FortiAP:FAQ

Aus Fortinet Wiki
Version vom 14. Juli 2014, 16:00 Uhr von Solivaan (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

FortiAP:FAQ

Vorwort

Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x.

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:

       http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)
       FortiOS 4 MR3
       Datei:Fortigate-wireless-40-mr3.pdf                                         (FortiOS Handbook v3 for FortiOS 4.0 MR3 "Deploying Wireless Networks")
       
       Datei:FortiOS 4MR3 Wireless Controller Overview v4.pdf                      (FortiOS 4.0 MR3 Wireless Controller Overview)
       FortiOS 5.0
       Datei:Fortigate-wireless-50.pdf                                             (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.0)
       
       Datei:Wirless-technical-training-FOS-5.0-update-v2.pptx                     (FortiOS 5.0 "Wireless Technical Training")
       Datei:FortiAP Technical FAQ - January 2014.pdf                              (FortiAP Technical FAQ)
       Datei:Fortinet Secure WLAN FAQ.pdf                                          (Secure Wireless LAN (WLAN) Solution)
       Datei:Secure WLAN Sales Presentation R1.pptx                                (The Fortinet Secure WLAN Presentation)
       Datei:Securing Wireless Networks for PCI.pdf                                (Securing Wireless Networks for PCI Compliance)
       Datei:Extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf  (Extending the range of a wireless network byusing mesh topology)
       FortiOS 5.2
       Datei:Fortigate-wireless-52.pdf                                             (FortiOS Handbook "Deploying Wireless Networks" for FortiOS 5.2)

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

Hardware

Wo finde ich eine Uebersicht über die FortiAP Produkte?

Die beste Uerbsicht der FortiAP Produkte bietet die folgenden Dokumente/Links:

       Fortinet:ProduktInfo#Fortinet_Produkt-Guide
       Fortinet:ProduktInfo#Fortinet_Produkt-Matrix

Desweiteren hat Fortinet eine Wireless Brochure Relased die einen grobe Uebersicht bietet:

       Datei:Wireless Brochure.pdf (Unified Access LayerArchitecture)

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?

Das Consolen Kabel das für ein FortiAP Consolen Anschluss verwendet wird -sofern vorhanden- ist identisch mit dem Consolen Kabel das für eine Fortigate verwendet wird. Weitere Informationen siehe nachfolgender Artikel

       Fortigate:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F

Verfügen alle FortiGate Devices über einen Wireless Controller?

Grundsätzlich verfügen alle FortiGate Geräte über einen Wireless Controller mit Aussnahme von:

       FortiGate 20C
       FortiGate 30D
       
       NOTE Ab FortiOS 5.0.6 / 5.2 wurde der 30D die Möglichkeit gegeben den Wirless Controller zu verwenden.
            Ebenfalls kann die 30D ab dieser Version 2 FortiAP's managen! Weitere Informationen betreffend der 
            Verwendung einer 30D siehe nachfolgender Artikel:
            
            Fortigate:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_beim_Betrieb_einer_FortiGate_30D.3F

Diese FortiGate's die über einen Wireless Controller verfügen können für eine bestimmte Anzahl FortiAP's benützt werden. Folgender Artikel gibt Auskunft über die Anzahl FortiAP's die mit einem entsprechenden FortiGate Devices konfiguriert werden können sowie was zu berücksichtigen ist:

       FortiAP:FAQ#Wieviele_FortiAP_k.C3.B6nnen_.C3.BCber_eine_FortiGate_konfiguriert_werden.3F

Wieso kann ein FAP-320B/C bis zu 450 Mbps Durchsatz verarbeiten?

Ein FAP-320B/C setzt die sogenannte "3x3:3 MIMO" Technology ein! Siehe für weitere Details folgender Artikel:

       FortiAP:FAQ#Was_ist_mit_802.11AC_MU-MiMo_gemeint.3F)

In kurzer Ausführung bedeutet dies, dass der FAP-320B/C durch die "3x3:3 MIMO" Technology für eine Uebermittlung der Daten resp. Komunikation 3 Streams einsetzt. Die Modulation sowie die Codierung für diese 3 Streams wird definiert durch den MCS Index. Dieser max. MCS Index kann mit folgenden Befehl ausgelesen werden:

       # cw_diag -c radio-cfg
       
       Radio 0: AP
          country        : cfg=CH oper=CH
          radio type     : 11N_2.4G
          beacon intv    : 100
          tx power       : 15
          HT param       : mcs=23 gi=disabled bw=20MHz
          ack timeout    : 64
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25 
          r_ac chan      : num=6 age=25011
          channel        : num=6 
          oper_chan      : 6
          r_ac md_cap    : 2, 6, 10, 
          r_ac chan list : 2, 6, 10, 
               chan list : 2, 6, 10, 
          hw_chan list   : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 36, 40, 44, 48, 52, 
                           56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140, 
          nol list       : 
          ap scan        : background regular scan, 
          ap scan period : 600s
          ap scan intv   : 1s
          ap scan dur    : 20ms
          ap scan idle   : 0ms
          ap scan rpt tmr: 30s
          sta scan       : enabled
          arrp           : enabled --info only
          spect analysis : disabled
          wids           : wl-bridge bc-deauth nl-pbresp long-dur mac-oui wep-iv spoof-deauth asleap auth-flood assoc-flood eapol 
               long-dur-thresh: 8200
                    auth-flood: time=10, thresh=30
                   assoc-flood: time=10, thresh=30
       Radio 1: AP
          country        : cfg=CH oper=CH
          radio type     : 11AC
          beacon intv    : 100
          tx power       : 31
          VHT param      : mcs=9 gi=disabled bw=80MHz
          ack timeout    : 25
          r_ac MAX dista : 0 ackt_2G=64 ackt_5G=25 
          r_ac chan      : num=0 age=68299
          channel        : num=0 
          oper_chan      : 36
          r_ac md_cap    : 36, 40, 44, 48, 
          r_ac chan list : 36, 40, 44, 48, 
               chan list : 36, 40, 44, 48, 
          hw_chan list   : 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 
                           128, 132, 136, 140, 
          nol list       : 
          ap scan        : disabled, 
          sta scan       : disabled
          arrp           : disabled --info only
          spect analysis : disabled
          wids           : disabled

Der eingesetzte MCS Index bestimmt wiederum den max. Durchsatz gemäss unteren Tabelle:

       NOTE Wie schon erwähnt, bestimmt der eingesetzte MCS Index den max. Durchsatz. Dieser als max. theoretischer
            Wert bei "optimalen" Umgebungsvariablen zu verstehen dh. dieser kann nur erreicht werden wenn sämtliche
            Umgebungsvariablen 100% stimmen!
       Datei:Fortinet-718.jpg

Was ist die max. Anzahl User die auf einem FortiAP verbunden werden können?

Nun die FortiAP's unterliegen keinem Limit! Eine Limitation betreffend User kann über die jeweilige SSID im Web Mgmt. Interface über folgende Position konfiguriert werden:

       WiFi Controller > WiFi Network > SSID > [Wähle die entsprechende SSID] > Maximum Clients

Bei einem FortiAP 221/223/320 kann ca. von einer User Anzahl von 30 - 40 User ausgegangen werden. Dabei spielt jedoch die benützte Applikation wie zB "WebSurfing only" oder "VoIP" eine Rolle. Je nach benutztem Protokoll ist die Belastung höher oder niedriger (Packet Grösse)! Diesem Umstand ist Rechnung zu tragen bei der Planung von Projekten. Man kann ungefähr von folgender Tabelle ausgehen (Quelle: Datei:FortiAP Technical FAQ - January 2014.pdf):

       3-7   - For a direct wire replacement.
       8-15  - In high VoIP environment, high performance enterprise, significant video, etc.
       16-25 - Average high bandwidth enterprise and schools with 1:1 deployments, some video.
       26-50 - Hot spots and events, where you need basic connectivity, email and web browsing.
       >50   - Low bandwidth applications, credit card transactions, barcode readers, telemetry, etc.

Wieviele FortiAP können über eine FortiGate konfiguriert werden?

