FortiAP:FAQ: Unterschied zwischen den Versionen

         [[Datei:fortigate-wireless-40-mr3.pdf]]                                        (FortiOS Handbook v3 for FortiOS 4.0 MR3 "Deploying Wireless Networks")

         [[Datei:fortigate-wireless-50.pdf]]                                            (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.0)

         [[Datei:fortigate-wireless-52.pdf]]                                            (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.2)

         [[Datei:fortiap-release-notes-54.pdf]]                                         (FortiAP Release Notes Version 5.4.0)

=== Wo finde ich eine Uebersicht über die FortiAP Produkte? ===

Die beste Uerbsicht der FortiAP Produkte bietet die folgenden Dokumente/Links:

Desweiteren hat Fortinet eine Wireless Brochure Released die einen grobe Uebersicht bietet:

         [[FortiAP:FAQ#Wie_sieht_der_Hardware-Technische_Aufbau_.28block_diagram.29_eines_FortiAP_Produkts_aus.3F]]

Nachfolgend eine kurze Uebersicht über die Produkte und wo deren empfohlener Einsatzbereich liegt (Technische Details siehe oben Produkt-Guide sowie Produkt-Matrix):

=== Wo finde ich Informationen betreffend der FortiAP-S? ===

Die Features sowie Konfigurationen auf dieser Seite betreffen die "Light Forti Access Point" sowie die "Thick Forti Access Point". Da die "Smart Forti Access Point" nicht über die FortiGate verwaltet werden können sind die hier gezeigten Features sowie Konfigurationen für "Smart Forti Access Point" nicht anwendbar. Siehe auch folgender Artikel:

         [[FortiAP:FAQ#Welche_FortiAP_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F]]

Weitere Informationen zu den Details sowie Konfiguration der "Smart Forti Access Point" siehe nachfolgender Artikel:

=== Welche FortiAP Produkte Linien existieren und was sind die Unterschiede? ===

Fortinet verfügt heute über drei Produkt Linien betreffend Forti Access Point (exkl. Meru) dh.:

         '''Light Forti Access Point''' = Forti Access Point wie FAP-11c | FAP-21D | FAP-24D | FAP-220B | FAP-221B/C | FAP-320B/C usw.

                                  Features "auf" den Forti Access Points sondern die UTM Features werden über die FortiGate

          

        '''Thick Forti Access Point''' = Forti Access Point integriert in einer FortiGate FWF-30D | FWF-60D | FWF-90/2D. Bedeutet diese

=== Wie sieht der Hardware-Technische Aufbau (block diagram) eines FortiAP Produkts aus? ===

In der nachfolgenden Abbildung wird anhand eines FortiAP-28C gezeigt wie der Hardware-Technische Aufbau eines FortiAP Produktes aussieht:

Wie aus dem "block diagram" ersichtlich ist wird ein "Atheros" Chip benutzt. Weitere Informationen zu diesem Chip siehe nachfolgender Link:

         http://en.wikipedia.org/wiki/Qualcomm_Atheros

Desweiteren eine "Schematische" Uebersicht von FAP-221C, FAP-320C sowie FAP-321C:

         '''FAP-221C'''

          

        '''FAP-320C'''

        [[Datei:Fortinet-1360.jpg]]

         '''FAP-321C'''

         [[Datei:Fortinet-1361.jpg]]

=== Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?  ===

Das Consolen Kabel das für ein FortiAP Consolen Anschluss verwendet wird -sofern vorhanden- ist identisch mit dem Consolen Kabel das für eine Fortigate verwendet wird. Weitere Informationen siehe nachfolgender Artikel

        [[FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F]]

Grundsätzlich verfügen alle FortiGate Geräte über einen Wireless Controller mit Aussnahme von:

 

        '''NOTE''' Ab FortiOS 5.0.6 / 5.2 wurde der 30D die Möglichkeit gegeben den Wirless Controller zu verwenden.

