       
         -s            run server side of benchmark (o
         -b <size>[k]  use this block size (otherwise
         -B -K -M -G   force number formatting to Byte
       
         -t            use TCP protocol for benchmark
         -u            use UDP protocol for benchmark
         -h <addr>     bind TCP and UDP servers to thi
                       (default is to bind to all loca
         -p <port>     bind TCP and UDP servers to thi
       
         <server>      If the client side of the bench
                       a server name or address is req
       
       The server side can run either TCP (-t) or UDP
       (default, if neither -t or -u is specified). Th
       these protocols only (must specify -t or -u).
       Windows Client --> Linux Server
       
       Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
       Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
       File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
       zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
       
       #./linux-i386 -s
       
       NETIO - Network Throughput Benchmark, Version 1.30
       (C) 1997-2008 Kai Uwe Rommel
       
       UDP server listening.
       TCP server listening.
       TCP connection established ... 
       Receiving from client, packet size  1k ...  1364.51 KByte/s
       Sending to client, packet size  1k ...  803.63 KByte/s
       Receiving from client, packet size  2k ...  1473.31 KByte/s
       Sending to client, packet size  2k ...  645.55 KByte/s
       Receiving from client, packet size  4k ...  1452.13 KByte/s
       Sending to client, packet size  4k ...  640.69 KByte/s
       Receiving from client, packet size  8k ...  1120.63 KByte/s
       Sending to client, packet size  8k ...  716.57 KByte/s
       Receiving from client, packet size 16k ...  1506.04 KByte/s
       Sending to client, packet size 16k ...  658.24 KByte/s
       Receiving from client, packet size 32k ...  1433.88 KByte/s
       Sending to client, packet size 32k ...  855.72 KByte/s
       Done.
       TCP server listening.
       
       C:\netio131>win32-i386.exe -t [Linux Server / IP]
       
       NETIO - Network Throughput Benchmark, Version 1.31
       (C) 1997-2010 Kai Uwe Rommel
       
       TCP connection established.
       Packet size  1k bytes:  1381.22 KByte/s Tx,  780.68 KByte/s Rx.
       Packet size  2k bytes:  1486.13 KByte/s Tx,  567.92 KByte/s Rx.
       Packet size  4k bytes:  1466.74 KByte/s Tx,  612.15 KByte/s Rx.
       Packet size  8k bytes:  1129.70 KByte/s Tx,  702.39 KByte/s Rx.
       Packet size 16k bytes:  1541.18 KByte/s Tx,  617.14 KByte/s Rx.
       Packet size 32k bytes:  1472.19 KByte/s Tx,  796.44 KByte/s Rx.
       Done.

Was muss ich in Zusammenhang mit meinem WLAN beachten, wenn ich die FortiGate auf 6.4.2 uprade?

FortiOS 64.svg
Wir haben von Partnern Rückmeldungen erhalten, dass nach dem updaten der FortiGate, welche als WLAN-Kontroller funktionieren, die CPU-Auslastung auf der FortiGate immens hoch wird ( <90% ) Wenn der CLI-Befehl diagnose sys top ausgeführt wird um die CPU Auslastung auf der FortiGate anzuzeigen, kann man erkennen dass der Prozess cwWtpd über 90% der Ressourcen nutzt.

Fortinet-2821.jpg

Workaround:
Man kann auf der FortiGate für die AP den Spectrum-SCAN bis zum nächsten Reboot oder die nächste Rekonfiguration mit folgendem Befehl deaktivieren:

Config cli.png Konfiguration über die CLI:
 
diagnose wireless-controller wlac spectral-scan [SERIENUMMER_FAP] [RADIO] disable

Beispiel:

 
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 0 disable
diagnose wireless-controller wlac spectral-scan FP221C3XXXXXXXXXX 1 disable


Fortinet-2822.jpg

Vielen Dank an Stefan von UCC Pro

Wieso kommen die ForiAPs nach dem Upgrade auf FortiOS 7.0 nicht mehr online?

FortiOS 70.svg

Die 3DES- und SHA1-Verschlüsselungen wurden aus der strong cipher Liste im FortiOS v7.0.0 entfernt.
Dies führt dazu, dass FortiAPs mit älteren FortiAP Images welche noch schwächere Chipher benutzen sich nicht mehr mit der FortiGate verbinden können.

Um dieses Problem zu umgehen muss auf der FortiGate folgendes konfiguriert werden:

Config cli.png Konfiguration über die CLI:
 
# config system global
    set ssl-static-key-ciphers enable
    set strong-crypto disable
end
Tipp.png

Nach der Konfigurationsänderung ist es erforderlich, den acd Demon neu zu starten.

 
# execute wireless-controller restart-acd

ACHTUNG, Alle AP welche mit dieser FortiGate verbunden sind, werden disconectet und dann wieder reconectet

Wieso kann mein altes Mobile Gerät sich nicht mit der SSID auf der FortiGate verbinden?

Tipp.svg

Wenn man ältere Mobile Geräte (z.B Samsung Alpha) verwendet kann es sein, dass man sich nicht mit einer SSID verbinden kann.
Dies kann folgende Ursache haben:
Grund:
Die SSID setzt sich aus mehr als acht Zeichen zusammen.

Workaround:
Abhilfe schaft man damit, sich für diese Geräte eine eigene SSID mit nicht mehr als Acht Zeichen auf dem Controller der FortiGate konfiguriert.


Folgende Geräte sind uns gemeldet, welche eine SSID mit mehr als acht Zeichen nicht unterstützen:

  • Samsung Galaxy A6 (Model SM-A600FN, Android Version 10)
  • HTC U11, Android Version 9