Bis FortiOS 5.0.2 gab nachfolgendes Dokument Aufschluss über die max. Anzahl der FortiAP's die über eine FortiGate konfiguriert werden konnte:

       Produkte Matrix

Ab FortiOS 5.0.3 gibt es eine Aenderung dh. die Anzahl der FortiAP's wurden je Device verdoppelt. Dies bedeutet es wird unterschieden zwischen FortiAP die "tunneling" (SSID = Tunnel to Wireless Controller) konfiguriert werden und solche die über ein "local bridging" (SSID = Local bridge with FortiAP's Interface) verfügen (set wtp-mode remote). Bedeutet wiederum: Wenn man einen FortiAP mit einer SSID versieht die auf "local bridging" konfiguriert ist, zählt dieser FortiAP nicht "tunneling" FortiAP'. Dies gilt jedoch "nur" wenn ausschliesslich nur diese SSID auf dem entsprechenden FortiAP benützt wird. Wird auf einem FortiAP SSID's gemischt dh. "tunneling" und "local bridging" gilt dieser FortiAP als lokaler FortiAP. Wenn man einen FortiAP konfiguriert mit einer "local bridging" SSID und dieser deklariert werden soll als "NICHT" "tunneling" FortiAP kann man die entsprechenden Serien Nummer dieses FortiAP auf "set wtp-mode remote" setzen. Dies geschieht folgendermassen:

       # config wireless-controller wtp
       # edit [Gebe die entsprechende Serial Nummer des FAP an]
       # set wtp-mode [Gebe an "remote"; Standard Einstellung "normal"]
       # end
       
       NOTE Versucht man einen FortiAP auf "remote" zu setzen und die SSID ist nicht auf "local-bridging enable" gesetzt 
            erscheint folgende Meldung:
            
            Can't be remote mode because wtp-profile '[Name des entsprechendes Profile]' has local-bridging disabled SSID '[Name der entsprechenden SSID]'

Nachfolgend eine Kurzübersicht betreffend "tunneling" möglichen FAP's sowie "local bridging":

       Fortinet-844.jpg
       
       NOTE Die offizielle Information betreffend "tunneling/local bridging" möglichen FAP's auf einer FortiGate
            findet man im Dokument der "max-values". Dieses Dokument findet man unter folgenden Artikel:
            
            Fortigate:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Fortinet hat ein Dokument herausgegeben in dem der Umstand dieser Aenderung erklärt wird:

       Datei:Maximum Number of Managed FortiAPs in FortiOS 5 0 3 FAQ - August 2013 v1 r5.pdf

Wo finde ich eine Uebersicht ob ein FortiAP mit PowerAdapter geliefert wird oder PoE unterstützt?

FortiAP's werden teilweise mit -jedoch teilweise auch ohne- PowerAdapter ausgeliefert. Nachfolgende Uebersicht zeigt welche FortiAP's mit PowerAdapter ausgeliefert werden und welche PoE unterstützen sowie in welcher Art und Weise! Ebenfalls sind die SKU's für seperate PowerAdapter -die für fast alle FortiAP's erhältlich sind- aufgeführt:

       Datei:Fortient-714.jpg

Nachfolgend eine weitere Uebersicht:

       Datei:Fortient-1079.jpg

Meine Fortinet Access Points haben nicht die übliche gewohnte MAC Adresse 00:09:0F?

Bis anhin hat Fortinet Access Points ausgeliefert basierend auf der MAC Adresse "00:09:0F" (Stand April 2013). Diese MAC Adresse ist direkt verknüpft mit der FortiOS Software auf de Access Points für vers. Funktionen. Nun aus nicht näheren Gründen werden neu Fortinet Access Points mit der MAC Adresse "08:5B:0E" ausgeliefert. Dies kann -muss jedoch nicht- zu Problemen führen im Betrieb da wie schon erwähnt die MAC Adresse mit dem FortiOS verknüpft ist/sind. Um diese Probleme zu verhindern ist zu beachten, dass man mind. FortiOS 5.0.3 oder höher auf den Access Points einsetzt da in diesem Patch Release dem Umstand der neuen MAC Adresse Rechnung getragen wird. Wenn Dem nicht Rechnung getragen wird, kann durch den Umstand der neue MAC Adresse im Zusammenhang mit FortiOS 5.0.2 zu Problemen kommen. Nachfolgendes Dokument wurde von Fortinet betreffend diesem Umstand als "Customer Support Bulletin" herausgegeben:

       Datei:CSB-130403-1-FortiAP-MAC-Addresses.pdf

Wie kann ich die Switch Ports eines FAP 11C/14C/28C benutzen?

Die FortiAP's 11C, 14C sowie 28C werden mit einem kleinen Switch ausgeliefert! Bis anhin (Stand FortiGate FortiOS 5.0.4 sowie FortiAP FortiOS 5.0.5) waren diese Ports nicht konfigurierbar sprich konnten nicht genutzt werden. Ab FortiGate FortiOS 5.0.5 und FortiAP FortiOS 5.0.6 können diese Ports folgendermassen konfiguriert werden über CLI:

      NOTE Fuer die LAN Port Konfiguration gelten folgende Restriktionen:
           
           • Beim FortiAP-14C können die einzelnen Ports nicht individuell gesetzt werden dh. alle Ports benützen eine Konfiguration!
           • Jeder Node/Host der sich über die LAN Ports verbindet gilt als "Authentifiziert"!
           • Dynamische V-Lan Konfiguration für Node/Host verbunden über die LAN Ports wird nicht unterstützt. Weitere Informationen
             dazu siehe nachfolgender Artikel:
             
             FortiAP:FAQ#Was_sind_Dynamische_VLAN.27s_und_wie_konfiguriere_ich_diese.3F
             
           • RADIUS Authentifizierung basierend auf MAC Adressen wird nicht unterstützt!
           • Wenn die LAN Ports auf "bridge-to-ssid" gesetzt sind kann DTLS Verschlüsslung aktiviert werden jedoch erst ab FortiGate 
             FortiOS 5.0.6 und FortiAP FortiOS 5.0.7!
      Offline
      LAN Ports können komplett deaktiviert und können somit nicht genutzt werden! Die Konfiguration wird auf entsprechenden AP-Profile
      gesetzt. Auf der Kommandozeile wird dies folgendermassen durchgeführt:
      
      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port-mode offline
      # end
      
      NOTE Unter "port-mode" stehen folgende Modi zur Verfügung:
           
           offline
           bridge-to-wan
           bridge-to-ssid
      
      Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter:
      
      WiFi Controller > WiFi Network > Custom AP Profiles
      
      Fortinet-964.jpg
      
      Wenn "AP Proflile = automatic" benützt wird kann dies über die folgende Position gesetzt werden:
      
      WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAP's
      
      Fortinet-965.jpg
      Bridge to SSID
      Die LAN Ports können anhand einer SSID mit der Funktion "Bridge" versehen werden was folgendes bedeutet: Verbindet sich ein Client über die LAN Ports, wird dem Client
      über den DHCP Server, der für die SSID konfiguriert wurde, eine IP zugewiesen. Der Traffic des Clients der sich am LAN Port verbindet, wird zum Wireless Controller gesendet. 
      Ein "local bridging" ist nicht möglich! WiFi Clients die diese SSID benutzen -die für das Bridging der LAN Ports benutzt wurde-  sowie die Clients die über den Switch Port 
      verbunden sind, können untereinander uneingeschränkt komunizieren. Es findet keine Authentication auf den LAN Ports statt! Die Clients, die über die LAN Ports in diesem Modus
      verbinden, sind über den Monitor unter "WiFi > Monitor > Client Monitor" ersichtlich! Die Konfiguration wird auf entsprechenden AP-Profile gesetzt. Auf der Kommandozeile
      wird dies folgendermassen durchgeführt:
      
      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port-mode bridge-to-ssid
      # set port-ssid [Name der gewünschten SSID]
      # end
      # set dtls-policy [ dtls-enabled | clear-text]
      # end
      
      Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter:
      
      WiFi Controller > WiFi Network > Custom AP Profiles
      
      Fortinet-964.jpg
      
      Wenn "AP Proflile = automatic" benützt wird kann dies über die folgende Position gesetzt werden:
      
      WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAP's
      
      Fortinet-965.jpg
      
      NOTE DTLS Verschlüsselung kann nicht aktiviert werden! Auf dem FortiAP steht die DTLS Verschlüsselung per Standard auf
           "Clear Text or DTLS Enabled" dh. der FortiAP bietet beides an. Somit steuert der Wireless Controller die Funktion.
           Nähere Informationen zur DTLS Verschlüsselung siehe folgender Artikel:
           
           FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F
      Bridge to WAN
      Es wird ein "Bridging" auf das WAN Interface durchgeführt was folgendes bedeutet: Verbindet sich ein Client über die LAN Ports, wird dem Client über den DHCP Server -sofern
      dieser existiert- der im WAN Segment existiert, eine IP zugewiesen. WiFi Clients die über eine SSID auf dem FortiAP verbunden sind und Clients die über die LAN Ports verbunden
      sind, können nur dann untereinander direkt komunizieren wenn eine entsprechende Policy auf der FortiGate implementiert wird! Die Konfiguration wird auf entsprechenden AP-Profile 
      gesetzt. Auf der Kommandozeile wird dies folgendermassen durchgeführt:
      
      # config wireless-controller wtp-profile
      # edit [Name des entsprechenden Profile]
      # config lan
      # set port-mode bridge-to-wan
      # end
      