            Verwendung einer 30D siehe nachfolgender Artikel:

             [[FortiGate-5.0-5.2:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_beim_Betrieb_einer_FortiGate_30D.3F]]

Diese FortiGate's die über einen Wireless Controller verfügen können für eine bestimmte Anzahl FortiAP's benützt werden. Folgender Artikel gibt Auskunft über die Anzahl FortiAP's die mit einem entsprechenden FortiGate Devices konfiguriert werden können sowie was zu berücksichtigen ist:

=== Wieso kann ein FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten? ===

Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:

        [[FortiAP:FAQ#Was_ist_mit_802.11AC_MU-MiMo_gemeint.3F]])

In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:

         # cw_diag -c radio-cfg

         Radio 0: AP

           country        : cfg=CH oper=CH

           radio type    : 11N_2.4G

           beacon intv    : 100

           tx power      : 15

           HT param      : '''mcs=23 gi=disabled bw=20MHz'''

           ack timeout    : 64

 

        '''NOTE''' Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer

            Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche

            Umgebungsvariablen 100% stimmen!

=== Was ist die max. Anzahl User die auf einem FortiAP verbunden werden können? ===

Nun die FortiAP's unterliegen keinem Limit! Eine Limitation betreffend User kann über die jeweilige SSID im Web Mgmt. Interface über folgende Position konfiguriert werden:

         WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients

Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen (Quelle: [[Datei:FortiAP Technical FAQ - January 2014.pdf]]):

        3-7  - For a direct wire replacement.

        8-15  - In high VoIP environment, high performance enterprise, significant video, etc.

        16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.

        26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.

        >50  - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.

=== Wieviele FortiAP können über eine FortiGate konfiguriert werden? ===

Bis FortiOS 5.0.2 gab nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAP's die über eine FortiGate konfiguriert werden konnte:

         [[Fortinet:ProduktInfo#Fortinet_Produkt-Matrix |Produkte Matrix]]

Ab FortiOS 5.0.3 gibt es eine Aenderung dh. die Anzahl der FortiAP's wurden je Device verdoppelt. Dies bedeutet es wird unterschieden zwischen FortiAP die "tunneling" (SSID = Tunnel to Wireless Controller) konfiguriert werden und solche die über ein "local bridging" (SSID = Local bridge with FortiAP's Interface) verfügen (set wtp-mode remote). Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID versieht die auf "local bridging" konfiguriert ist, zählt dieser FortiAP nicht "tunneling" FortiAP'. Dies gilt jedoch "nur" wenn ausschliesslich nur diese SSID auf dem entsprechenden FortiAP benützt wird. Wird auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als lokaler FortiAP. Wenn man einen FortiAP konfiguriert mit einer "local bridging" SSID und dieser deklariert werden soll als "NICHT" "tunneling" FortiAP kann man die entsprechenden Serien Nummer dieses FortiAP auf "set wtp-mode remote" setzen. Dies geschieht folgendermassen:

            Ist eine SSID auf "Tunnel to Wireless Controller" und diese SSID wird auf einem FAP zB FAP-14C benutzt um die lokalen

            Ports auf diese SSID zu bridge, jedoch wird der Radio auf dem FAP-14C nicht aktiviert (Disabled) kann dieser Access

            Point ebenfalls auf "remote" gesetzt werden! Dies scheint nach Aussagen von Fortinet ein "bug" zu sein. Um dies zu

Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FAP's sowie "local bridging":

         [[Datei:Fortinet-844.jpg]]

         '''NOTE''' Die offizielle Information betreffend "tunneling/local bridging" möglichen FAP's auf einer FortiGate

            [[FortiGate-5.0-5.2:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F]]

Fortinet hat ein Dokument herausgegeben in dem der Umstand dieser Aenderung erklärt wird:

=== Meine Fortinet Access Points haben nicht die übliche gewohnte MAC Adresse 00:09:0F? ===

Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht näheren Gründen werden neu Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann -muss jedoch nicht- zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist/sind. Um diese Probleme zu verhindern ist zu beachten, dass man mind. FortiOS 5.0.3 oder höher auf den Access Points einsetzt da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn Dem nicht Rechnung getragen wird, kann durch den Umstand der neue MAC Adresse im Zusammenhang mit FortiOS 5.0.2 zu Problemen kommen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:

        [[Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf]]

Ab FortiOS 5.0.5 ist es möglich einen FortiAP zu Pre-Authentifizieren! Dies bedeutet folgendes: Normalerweise meldet sich ein FortiAP über CAPWAP (UDP 5246) beim Wireless Controller. Danach wird manuell der FortiAP mit "Authorization" Authorisiert. Neu ab FortiOS 5.0.5 / 5.2 ist es möglich diesen Schritt zu automatisieren dh. den FortiAP für eine "Authorization" anhand seiner Serien Nummer so vorzubereiten, dass dieser durch diesen Schritt automatisch Authorisiert wird. Dies wird folgendermassen durchgeführt:

      '''NOTE''' Unter FortiOS 5.2 kann die komplette Konfiguration eines FortiAP durchgeführt werden dh. inkl.  

== Power Adapter ==

=== Wo finde ich eine Uebersicht ob ein FortiAP mit PowerAdapter geliefert wird oder PoE unterstützt? ===

FortiAP's werden teilweise mit - jedoch teilweise auch ohne - PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAP's mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter - die für fast alle FortiAP's erhältlich sind - aufgeführt:

            [[FortiAP-S:FAQ#Was_ist_unter_einem_.22Fortinet_Smart_Access_Point.22_.28FortiAP-S.29_zu_verstehen_und_um_was_handelt_es_sich_dabei.3F]]

        '''NOTE''' Für den Adapter "SP-FAP221B-PA" sowie "SP-FAP222B-PA" muss zusätzlich der Artikel "SP-ADAPTORPLUG-01-EU" bestellt werden!

=== Muss ich für die "Lifetime Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen? ===

Nicht in jedem Fall! Die Fortinet hat im März 2014 folgendes Dokument released:

         '''Jeder FortiAP der NACH 1. November 2013 gekauft/registriert wurde (purchased after November'''

        '''1st 2013) benötigt KEIN FortiCare mehr und hat LifeTime Waranty (Lebenslängliche Garantie).'''

        '''LifeTime Waranty bedeutet wiederum 5 Jahre nach EOL (End Of Life Announcement).'''

Alle Geräte "vor" dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden.

         '''NOTE''' Was zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im

            - Firmware Upgrade

            - Technischer Support (Ticketing)

            Um "FIrmware Upgrade's" durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt

            man weiterhin "FortiCare" dh. ohne FortiCare sind Firmware Upgrades nicht abgedeckt sowie können

            keine technischen Support Tickets eröffnet werden!

=== Kann man die FortiAP mit externen Antenna's nach-/ausrüsten? ===

Grunsätzlich ist dies möglich dh. das FortiAP Modell entscheidet über den verfügbaren Anschluss ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datashhet eruiert werden:

Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:

=== Was ist zu beachten wenn ein FortiAP mit einer externen Antenne ausgerüstet wird? ===

Eine externe Antenne "verteilt" das Signal nur dh. es verstärkt dieses nicht! Die Antennen "verteilen" das Signal in Ihrer speziellen Art und Weise. Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

=== Welchen Anschluss benützt eine FortiWifi/FortiAP für den externe Antenna Anschluss? ===

=== Gibt es von Fortinet eine "omnidirect" externe Antenne? ===

"Omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antenna gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:

=== Wo wird die "Standard" Konfiguration eines FortiAP OS manipuliert und gestartet? ===

Ein FortiAP OS ist basierend auf einem  "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0) Dies bedeutet Prozesse und/oder Deamons werden über die zuständigen RC Level (Start Scripts) abgewickelt. Diese RC Level -die wiederum einfach Scripts darstellen- lesen konfigurations Dateien aus um die nötige Konfiguration durchzuführen. Die RC Leves befinden sich im Verzeichnis:

=== Wo befinden sich die Standard Certificate eines FortiAP OS? ===

Die Zertifikate auf einem FortiAP sind wichtig und sollten NIE manipuliert werden! Dies bedeutet: anhand dieser Zertifikate wird die Verbindung über CAPWAP (UDP 5246) bereitgestellt, Firmware Upgrade durchgeführt sowie die DTLS Verschlüsselung etabliert. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgenden Artikel:

         [[FortiAP:FAQ#Was_bedeutet_.22WiFi_Data_Channel_Encryption.22_.28DTLS.29_und_wie_konfiguriere_ich_Diese.3F]]

=== Wo befindet sich das "root" des WebServers auf einem FortiAP-OS? ===

Bei FortiOS 5.0 / 5.2 wird ein Web Mgmt. Interface auf dem FortiAP zur Verfügung gestellt. Dieses ermöglicht einem Administrator einige der FAP Konfiguration über dieses Web Mgmt. Interface einzugeben. Das Web "root" dieses WebInterface befindet sich auf dem FortAP-OS im folgenden Verzeichnis:

=== Welche Befehle können auf einem FortiAP OS benützt werden? ===

Ein FortiAP basiert auf einem  "Linux 2.6.35 GNU/Linux" (Stand FortiOS 5.0)! Bei FortiOS 4.3.x basierenden Systemen war der Zugriff auf Linux Kommandos nicht möglich und nur die "build-in" Kommandos (cfg -a) standen zur Verfügung. Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Kommandos abgesetzt werden wie zB

== Grundsetup ==

=== Wie nehme ich ein Fortinet Access Point in Betrieb und konfiguriere ich diesen? ===

Das nachfolgende Beispiel zeigt wie man einen FortiAccess Point in Betrieb nimmt so wie dieser anhand zweier SSID "only4also" (Internal Use) und "also4guest" (Guest Use) konfiguriert wird. Diese Anleitung basiert auf FortiOS 5.0 kann jedoch für FortiOS 5.2 herangezogen werden. Für das Beispiel gehen wir von folgender Situation aus:

         |                        | 192.168.3.1    | FAP 220B  |

Wenn ein FortiAccess Point an ein Interface/Segment auf der FortiGate angeschlossen wird versucht dieser Access Point per Standard über CAPWAP (UDP-5246) über dieses Interface/Segment einen Wireless Controller zu erreichen. Wenn dieser Wireless Controller erreicht werden kann wird über diesen Wireless Controller per DHCP Server dem FortiAccess Point eine IP Adresse zugewiesen. Diese IP Adresse wird "nur" genutzt um den CAPWAP Tunnel zu etablieren und den FortiAccess Point zu verwalten. Es wird empfohlen - unter normalen Umständen - ein seperates Interface auf der FortiGate zu nutzen um über dieses dezidiert die ForitAccess Point's zu verwalten. In unserem Beispiel wäre dies das DMZ Interface mit dem IP Range 192.168.3.0/24:

        '''NOTE''' Damit der Wireless Controller CAPWAP Anfragen entgegen nimm aus diesem Segment resp. über dieses Interface

            muss die Position CAPWAP unter "Administrative Access" aktiviert werden. Desweiteren, damit die FortiAccess

         <big>'''Verbinden des FortiAccess Point's über CAPWAP Tunnel und Authorize des FortiAccess Point's'''</big>

         Nun muss der FortiAccess Point über das Interface/Segment das wir soeben konfiguriert haben dh. in unserem Beispiel das

        Authorisiert werden:

         WiFi Controller > Managed Access Points > [Wähle den entsprechenden Eintrag] > [Rechte Maustaste Edit]

        [[Datei:Fortinet-1233.jpg]] 

        [[Datei:Fortinet-1234.jpg]]

        [[Datei:Fortinet-1235.jpg]]

          

        Sobald der FortiAccess Point über "Authorize" Authorisiert wurde führt der Access Point ein Neustart aus. Nach ein bis

        [[Datei:Fortinet-1236.jpg]]