      Diese Konfiguration kann ebenfalls über Web Mgmt. Interface gesetzt werden unter:
      
      WiFi Controller > WiFi Network > Custom AP Profiles
      
      Fortinet-964.jpg
      
      Wenn "AP Proflile = automatic" benützt wird kann dies über die folgende Position gesetzt werden:
      
      WiFi Controller > WiFi Network > Managed Access Points > Managed FortiAP's
      
      Fortinet-965.jpg

Auf dem FortiAP kann jeder einzelne LAN Port in den entsprechenden Modus offline, bridge-to-ssid und bridge-to-wan versetzt werden sofern folgendes berücksichtigt wird:

      --> Haben die FortiAP's individuelle LAN Port Konfigurationen benutze "AP Profile = automatic" (FortiAP:FAQ#Wenn_ich_bei_einer_Konfiguration_eines_Access_Point_Profiles_.22automatic.22_w.C3.A4hle_was_gilt_dann.3F)
      --> Haben alle FortiAP's die gleichen LAN Port Konfigurationen benutze "AP Profile = [Custome Profile]
      # config wireless-controller [benütze "wtp" für AP Profile automatic | benütze "wtp-profile" für AP Profile Custome Profile]
      # edit [Name des entsprechenden FortiAP zB "FAP14C3X13010817" oder des entsprechenden Profiles]
      # config lan
      # set port1-mode [Gilt für den definierten LAN Port1: offline | bridge-to-wan | bridge-to-ssid]
      # set port1-ssid [Gilt für den definierten LAN Port1: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port2-mode [Gilt für den definierten LAN Port2: offline | bridge-to-wan | bridge-to-ssid]
      # set port2-ssid [Gilt für den definierten LAN Port2: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port3-mode [Gilt für den definierten LAN Port3: offline | bridge-to-wan | bridge-to-ssid]
      # set port3-ssid [Gilt für den definierten LAN Port3: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port4-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid]
      # set port4-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # set port5-mode [Gilt für den definierten LAN Port4: offline | bridge-to-wan | bridge-to-ssid]
      # set port5-ssid [Gilt für den definierten LAN Port4: Name der entsprechende SSID sofern bridge-to-ssid definiert wurde]
      # end
      # end

Kann ich einen FortiAP für die "Authorization" auf dem Wireless Controller vorbereiten?

Ab FortiOS 5.0.5 auf der FortiGate ist es möglich einen FortiAP zu Pre-Authentifizieren! Dies bedeutet folgendes: Normalerweise in der Vergangenheit meldet sich ein FortiAP über CAPWAP (UDP 5246) am Wireless Controller. Danach musste manuell der FortiAP mit "Authorization" für die Authentifizierung freigegeben werden. Neu ist es möglich diesen Schritt zu automatisieren dh. den FortiAP für die Authorization vorzubereiten. Dies wird folgendermassen durchgeführt:

      WiFiw Controller > Managed Access Points > Managed FortiAPs > Create New
      
      Fortinet-967.jpg

Nun wird der FortiAP anhand der "Serial Number" Pre-Authentifiziert. Zusätzlich können bereits SSID vergeben werden. In einem späteren Zeitpunkt kann der FortiAP dann weiter konfiguriert werden.

Muss ich für die "Warranty" eines FortiAP's ein FortiCare (Maitenance) beziehen?

Nicht in jedem Fall! Die Fortinet hat im März 2014 folgendes Dokument released:

       Datei:Fortinet Limited Lifetime Warranty FAQ - March 2014.pdf

Dieses Dokument besagt folgendes:

       Jeder FortiAP der NACH 1. November 2013 gekauft/registriert wurde (purchased after November
       1st 2013) benötigt KEIN FortiCare mehr und hat LifeTime Waranty (Lebenslängliche Garantie).
       LifeTime Waranty bedeutet wiederum 5 Jahre nach EOL (End Of Life Announcement).

Alle Geräte "vor" dem 1. November 2013 müssen für die Maitenance mit einem FortiCare versehen werden um bei einem RMA Fall ausgetauscht zu werden.

       NOTE Was zu berücksichtigen ist wäre folgendes: Die Informationen hier beziehen sich auf FortiCare im
            Zusammenhang mit RMA Austausch bei Defekt. Die Informationen beziehen sich NICHT auf:
            
            - Firmware Upgrade
            - Technischer Support (Ticketing)
            
            Um "FIrmware Upgrade's" durchzuführen und/oder Technischen Support Tickets zu eröffnen benötigt
            man weiterhin "FortiCare" dh. ohne FortiCare sind Firmware Upgrades nicht abgedeckt sowie können
            keine technischen Support Tickets eröffnet werden!

Antenna

Kann man die FortiAP mit externen Antenna's nach-/ausrüsten?

Grunsätzlich ist dies möglich dh. das Modell entscheidet ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datashhet eruiert werden:

       Fortinet:ProduktInfo#FortiWiFi
       Fortinet:ProduktInfo#FortiAP

Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:

       Fortinet:ProduktInfo#FortiAntenna

Was ist zu beachten wenn ein FortiAP mit einer externen Antenna ausgerüstet wird?

Nun eine Antenna "verteilt" das Signal nur dh. es verstärkt dieses nicht! Verstärker resp. Verstärkungen eines Antenna Signals für zB Richtfunk ist Bewilligungspflichtig:

       http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

Welchen Anschluss benützt eine FortiWifi/FortiAP für den externe Antenna Anschluss?

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

       Fortinet:ProduktInfo#FortiWiFi
       Fortinet:ProduktInfo#FortiAP

Grunsätzlich wird durch die FortiWifi der RP-SMA Anschluss benützt (nicht zu verwechseln mit einem SMA Anschluss). Folgender Link gibt Auskunft um was es sich bei eiem RP-SMA Anschluss handelt:

       https://de.wikipedia.org/wiki/Koaxiale_Steckverbinder_f%C3%BCr_Hochfrequenzanwendungen#RP-SMA-Steckverbinder 

Gibt es von Fortinet eine "omnidirect" externe Antenna?

"omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenna 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antenna gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:

       Fortinet:ProduktInfo#FortiAntenna

FortiAP-OS

Um "Was" handelt es sich beim OS eines FortiAP?

Ein FortiAP ist basierend auf "Linux 2.6.35 GNU/Linux". In der Firmware basierend auf FortiOS 4.3.x war der Zugriff auf das OS nicht offen dh. es standem dem Administrator "nur" die üblichen Befehle wie "cfg -a" zur Verfügung. Mit FortiOS 5.0 / 5.2 wurde der Zugriff geöffnet!

Wo wird die "Standard" Konfiguration eines FortiAP OS manipuliert und gestartet?

Ein FortiAP OS ist basierend auf einem Linux Kernel. Dies bedeutet Prozesse und/oder Deamons werden über die zuständigen RC Level abgewickelt. Diese RC Level -die wiederum einfach Scripts darstellen- lesen Konfigurations Dateien aus um die nötige Konfiguation durchzuführen. Die RC Leves befinden sich im Verzeichnis:

       /etc/rc.d/

Die Konfigurations Dateien befinden sich im folgenden Verzeichnis:

       /etc/ath

In diesem Verzeichnis existieren folgende Files die für folgende Konfiguration zuständig sind:

       dflt.cfg (Standard Konfiguration)
       
       # more /etc/ath/dflt.cfg
       
       --------------- output dflt.cfg --------------- 
       
       ## Default values of FAP cfg variables
       ## For any cfg variable CFG_VAR_NAME with default value DFLT_VALUE,
       ## Add an entry like:   CFG_VAR_NAME_DFLT=DFLT_VALUE
       ## Don't include "" in DFLT_VALUE
       
       BAUD_RATE_DFLT=9600
       FIRMWARE_UPGRADE_DFLT=0
       ADMIN_TIMEOUT_DFLT=5
       
       ADDR_MODE_DFLT=DHCP
       STP_MODE_DFLT=0
       AP_IPADDR_DFLT=192.168.1.2
       AP_NETMASK_DFLT=255.255.255.0
       IPGW_DFLT=192.168.1.1
       DNS_SERVER_DFLT=208.91.112.53
       AP_MGMT_VLAN_ID_DFLT=0
       WAN_MODE_DFLT=bridged
       WAN_IPADDR_DFLT=192.168.2.1
       WAN_NETMASK_DFLT=255.255.255.0
       TELNET_ALLOW_DFLT=0
       HTTP_ALLOW_DFLT=1
       
       AC_DISCOVERY_TYPE_DFLT=0
       AC_IPADDR_1_DFLT=192.168.1.1
       AC_HOSTNAME_1_DFLT=_capwap-control._udp.example.com
       AC_CTL_PORT_DFLT=5246
       AC_DISCOVERY_MC_ADDR_DFLT=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE_DFLT=138
       AC_PLAIN_CTL_DFLT=0
       AC_DATA_CHAN_SEC_DFLT=2
       
       MESH_AP_TYPE_DFLT=0
       MESH_AP_MODE_DFLT=0
       MESH_AP_SSID_DFLT=fortinet.mesh.root
       MESH_AP_BSSID_DFLT=
       MESH_AP_PASSWD_DFLT=fortinet.mesh.root
       MESH_ETH_BRIDGE_DFLT=0
       MESH_MAX_HOPS_DFLT=4
       MESH_SCORE_HOP_WEIGHT_DFLT=50
       MESH_SCORE_CHAN_WEIGHT_DFLT=1
       MESH_SCORE_RATE_WEIGHT_DFLT=1
       MESH_SCORE_BAND_WEIGHT_DFLT=100
       MESH_SCORE_RSSI_WEIGHT_DFLT=100
       
       --------------- output dflt.cfg --------------- 
       apcfg (Benutzerspezifische Konfiguration)
       
       # more /etc/ath/apcfg
       
       --------------- output dflt.cfg --------------- 
               
       ###################################################################################
       ##  apcfg
       ##
       ##  Configuration file for Atheros AP.
       ##  This file will "predefine" default configuration data for the AP.  This
       ##  will first read all configuration data from flash (cfg -E), then fill in any
       ##  defaults that are missing.  Thus the defaults will appear on the web pages
       ##  even if the configuration store has been cleared.
       ##
       ###################################################################################
       ##
       ## Get the current settings from flash/cache area
       ##
       
       cfg -E > /tmp/vars.$$
       . /tmp/vars.$$
       rm /tmp/vars.$$
       
       source /etc/ath/dflt.cfg
       
       ##
       ## Set Network configuration
       ##
       ## AP_IPADDR  = IP address of the bridge
       
       ## WAN_IPADDR = Fixed IP address of the WAN, if it's not bridged
       ## WAN_MODE   = bridged for attached to bridged, Get address if dhcp, fixed address
       ##              if static
       ##
       ###################################################################################
       
       if [ ${FIRMWARE_UPGRADE} ] && [ ${FIRMWARE_UPGRADE} -eq 1 ]; then
           cfg -a FIRMWARE_UPGRADE=0
           cfg -c
           if [ ${LOGIN_PASSWD_ENC} ]; then
               cfg -a LOGIN_PASSWD_ENC=${LOGIN_PASSWD_ENC}
           fi
       fi
       
       cfg -a ADMIN_TIMEOUT=${ADMIN_TIMEOUT:=${ADMIN_TIMEOUT_DFLT}}
       
       cfg -a AP_IPADDR=${AP_IPADDR:=${AP_IPADDR_DFLT}}
       cfg -a IPGW=${IPGW:=${IPGW_DFLT}}{AP_NETMASK_DFLT}}
       cfg -a DNS_SERVER=${DNS_SERVER:=${DNS_SERVER_DFLT}}
       cfg -a AP_MGMT_VLAN_ID=${AP_MGMT_VLAN_ID:=${AP_MGMT_VLAN_ID_DFLT}}
       cfg -a ADDR_MODE=${ADDR_MODE:=${ADDR_MODE_DFLT}}
       cfg -a STP_MODE=${STP_MODE:=${STP_MODE_DFLT}}
       cfg -a WAN_MODE=${WAN_MODE:=${WAN_MODE_DFLT}}
       cfg -a WAN_IPADDR=${WAN_IPADDR:=${WAN_IPADDR_DFLT}}
       cfg -a WAN_NETMASK=${WAN_NETMASK:=${WAN_NETMASK_DFLT}}
       
       cfg -a TELNET_ALLOW=${TELNET_ALLOW:=${TELNET_ALLOW_DFLT}}
       cfg -a HTTP_ALLOW=${HTTP_ALLOW:=${HTTP_ALLOW_DFLT}}
       cfg -a BAUD_RATE=${BAUD_RATE:=${BAUD_RATE_DFLT}}
       
       ##
       ## Set WTP configuration
       ##
       cfg -a AC_DISCOVERY_TYPE=${AC_DISCOVERY_TYPE:=${AC_DISCOVERY_TYPE_DFLT}}
       cfg -a AC_IPADDR_1=${AC_IPADDR_1:=${AC_IPADDR_1_DFLT}}
       cfg -a AC_HOSTNAME_1=${AC_HOSTNAME_1:=${AC_HOSTNAME_1_DFLT}}
       cfg -a AC_CTL_PORT=${AC_CTL_PORT:=${AC_CTL_PORT_DFLT}}
       cfg -a AC_DISCOVERY_MC_ADDR=${AC_DISCOVERY_MC_ADDR:=${AC_DISCOVERY_MC_ADDR_DFLT}}
       cfg -a AC_PLAIN_CTL=${AC_PLAIN_CTL:=${AC_PLAIN_CTL_DFLT}}OPTION_CODE:=${AC_DISCOVERY_DHCP_OPTION_CODE_DFLT}}
       cfg -a AC_DATA_CHAN_SEC=${AC_DATA_CHAN_SEC:=${AC_DATA_CHAN_SEC_DFLT}}
       
       ##
       ## Set MESH configuration
       ##
       cfg -a MESH_AP_TYPE=${MESH_AP_TYPE:=${MESH_AP_TYPE_DFLT}}
       cfg -a MESH_AP_MODE=${MESH_AP_MODE:=${MESH_AP_MODE_DFLT}}
       cfg -a MESH_AP_SSID=${MESH_AP_SSID:=${MESH_AP_SSID_DFLT}}
       cfg -a MESH_AP_BSSID=${MESH_AP_BSSID:=${MESH_AP_BSSID_DFLT}}
       if test ${MESH_AP_PASSWD+defined}
       then
       cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD}
       else
       cfg -a MESH_AP_PASSWD=${MESH_AP_PASSWD:=${MESH_AP_PASSWD_DFLT}}
       fi
       cfg -a MESH_ETH_BRIDGE=${MESH_ETH_BRIDGE:=${MESH_ETH_BRIDGE_DFLT}}
       cfg -a MESH_MAX_HOPS=${MESH_MAX_HOPS:=${MESH_MAX_HOPS_DFLT}}
       
       cfg -a MESH_SCORE_HOP_WEIGHT=${MESH_SCORE_HOP_WEIGHT:=${MESH_SCORE_HOP_WEIGHT_DFLT}}
       _DFLT}}                     T=${MESH_SCORE_CHAN_WEIGHT:=${MESH_SCORE_CHAN_WEIGHT_DFLT}}
               cfg -a MESH_SCORE_BAND_WEIGHT=${MESH_SCORE_BAND_WEIGHT:=${MESH_SCORE_BAND_WEIGHT_DFLT}}- (37% of 8884 bytes)
               cfg -a MESH_SCORE_RSSI_WEIGHT=${MESH_SCORE_RSSI_WEIGHT:=${MESH_SCORE_RSSI_WEIGHT_DFLT}}
       #
       # Account for S26 peculiarity
       #
       export WAN_IF=eth1
       export LAN_IF=eth0
       
       #
       # Indicate if you want the WLAN to be activated on boot up.
       #
       
       cfg -a WLAN_ON_BOOT=${WLAN_ON_BOOT:="n"}
       
       #
       # AP Start Mode
       # This can be overridded by environmental variables
       # Modes can be
       #    standard := standard single AP start mode
       #      rootap := WDS root AP for WDS modes
       #reptater-ind := WDS repeater station independent mode
       #      client := WDS "virtual wire" client
       #       multi := Multiple BSSID with all encryption types
       #        dual := Dual concurrent, automatically configure interface
       #      stafwd := Station mode with address forwarding enabled
       #
       #
       
       cfg -a AP_STARTMODE=${AP_STARTMODE:="dual"}
       cfg -a AP_RADIO_ID=${AP_RADIO_ID:=0}
       cfg -a AP_RADIO_ID_2=${AP_RADIO_ID_2:=1}
       
       
       #################################################################################
       ## Default Parameters
       ## If these are not set explictly by exporting environmental variables, the following
       ## Defaults will be applied
       #################################################################################
       #
       # AP_PRIMARY_CH could be
       #                11na (which means auto-scan in 11na mode) or
       #                11ng (which means auto-scan in 11ng mode)
       
       cfg -a AP_PRIMARY_CH=${AP_PRIMARY_CH:=6}
       cfg -a AP_CHMODE=${AP_CHMODE:="11NGHT20"}
       
       ##
       ## Set up the channel for dual mode
       ##
       
       cfg -a AP_PRIMARY_CH_2=${AP_PRIMARY_CH_2:=40}
       cfg -a AP_CHMODE_2=${AP_CHMODE_2:="11NAHT40MINUS"}
       
       ##
       ## This is for pure G or pure N operations.  Hmmmm...
       ##
       
       cfg -a PUREG=${PUREG:=0}
       cfg -a PUREN=${PUREN:=0}
       
       ##
       ## Channel Configuration Section
       ##
       
       cfg -a TXQUEUELEN=${TXQUEUELEN:=1000}
       cfg -a SHORTGI=${SHORTGI:=1}
       cfg -a SHORTGI_2=${SHORTGI_2:=1}
       