         [[Datei:Fortinet-1237.jpg]]

        [[Datei:Fortinet-1238.jpg]]

         [[Datei:Fortinet-1239.jpg]]

        Nach dem Upgrade des FortiAccess Point wird wiederum ein Neustart ausgeführt. Es wird empfohlen auf dem FortiAccess Point

        nach dem Upgrade (nur bei initial Installation) ein Factory Reset durchzuführen. Dieses kann über die Kommandozeile CLI

        der FortiGate durchgeführt werden:

         # config wireless-controller wtp

         # set login-enable enable

        <big>'''Konfiguriere den korrekten Country Code'''</big>

        Eine FortiGate wird per Standard im Zusammenhang mit dem Wireless Controller auf Country Code US ausgeliefert. Weitere

        Informationen betreffend Details zum Country Code siehe nachfolgenden Artikel:

        [[FortiAP:FAQ#Was_ist_als_Erstes_beim_.22Setup.22_eines_FortiAP_zu_beachten_.28Country_Code.29.3F]]

        Um den Country Code von US auf CH zu konfigurieren müssen sämtliche Profiles (wtp-profile) gelöscht werden. Dies wird

        folgendermassen durchgeführt:

         Do you want to continue (y/n)y

        '''NOTE''' Unter FortiOS 5.2 kann der Country Code gelöscht werden ohne die Profiles vorhergehend zu löschen jedoch werden durch

         <big>'''Konfiguriere der User Gruppen für SSID "only4also" sowie "also4guest"'''</big>

         User & Device > User > User Definition > Create New

         '''User/Gruppe only4also'''

         [[Datei:Fortinet-1240.jpg]]

         [[Datei:Fortinet-1241.jpg]]

         [[Datei:Fortinet-1242.jpg]]

          

         [[Datei:Fortinet-1243.jpg]]

          

         [[Datei:Fortinet-1244.jpg]]

          

         User & Device > User > User Groups > Create New

         [[Datei:Fortinet-1245.jpg]]

         [[Datei:Fortinet-1246.jpg]]

         '''User/Gruppe also4guest'''

         [[Datei:Fortinet-1245.jpg]]

         [[Datei:Fortinet-1247.jpg]]

          

         '''NOTE''' Ueber diese "Guest" definierte Gruppe kann anhand eines regulären Administrators der FortiGate sowie über "Guest Management"

            die entsprechenden Ticket's/User zur Gruppe hinzugefügt werden:

            [[Datei:Fortinet-1248.jpg]]  

            erfassen/hinzufügen zu dieser "Guest" Gruppe- kann dies konfiguriert werden indem ein Administrator konfiguriert wird der reduziert

            wird betreffend Rechte auf "Restrict to Provision Guest Accounts":

            [[Datei:Fortinet-1249.jpg]]  

            Ticket's erfassen. Weitere detailliert Informationen siehe nachfolgender Artikel:

            [[FortiAP:FAQ#Guest_Access]]

         <big>'''Konfiguriere der SSID "only4also" sowie "also4guest"'''</big>

         In den nachfolgenden Schritten werden die SSID's konfiguriert. Dabei benützen wir für die "only4also" SSID WPA/WPA2-Enterprise und für

         "also4guest" ein Captive Portal das ein Gruppe enhält die für "Guest Management" konfiguriert wurde. Innerhalb der SSID wird ein IP Range

        SSID ein IP zu zuweisen:

        [[Datei:Fortinet-1250.jpg]]

        [[Datei:Fortinet-1251.jpg]]

          

         [[Datei:Fortinet-1252.jpg]]

        '''NOTE''' Die nachfolgenden Artikel geben Auskunft über die verschiedenen Konfigurationspunkte:

            [[FortiAP:FAQ#F.C3.BCr_eine_SSID_betreffend_.22Security_Mode.22_k.C3.B6nnen_welche_Modi_konfiguriert_werden.3F]]