       #
       # Aggregation.  First parameter enables/disables,
       # second parameter sets the size limit
       #
       
       cfg -a AMPDUENABLE=${AMPDUENABLE:=1}
       cfg -a AMPDUENABLE_2=${AMPDUENABLE_2:=1}
       cfg -a AMPDUFRAMES=${AMPDUFRAMES:=32}
       cfg -a AMPDUFRAMES_2=${AMPDUFRAMES_2:=32}
       cfg -a AMPDULIMIT=${AMPDULIMIT:=50000}
       cfg -a AMPDULIMIT_2=${AMPDULIMIT_2:=50000}
       cfg -a AMPDUMIN=${AMPDUMIN:=32768}
       cfg -a AMPDUMIN_2=${AMPDUMIN_2:=32768}
       cfg -a CWMMODE=${CWMMODE:=1}
       cfg -a CWMMODE_2=${CWMMODE_2:=1}
       cfg -a RATECTL=${RATECTL:="auto"}
       cfg -a MANRATE=${MANRATE:=0x8c8c8c8c}
       cfg -a MANRETRIES=${MANRETRIES:=0x04040404}
       cfg -a RX_CHAINMASK_2=${RX_CHAINMASK_2:=3}
       cfg -a TX_CHAINMASK=${TX_CHAINMASK:=3}
       cfg -a TX_CHAINMASK_2=${TX_CHAINMASK_2:=3}
       
       ##
       ## AP Identification Section
       ##
       
       cfg -a AP_SSID="${AP_SSID:=Atheros_XSpan_2G}"
       
       if [ "${AP_STARTMODE}" = "dual" ]; then
           cfg -a AP_SSID_2="${AP_SSID_2:=Atheros_XSpan_5G}"
       fi
       
       ##
       ## Set the default modes for multi configuration
       ## Set default security modes
       ## Set default secfile to PSK, only valid in WPA mode
       ## Default keys are Decimal (NOT hex)
       ##
       export MAX_VAPS_PER_RADIO=4
       
        _1
       ## trailer - it's not a VAP number, it's the number of the key.  This is done for-More-- (73% of 8884 bytes)
       ## both radios.
       ##
       
       my_wep_keys="_1 _2 _3 _4"
       for i in $my_wep_keys;
       do
           if [ "${i}" = "" ]; then
               i=""
           fi
           ITER_AP_WEP_RADIO_NUM0_KEY="WEP_RADIO_NUM0_KEY$i"
           ITER_AP_WEP_RADIO_NUM1_KEY="WEP_RADIO_NUM1_KEY$i"
           eval ITER_WEP_RADIO_NUM0_KEY=\$$ITER_AP_WEP_RADIO_NUM0_KEY
           eval ITER_WEP_RADIO_NUM1_KEY=\$$ITER_AP_WEP_RADIO_NUM1_KEY
           cfg -a $ITER_AP_WEP_RADIO_NUM0_KEY=${ITER_WEP_RADIO_NUM0_KEY:=""}
           cfg -a $ITER_AP_WEP_RADIO_NUM1_KEY=${ITER_WEP_RADIO_NUM1_KEY:=""}
       done
       
       ##
       ## Now, for each radio, set the primary key and the mode value
       ##
       cfg -a AP_PRIMARY_KEY_0="${AP_PRIMARY_KEY_0:=1}"
       cfg -a AP_PRIMARY_KEY_1="${AP_PRIMARY_KEY_1:=1}"
       cfg -a AP_WEP_MODE_0="${AP_WEP_MODE_0:=1}"
       cfg -a AP_WEP_MODE_1="${AP_WEP_MODE_1:=1}"
       
       
       my_vaps=" _2 _3 _4 _5 _6 _7 _8"
       for i in $my_vaps;
       do
           if [ "${i}" = "" ]; then
               i=""
           fi
       ITER_AP_MODE="AP_MODE$i"
       ITER_AP_SECMODE="AP_SECMODE$i"
       ITER_AP_SECFILE="AP_SECFILE$i"
       ITER_AP_WPS_ENABLE="WPS_ENABLE$i"
       eval ITER_MODE=\$$ITER_AP_MODE
       eval ITER_SECMODE=\$$ITER_AP_SECMODE
       eval ITER_SECFILE=\$$ITER_AP_SECFILE
       eval ITER_WPS_ENABLE=\$$ITER_AP_WPS_ENABLE
       cfg -a $ITER_AP_MODE=${ITER_MODE:="ap"}
       cfg -a $ITER_AP_SECMODE=${ITER_SECMODE:="None"}
       cfg -a $ITER_AP_SECFILE=${ITER_SECFILE:="PSK"}
       done                        LE=${ITER_WPS_ENABLE:="0"}
       
       ##
       ## Export the variables again to catch the defaults
       ##
       
       cfg -E > /tmp/vars.$$
       . /tmp/vars.$$
       rm /tmp/vars.$$
       
       ##
       ## Set the proper radio parameter values depending on the
       ## interface selected.  These are exported vice included
       ## in cache. These should really be in apup vice here,
       ## but this works OK.
       ##
       
       for i in $my_vaps;
       do
           if [ "${i}" = "" ]; then
               i=""
       fi
           ITER_RADIO_ID="AP_RADIO_ID$i"
           eval ITER_RADIO_ID=\$$ITER_RADIO_ID
           if [ "${ITER_RADIO_ID}" = "1" ]; then
               export $ITER_RFPARAM=RF:$AP_PRIMARY_CH_2:$AP_CHMODE_2
       else
               export $ITER_RFPARAM=RF:$AP_PRIMARY_CH:$AP_CHMODE
       fi
       done
       
       #####################################################################################
       ## The following parameters are board specific, and should not be modified
       #####################################################################################
       
       export ATH_use_eeprom=0
       
       --------------- output dflt.cfg --------------- 

Wo befinden sich die Standard Certificate eines FortiAP OS?

Die Zertifikate auf einem FortiAP sind wichtig und sollten NIE manipuliert werden! Dies bedeutet anhand dieser Zertifikate wird die Verbindung über CAPWAP (UDP 5246) hergestellt, Firmware Upgrade durchgeführt sowie die DTLS Verschlüsselung etabliert. Weitere Informationen betreffend DTLS Verschlüsselung siehe nachfolgenden Artikel:

       FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F

Die Zertifikate befinden sich im folgenden Verzeichnis:

       /etc/cert
       
       /etc/fgt.crt
       /etc/fgt.key

Wo befindet sich das "root" des WebServers auf einem FortiAP-OS?

Neu bei FortiOS 5.0 wird ein Web Mgmt. Interface auf dem FortiAP zur Verfügung gestellt. Diese ermöglicht einem Administrator einige der FAP Konfiguration über dieses Web Mgmt. Interface einzugeben. Das Web "root" dieses WebInterface befindet sich auf dem FortAP-OS im folgenden Verzeichnis:

       /usr/www

Welche Befehle können auf einem FortiAP OS benützt werden?

Ein FortiAP basiert auf einem Linux Kernel! Bei FortiOS 4.3.x basierenden Systeme war der Zugriff auf Linux Kommandos nicht möglich und nur die "build-in" Kommandos standen zur Verfügung. Neu unter FortiOS 5.0 / 5.2 kann auf das Linux Zugegriffen werden und Kommandos abgesetzt werden wie zB

       ifconfig
       more
       cd

Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse kurz anzuschauen:

       /bin
       /sbin
       # ls -la /bin
       
       --------------- output /bin --------------- 
       
       drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
       drwxr-xr-x   15 admin    root            0 Jan  1  1970 ..
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ash -> busybox
       -rwxr-xr-x    1 admin    root      1143436 Dec 11 00:54 busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cat -> busybox
       lrwxrwxrwx    1 admin    root           24 Dec 11 00:54 cfg -> /usr/www/cgi-bin/cgiMain
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 chmod -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 cp -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 date -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 df -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 dmesg -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 echo -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 egrep -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 factoryreset -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 fgrep -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 grep -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ip -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 iproute -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 kill -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ln -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 login -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ls -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mkdir -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 more -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mount -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 mv -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ping -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 ps -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 pwd -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rm -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 rmdir -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sh -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sleep -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 sync -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 touch -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 umount -> busybox
       lrwxrwxrwx    1 admin    root            7 Dec 11 00:54 uname -> busybox
       
       --------------- output /bin --------------- 
       # ls -al /sbin
       
       --------------- output /sbin --------------- 
       
       drwxr-xr-x    2 admin    root            0 Dec 11 00:54 .
       drwxr-xr-x   15 admin    root            0 Jan  1  1970 ..
       -rw-r--r--    1 admin    root            0 Dec 11 00:35 .dummy
       -rwxr-xr-x    1 admin    root        12128 Dec 11 00:54 apstart
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 arp -> ../bin/busybox
       -rwxr-xr-x    1 admin    root      1348400 Dec 11 00:54 cwWtpd
       -rwxr-xr-x    1 admin    root         6096 Dec 11 00:54 cw_debug
       lrwxrwxrwx    1 admin    root            6 Dec 11 00:54 cw_diag -> cwWtpd
       -rwxr-xr-x    1 admin    root         2534 Dec 11 00:46 cw_test_led
       -rwxr-xr-x    1 admin    root         3727 Dec 11 00:46 cw_test_radio
       -rwxr-xr-x    1 admin    root         4652 Dec 11 00:54 diag_console_debug
       -rwxr-xr-x    1 admin    root         5084 Dec 11 00:54 diag_debug_crashlog
       -rwxr-xr-x    1 admin    root         3932 Dec 11 00:54 ebtables
       -rwxr-xr-x    1 admin    root         9508 Dec 11 00:54 fap-factory-license
       -rwxr-xr-x    1 admin    root         4892 Dec 11 00:54 fap-get-status
       -rwxr-xr-x    1 admin    root         4484 Dec 11 00:54 fap-mount-udisk
       -rwxr-xr-x    1 admin    root         5956 Dec 11 00:54 fap-set-hostname
       -rwxr-xr-x    1 admin    root         4148 Dec 11 00:54 fap-umount-udisk
       -rwxr-xr-x    1 admin    root        74220 Dec 11 00:54 fsd
       -rwxr-xr-x    1 admin    root        11012 Dec 11 00:54 get
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 getty -> ../bin/busybox
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 halt -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         4408 Dec 11 00:54 help
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 ifconfig -> ../bin/busybox
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 init -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         3724 Dec 11 00:54 init_sys_shm
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 insmod -> ../bin/busybox
       -rwxr-xr-x    1 admin    root        21584 Dec 11 00:54 iwconfig
       -rwxr-xr-x    1 admin    root        25304 Dec 11 00:54 iwlist
       -rwxr-xr-x    1 admin    root        11352 Dec 11 00:54 iwpriv
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 lsmod -> ../bin/busybox
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 modprobe -> ../bin/busybox
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 poweroff -> ../bin/busybox
       -rwxr-xr-x    1 admin    root        12548 Dec 11 00:54 radartool
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 reboot -> ../bin/busybox
       -rwxr-xr-x    1 admin    root           61 Dec 11 00:49 repeater_pass_configuration
       -rwxr-xr-x    1 admin    root         5884 Dec 11 00:54 restore
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 rmmod -> ../bin/busybox
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 route -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         5884 Dec 11 00:54 setcfg
       -rwxr-xr-x    1 admin    root         9268 Dec 11 00:54 startup_fw
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 udhcpc -> ../bin/busybox
       lrwxrwxrwx    1 admin    root           14 Dec 11 00:54 upgrade -> ../bin/busybox
       -rwxr-xr-x    1 admin    root       105972 Dec 11 00:54 usbmuxd
       -rwxr-xr-x    1 admin    root        19848 Dec 11 00:54 wlanconfig
       -rwxr-xr-x    1 admin    root       244180 Dec 11 00:54 wpa_supplicant
       
       --------------- output /sbin ---------------

Setup

Welche Firmware sollte auf einer FortiGate und/oder FortiAP benutzt werden?

Im frühen Stadium wurde durch den Support klar die Richtlinie herausgegeben, dass auf der FortiGate und/oder FortiAP der gleiche Versionsstand resp. Patchlevel benutzt werden sollte. Dieser Anweisung kann nach wie vor gefolgt werden! Neu ab FortiOS Version 4.3 Patch 11 können ebenfalls FortiAP's mit FortiOS 5.0 (nicht 5.2) eingesetzt werden. Diese Konstellation wird durch den Fortinet Support vollumfänglich unterstützt. In so einer Konstellation stehen natürlich "nur" die Features auf der FortiGate resp. Wireless Controller zur Verfügung die durch die Version 4.3 Patch 11 unterstützt werden. Dies bedeutet zB das Feature des "Mesh" steht dann nicht zur Verfügung obwohl die FortiAP's mit der V5.0 dies unterstützen würden. Da jedoch dieses Feature in der FortiGate FortOS Version 4.3 Patch 11 nicht unterstütz wird, kann dieses nicht über den Wireless Controller resp. FortiGate konfiguriert werden. Es macht aus diesem Grund durchaus Sinn eine FortiGate Fortios 4.3 Patch 11 mit FortiOS 5.0 einzusetzen schon hinsichtlich falls ein Upgrade der FortiGate auf 5.0 in einem späteren Zeitpunkt geplant ist. Desweiteren bieten die FortiOS 5.0 Firmware Versionen bessere Performance und Zuverlässigkeit.

       NOTE Wenn FortiAP's im Zusammenhang mit FortiGate's basierend auf FortiOS 5.2 betrieben werden möchten,
            müssen die FortiAP's anhand eines Upgrade ebenfalls auf FortiOS 5.2 gebracht werden. Ein "Downgrade"
            zurück auf 5.0.x ist möglich mit einer Ausnhame dh. FAP-221c. Weitere Informationen findet man im
            folgenden Artikel:
            
            FortiAP:FAQ#Kann_ich_einen_FortiAP_Firmeware_5.2_basierend_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F

Wie kann ich die Firmeware eines Access Point wiederherstellen?

Der Vorgang zur Wiederherstellung der Firmware eines Fortinet Access Point's ist exakt genau der gleich Vorgang wie bei einer Fortigate! Nachfolgende Doku gibt Auskunft wie so eine Wiederherstellung durchgeführt wird:

       Fortigate:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F
       
       NOTE Bei einer Wiederherstellung werden alle existierenden Konfigruation gelöscht!
            Durch die Widerherstellung geht die gesamte Konfiguration verloren! Dieser Vorgang
            ist kein Upgrade sondern wird durchgeführt um den FortiAP von Grundauf neu zu laden!
            Betreffend FortiOS 5.2 und "downgrade" siehe nachfolgenden Artikel:
            
            FortiAP:FAQ#Kann_ich_einen_FortiAP_Firmeware_5.2_basierend_anhand_eines_.22Downgrade.27s.22_mit_Firmeware_5.0.x_laden.3F

Was ist als Erstes beim "setup" eines FortiAP zu beachten?

Ein FortiAP wird über die Fortigate FortiOS WiFi Controller aufgesetzt und konfiguriert! Es ist unabdingbar die korrekte "location" (Country Code) zu setzen bevor ein FortiAP konfiguriert wird. Weitere Erläuterungen wieso und warum siehe nachfolgenden Artikel:

       Fortigate:FAQ#Wie_setze_ich_auf_einer_FortiGate_den_.22Country_Code.22_.28location.29_auf_dem_WiFi_Controller.3F

Danach führe auf der Fortigate auf der Console folgendes durch:

       # config wireless-controller setting
       # set country CH
       # end
       
       NOTE Wenn man mit "end" die Konfiguration bestätigt kann es zu einer Fehlermeldung führen. Der Grund dafür
            ist einfach. Wenn im Hintergrund AP Proflies existieren kann der Countr Code nicht auf einen anderen
            Country Code gewechselt werden da die existierenden AP Profile auf den momentan gesetzen Country Code
            basieren. Um den Country Code zu wechseln dürfen kein AP Profiles existieren. Diese können jedoch nur
            gelöscht werden wenn diese für die AP's nicht in Benützung sind. Wenn dies der Fall ist müssen diese
            Profiles von den AP's gelöst werden und danach können die AP Profiles gelöscht werden. Die AP Profiles
            können über Web Gui sowie in der CLI gelöscht werden.
            
            WiFi Controller > Managed Access Points > Custom AP Profile
            
            # config wireless-controller wtp-profile
            # purge
            This operation will clear all table!
            Do you want to continue (y/n)y
            
            Nachdem erfolgreichen löschen der AP Profiles kann der Country Code gesetzt werden!

Was ist die Default IP für einen FortiAP und wie verbinde ich auf diesen?

Wenn ein FortiAP gestartet wird reagiert auf Netzwerkebene der FortiAP folgendermassen:

       --> Der FortiAP sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface
           anhan dieser Informationen konfiguriert.
       
       --> Beantwortet KEIN DHCP Server die Anfrage des FortiAP so wird auf dem Netzwerk Interface
           folgende IP gesetzt:
           
           192.168.1.2/24

Wie nehme ich ein Fortinet Access Point in Betrieb und konfiguriere ich diesen?