             [[FortiAP:FAQ#Was_ist_die_max._Anzahl_User_die_auf_einem_FortiAP_verbunden_werden_k.C3.B6nnen.3F]]

             [[FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Block_Intra-SSID_Traffic.22.3F]]

 

         <big>'''Konfiguriere des Profile's für den FortiAccess Point'''</big>

         [[Datei:Fortinet-1253.jpg]]

        [[Datei:Fortinet-1254.jpg]]

         [[Datei:Fortinet-1255.jpg]]

        '''NOTE''' Betreffend "channels" im Zusammenhang mit DFS Support resp. welche Kanäle aktiviert werden dürfen

            siehe nachfolgenden Artikel:

            [[FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F]]

         <big>'''Konfiguriertes Profile dem FortiAccess Point hinzufügen'''</big>

        [[Datei:Fortinet-1256.jpg]]

        [[Datei:Fortinet-1257.jpg]]

         [[Datei:Fortinet-1258.jpg]]

        [[Datei:Fortinet-1259.jpg]]

        [[Datei:Fortinet-1258.jpg]]

        [[Datei:Fortinet-1260.jpg]]

        <big>'''Konfigurieren der Firewall Policy Rule für "only4also" sowie "also4guest"'''</big>

        Nun können die Firewall Policy Rule's implementiert werden dh. für "only4also" SSID sowie für "also4guest":

        [[Datei:Fortinet-1264.jpg]]

=== Kann ich einen FortiAP ohne FortiGate Wirless Controller konfigurieren? ===

Ein FortiAP hat zwar ein Web Mgmt. Interface und über dieses kann eine bestimmte rudimentäre Konfiguration eingegeben werden (Fix IP, Controller IP usw) jedoch benötigt ein FortiAP für die Konfiguration einen Wirless Controller. Dies bedeutet: Die Logik resp. die Konfiguration wird dem FortiAP vom Wireless Controller übermittelt/zugewiesen und somit kann ein FortiAP nicht ohne Wirless Controller betrieben werden. Bis anhin war es so, dass der Wireless Controller der FortiAP's ausschliesslich auf der FortiGate zur Verfügung gestellt wurde und somit konnten FortiAP's nur im Zusammenhang mit einer FortiGate betrieben werden. Ab FortiOS 5.2.2 (Build 222) kann ein FortiAP "ohne" FortiGate betrieben werden da Fortinet neu einen Wirless Controller in der Cloud zur Verfügung stellt. Weitere Informationen zu dieser neuen Funktion in der FortiCloud siehe nachfolgenden Artikel:

         [[FortiCloud(FAMS):FAQ#Ist_es_m.C3.B6glich_anhand_eines_FortiCloud_Accounts_FortiAccess_Points_zu_verwalten.2Fkonfigurieren.3F]]

=== Welche Firmware sollte auf einer FortiGate und/oder FortiAP eingesetzt werden? ===

Früher unter FortiOS 4 MR3 wurde durch den Support klar die Richtlinie herausgegeben, dass auf der FortiGate und/oder Forti Access Point der gleiche Versionsstand resp. Patchlevel benutzt werden musste. Dieser Anweisung kann nach wie vor gefolgt werden! Neu ab FortiOS Version 4 M3 Patch 11 können ebenfalls FortiAP's mit FortiOS 5.0 (nicht FortiOS 5.2) eingesetzt werden. Diese Konstellation wird durch den Fortinet Support vollumfänglich unterstützt. In so einer Konstellation stehen natürlich "nur" die Features auf der FortiGate resp. Wireless Controller zur Verfügung die durch die Version 4 M3 Patch 11 unterstützt werden. Dies bedeutet zB das Feature des "Mesh" steht dann nicht zur Verfügung obwohl die Forti Access Point mit der FortiOS 5.0 dies unterstützen würden. Da jedoch dieses Feature in der FortiGate FortOS Version 4 M3 Patch 11 nicht unterstütz wird, kann dieses nicht über den Wireless Controller resp. FortiGate konfiguriert werden. Dennoch macht es durchaus Sinn eine FortiGate FortiOS 4 M3 Patch 11 mit Forti Access Point FortiOS 5.0 einzusetzen schon hinsichtlich zB Performance, Zuverlässigkeit oder Vorbereitung eines anstehenden Upgrad's der FortiGate auf FortiOS 5.0. Die gleiche Variante resp. Auasage gilt ebenfalls für FortiGate basierend auf 5.0.x (mind. 5.0.9) sowie Forti Access Point basierend auf 5.2.x. Dabei gilt betreffend Upgrade/Downgrade resp. Forti Access Point basierend auf 5.2.x folgendes zu berücksichtigen:

        '''NOTE''' Wenn FortiAP's im Zusammenhang mit FortiGate's basierend auf FortiOS 5.2 betrieben werden möchten, müssen die

            Forti Access Point anhand eines Upgrade ebenfalls auf FortiOS 5.2 gebracht werden. Ein "Downgrade" zurück auf

            5.0.x ist gemäss Release Notes ab 5.2.3 nicht mehr mögilch. Für ein FAP-221c kann in jedem Fall kein Downgrade

            '''NOTE''' Wird ein Upgrade eines Forti Access Point FAP-320C von 5.2.1 auf 5.2.2 oder höher durchgeführt muss

                  dessen Bios betreffend Flash Partition Size auf den neusten Stand gebracht werden. Dies bedeutet ein

                  Schritt 1:    FAP-320-C FortiOS 5.2.1 --> Upgrade anhand special Image (B0221) für Bios Upgrade "FAP-v5FLASH-UPGRADE-fortinet.out

                  Schritt 2:   Danach Upgrade mit regulärem Image auf 5.2.2

Wie schon erwähnt können Forti Access Point's basierend auf 5.2 mit FortiGate 5.2 oder FortiGate 5.0 eingesetzt werden! Dabei wird empfohlen den letzten Release Stand sei es auf den Forti Access Point sowie FortiGate's einzuspielen. Die Ausnahme ist der neue "Special Support Build" basierend auf FortiGate 5.0 der zwingen für Forti Access Point eingesetzte werden muss die den neuen Standard 802.11ac unterstützen (FAP-221C/222C/223C/321C). Somit, wenn eine FortiGate 5.0 im Zusammenhang mit FAP-221C/222C/223C/321C eingesetzt wird muss dieser "Special Support Build" zwingend eingesetzt werden. Dieser "Special Support Build" ist unter folgenden Link erhältlich:

         https://support.fortinet.com/Download/FirmwareImages.aspx

         / FortiGate/ v5.00/ Feature_Support/ fg_5-0_wifi_11ac/ v5.0/

        Desweiteren sollte folgender Artikel berücksichtigt werden:

         [[FortiAP:FAQ#Wann_kommt_der_802.11ac_Standard_und_um_was_handelt_es_sich_dabei.3F]]

Nachträglich eine kurze Uebersicht über die möglichen Konstellation:

         FortiGate 5.2.x                            --> Zwingend Forti Access Point 5.2.x (Alle Modelle inkl. FAP-221C/222C/223C/321C)

         FortiGate 5.0.x                            --> Forti Access Point 5.0.x empfohlen Forti Access Point 5.2.x (exkl. FAP-221C/222C/223C/321C Modelle da diese nicht erkannt werden)

        '''NOTE''' Bei dieser Aufstellung ist folgendes zu berücksichtigen: Die Firmware einiger Modelle wie zB FAP-21D sowie FAP-24D

             sind in der Version Forti Access Point 5.0.x nicht erhältlich somit müssen die Forti Access Point basierend auf

             Forti Access Point 5.2.x eingesetzt werden. Es ist im allgemeinen darauf zu Achten immmer die neusten Release

            betreffend Forti Access Point's einzusetzen. Wenn dies durchgeführt wird sei es für 5.0 und/oder 5.2 sind die

=== Was ist als Erstes beim "Setup" eines FortiAP zu beachten (Country Code)? ===