Nachfolgend wird anhand eines Fortinet Access Point 220B erklärt wie dieser Access Point in Betrieb sowie konfiguriert wird. In unserem Beispiel gehen wir von folgendem Scenario aus:

                   WAN
                    | 193.193.135.66               ___________ 
        ____________|____________                 |           |
       |                         | 192.168.3.1    | FAP 220B  |
       |        Fortigate        |----- DMZ ------|           |
       |_________________________|                |___________| 
                    |
                    | 192.168.1.99
                   LAN
       
       - Default Gateway 193.193.135.65

Nachdem die Fortigate betreffend Interface's (WAN, LAN und DMZ), Default Gateway sowie DNS korrekt konfiguriert wurde, gehen wir hin und konfigurieren als Erstes die SSID für den Fortinet Access Point. Wähle dazu:

       WiFi Controller > WiFi Network > SSID
       
       Erstelle unter diesem Punkt eine neue SSID:
       
       Datei:Fortinet-288.jpg
       
       NOTE: In diesem Beispiel vergeben wir dem Access Point die IP 192.168.5.1 mit einem Subnet /25 dh. IP 192.168.5.0-127.
             Für den Access Point wird ein DHCP Bereich definiert von 192.168.5.2-127! Für die SSID vergeben wir den Namen
             "only4also" dh. diese SSID ist für interne Zwecke resp. Mitarbeiter!
       Datei:Fortinet-289.jpg
       
       NOTE: Die Position "Block Intra SSID-Traffic" verhindert das verbundenen Clients inderselben SSID nicht untereinander
                   Kommunizieren könnne resp. der Traffic über den Gateway dh. Firewall geroutet wird!
       
       Erstelle nun abermals eine SSID:
       
       Datei:Fortinet-288.jpg
       
       NOTE: Für diese SSID vergeben wir dem Access Point die IP 192.168.5.129 mit einem Subnet /25 dh. IP 192.168.5.128-254.
             Für den Access Point wird ein DHCP Bereich definiert von 192.168.5.130-254! Für die SSID vergeben wir den Namen
             "only4guests" dh. diese SSID ist für den Gäste Zugriff. Später werden wir definieren, dass diese Gäste "nur" auf
             das Internet (WAN) zugreifen dürfen!
       Datei:Fortinet-290.jpg

Durch die Erstellung der SSID's "only4also" und "only4guests" wurden zwei "virtuelle" Interfaces erstellt. Diese werden regulär über folgende Position angezeigt:

       System > Network > Interfaces" angezeigt:
       Datei:Fortinet-291.jpg

Ebenso durch die Definition der DHCP Ranges wurden zwei DHCP Server angelegt seperat für jede SSID. Diese regulären DHCP Server sind über folgende Position ersichtlich und können anhand der üblichen Konfigurationspunkt erweitert werden::

       System > Network > DHCP Server:
       Datei:Fortinet-293.jpg
       Datei:Fortinet-294.jpg

Nun verbinden wir den Access Point anhand eines Ethernet Kabels an das Interface DMZ (IP 192.168.3.1). Danach starten wir den Access Point. Wenn der Access Point dezidiert an das DMZ Interface angeschlossen wird dh. ausschliesslich für den Access Point benutzt wird editiere das DMZ Interface und aktiviere die Position "Dedicate this Interface to FortiAP connection". Für den/die Access Point muss ein IP Range definiert werden. In unserem Fall wäre dies "192.168.3.2-128"):

       Datei:Fortinet-292.jpg
       
       NOTE Wenn die Position "Dedicate this Interface to FortiAP connection" aktiviert und ein IP Range definiert wird, so
            wird unter "System > Network > DHCP Server" ein DHCP Server anhand des definierten IP Bereichs angelegt!
       
            Datei:Fortinet-295.jpg

Nun müssen wir für unseren Access Point ein Profil erstellen dh. dieses Profil definiert zB welche "radio" (Antenne) wie konfiguriert wird dh. 2.4GHz oder 5GHz usw. erstelle dazu ein neues Profile:

       WiFi Controller > Managed Access Points > Custom AP Profile
       
       Datei:Fortinet-296.jpg
       Datei:Fortinet-297.jpg
       Datei:Fortinet-298.jpg

Nun nachdem wir den Access Point verbunden haben am DMZ Interface sollte dieser unter folgender Position erscheinen (ca. 2 - 3 Minuten):

       WiFi Controller > Managed FortiAP

Sobald dies der Fall ist editiere den Eintrag und vergebe dem Access Point einen Namen "FortiAP1.local.intra" sowie füge unser vorhergendes erstelltes Profil hinzu (FortiAP1):

       NOTE Erstelle die Verbindung zum Access Point durch den Button "Authorize"!
       Datei:Fortinet-299.jpg
       
       Definiere nun Namen und Profile:
       
       Datei:Fortinet-300.jpg
       
       NOTE Nachdem Bestätigen durch OK kann es ca. 1 Minute gehen bis die Konfiguration aktiv wird. Editiere den Eintrag des besagten Access
            Point abermals und die definierten Angaben werden angezeigt (Button Deauthorize" wird angezeigt) .Die IP die dem Access Point 
            vergeben wurde dh. 192.168.3.2 stammt vom DHCP Server den wir unter dem Interface "DMZ" durch die Definition "Dedicate this Interface
            to FortiAP connection" und dem dazugehörigen IP Bereich definiert haben! 
       
       ACHTUNG Ueber die Position "FortiAP OS Version kann die Firmware resp. das FortiOS des Access Points auf den neusten Stand gebracht werden.
               Weitere Informationen betreffend welche Firmware auf der FortiGate sowie FortiAP eingesetzt werden soll siehe Artikel:
               
               FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F 

Nun fehlt nur noch die entsprechende Policy dh. für die SSID "only4also" (Zugriff auf LAN und WAN resp. Internet) sowie "only4guests" (Zugriff nur auf WAN resp. Internet). Erstelle nun die nötigen Policy's:

       Policy für "only4also":
       
       Datei:Fortinet-301.jpg
       Datei:Fortinet-302.jpg
       Policy für "only4guests":
       
       Datei:Fortinet-303.jpg

Nun kann anhand eines Clients die Verbindung zu den SSID's und die Konfiguration im Gesamten getestet werden.

Wie kann ich die Netzwerk Konfiguration eines Access Point manuell erstellen/konfigurieren?

Wenn man einen FortiAP manuell dh. mit einer "static" IP Adressen konfigurieren möchte so geht man folgendermassen vor:

      --> Verbinde den FortiAP mit einem Laptop/Workstation und vergebe dem Laptop/Workstation folgende IP Adresse:
          
          192.168.1.3/255.255.255.0
          
      --> Nun erstelle eine Telnet Verbindung zum FortiAP anhand folgender IP:
          
          192.168.1.2
      
          NOTE Vergewissere dich, dass kein DHCP Server zwischen Laptop/Workstation sowie FortiAP vorhanden ist
               da ansonsten der FortiAP autom. eine Adresse vom DHCP Server zugewiesen bekommt.
      
      --> Nun kann die Konfiguration für die "static" IP Adresse durchgeführt werden:
          
          # cfg –a AP_IPADDR=192.168.1.2
          # cfg –a ADDR_MODE=STATIC
          # cfg –a AP_NETMASK=255.255.255.0
          
          NOTE Ab FortiOS 5 können die Konfigurationen ebenfalls über ein WebInterface auf den Access Points durchgeführt
               werden dh. http://192.168.1.2.

Folgendes kann benutzt werden um die Konfig auszulsen:

      # cfg -s
      AP_IPADDR:=192.168.1.2
      AP_NETMASK:=255.255.255.0
      IPGW:=192.168.1.1
      ADDR_MODE:=DHCP
      TELNET_ALLOW:=0
      AC_DISCOVERY_TYPE:=0
      AC_IPADDR_1:=192.168.1.1
      AC_CTL_PORT:=5246
      AC_DISCOVERY_MC_ADDR:=224.0.1.140
      AC_DISCOVERY_DHCP_OPTION_CODE:=138
      
      NOTE Alle die hier aufgeführten Optionen können mit "cfg -a" konfiguriert werden!

Um die Konfiguration schlussendlich abzuspeichern führe folgendes durch:

      # cfg –c

Was ist zu berücksichtigen wenn ein FortiAP seine IP über den Forti WiFi Controller per DHCP Server erhält?

Wenn die FortiAP nicht mit einer "static" IP Adresse konfiguriert werden sondern Ihre IP per DHCP Server bekommen der auf dem Forti WiFi Controller läuft kann die IP des Forti WiFi Controller über die DHCP Option 138 mitgegeben werden. Dazu muss auf dem FortiAP diese Option eingeschaltet werden und zwar folgendermassen:

       # cfg -a AC_DISCOVERY_DHCP_OPTION_CODE=138
       
       NOTE Wenn die Option 138 bereits anderweitig in Benützung ist kann über diesen Befehl
            ein anderer freier Code definiert werden!

Danach muss über den DHCP Server auf der FortiGate die Option definiert werden und zwar in "hexadecimal". Dies bedeutet die IP muss in "hexadecimal" umgerechnet werden und dies für jedes "octet" von Links nach Rechts. Im nachfolgenden Beispiel sind die FortiAP's über das Interface (192.168.3.1) auf der FortiGate im Segment 192.168.3.0/24 angeschlossen:

       NOTE Unter FortiOS 5 steht die Option für den WiFi Controller im entsprechenden DHCP Server zur
            Verfügung und muss nicht mehr über Hex Konfiguriert werden. Für die Definiton des WiFi Controllers
            muss folgender Befehl benutzt werden:
            
            # config system dhcp server
            # edit [Integer für den entsprechenden DHCP Server Eintrag zB "1"]
            # set wifi-ac1 [IPv4 Adresse des WiFi Controllers]
            # set wifi-ac2 [IPv4 Adresse des WiFi Controllers]
            # set wifi-ac3 [IPv4 Adresse des WiFi Controllers]
            # end
       IP = 192.168.3.1
            192 = C0
            168 = A8
              3 = 03
              1 = 01
       
       Hex = C0A80301
       
       NOTE Für die Umrechnung kann zB folgende Seite benutzt werden (Nicht vergessen von Links nach Rechts!):
            
           http://www.mathsisfun.com/binary-decimal-hexadecimal-converter.html

Nachträglich kann die Konfiguration resp. die Zuweisung der IP sowie des AC Controllers über Kommandozeile auf dem AP kontrolliert werden anhand folgendes Befehls:

       # cw_diag -c wtp-cfg
       
       NOTE Wenn der entsprechende AP über keinen Consolen Port verfügt kann über den Wirelesss Controller
            anhand Telnet auf den AP zugegriffen werden. Weitere Informationen siehe:
            
            FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Wenn ich bei einer Konfiguration eines Access Point Profiles "automatic" wähle was gilt dann?

Wenn bei der Konfiguration eines Access Points resp. auf dem WiFi Controller ein Profil erstellt werden soll kann die Position "automatic" benutzt werden. Für diesen Konfigurationspunkt gelten folgende Einstellungen:

       Datei:Fortinet-333.jpg

Wie verhindere ich das die SSID über Broadcast mitgeteilt wird?

Normalerweise wird die gesetzte SSID über Broadcast bekannt gegeben. Möchte man dies verhindern so muss über die Console folgendes durchgeführt werden:

       # config wireless-controller vap
       # edit [Name SSID resp. VAP Name]
       # set broadcast-ssid disable
       # end

Wie konfiguriere ich auf eine bestimmte SSID einen MAC Filter?

MAC Filter sind dazu da um einen Zugriff auf eine SSID zu erlauben oder zu verhindern (FortiOS 4.3.x only). MAC Filter können ein zusätzliches Security Feature sein jedoch ersetzen diese auf keinen Fall die Security selber dh. MAC Filter sollten immer im Zusammenhang mit WPA2 usw. benützt werden. Um einen MAC Filter zu konfigurieren gehe folgendermassen vor:

       # config wireless-controller vap
       # edit [Name wpa-profile]
       # config mac-filter-list
       # edit 1
       # set mac [MAC Adresse]
       # set mac-filter-policy allow
       # next
       # end
       # end
       
       NOTE Unter FortiOS 5.x wurde das Kommando "mac-filter-policy" entfernt und die Funktion verschoben zur DHCP Server Funktion. Wenn
            man unter dem entsprechenden DHCP Server (SSID) über WebGui nachschaut, stellt man fest das unter "MAC Address Controll List"
            neu folgende Funktionen im Zusammenhang mit der MAC Adresse vorhanden sind:
            
            Reserve IP
            Assign IP
            Block
            
            Das effektive Replacement von der "mac-filter-policy" unter FortiOS 5.x ist die Funktion "devcie-access-list". Anhand dieser Funktion
            werden Device's nach deren Identifizierung zB als IPhon, IPad etc. in einer Policy erlaubt oder nicht. Folgende CLI Kommandos stehen
            zur Verfügung:
            
            # config user device-access-list
            # edit [Name der Device Liste]
            # set default-action [ accept oder deny]
            # config device-list
            # edit [ID der Device Liste]
            # set action [ accept oder deny]
            # set device [Name des Devcies]
            # end
            # end
            
            Datei:Fortinet-382.jpg

Kann ich einen FortiAP so konfigurieren das ALLE Devices die er in der Umgebung erkennt auflistet?

Ein FortiAP kann mit folgenden Befehl in den "station-locate" gesetzt werden:

            # config wireless-controller wtp-profile
            # edit [Wähle das entsprechende Profil]
            # config radio-1
            # set station-locate enable
            # end
            # config radio-2
            # set station-locate enable
            # end
            # end
            
            NOTE Es müssen nicht beide Radios auf "station-locate enable" gesetzt werden! Wenn auf
                 einem Radio "station-locate" benutzt wird beeinträchtigt dies nicht die vorhandene
                 Konfiguration bestehender SSID!

Wenn diese Option benutzt wird listet der FortiAP alle Devices die er in seiner Umgebung kennt auf mit folgenden Informationen:

       MAC Adressen
       Wireless Abhängige Informationen

Es dauert einige Zeit bis die Informationen abrufbar sind dh. folgender Befehl kann benutzt werden um diese einzusehen:

       # diagnose wireless-controller wlac -c sta-locate
       
       sta_mac               vfid  rid base_mac          freq_lst  frm_cnt  frm_fst frm_last     intv_sum    intv2_sum    intv3_sum intv_min intv_max   signal_sum  signal2_sum  signal3_sum  sig_min  sig_max  sig_fst sig_last   ap
       00:24:d7:e2:ea:08       0
        FAP22B3U11011877       0    0 00:09:0f:f9:29:22     5220        3      164       44          120         7200       432000       59       60         -246        20190     -1658532      -85      -79      -79      -85    0
       
       04:54:53:dd:84:1c       0
        FAP22B3U11011877       0    0 00:09:0f:f9:29:22     5220        5      163       40          123         6410       366066        0       64         -406        32974     -2678584      -82      -79      -81      -82    0
       
       04:f7:e4:40:4d:f9       0
        FAP22B3U11011877       0    0 00:09:0f:f9:29:22     5220       41      188       25          162         3288        86679        0       32        -3095       233737    -17659835      -79      -74      -74      -76    0


Kann ich einen FortiAP so konfigurieren, dass er den gleichen IP Range wie im LAN benutzt?

Grundsätzlich ist dies so nicht möglich dh. diese Konfiguration kommt einem "overlapping-subnet" gleich und ist per Standard nicht konfigurierbar. Dies bedeutet, wenn auf einer FortiGate ein Interface konfiguriert wird so wird diese Konfiguration nach "overlapping-subnet" kontrolliert. Ist dies der Fall wird die Konfiguration verhindert. Also möchte man zB folgende Konfiguration durchführen:

       Internal Interface IP 192.168.1.1/24
       SSID Interface IP     192.168.1.2/24
       DHCP Range Internal   192.168.1.65-126
       DHCP Range SSID       192.168.1.129-254

Muss folgender Befehl auf der Kommandozeile der FortiGate abgesetzt werden ansonsten wird die Konfiguration verhindert:

       Fortigate:FAQ#Kann_ich_auf_einem_Interface_eine_Secondary.2FVLAN_Adresse_konfigurieren_die_sich_mit_der_Interface_IP_overlaped.3F

Danach muss darauf geachtet werden, dass entweder ein DHCP Server für beide Interfaces benutzt wird (auf FortiAP einen Relay Konfigurieren) oder im Internal eine DHCP Server der nur die entsprechenden IP's verteilt (192.168.1.65-126) sowie einen DHCP auf der SSID mit dem entsprechenden Range (192.168.1.129-254).

Upgrade

Wie kann ich für ein FortiAP betreffend Firmware ein Upgrade durchführen?

Bevor ein Upgrade betreffend FortiAP Firmware durchgeführt wird, sollte man verifizieren welche Firmware (FortiOS) dazu benutzt werden soll. Weitere Informationen findet man im Artikel:

       FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F

Es gibt vers. Varianten die Firmware eines FortiAP's auf den neusten Stand zu bringen:

       • Ueber einen TFTP Server während des Boot Sequenz des FortiAP's. Weitere Informationen siehe Artikel:
         
         FortiAP:FAQ#Wie_kann_ich_die_Firmeware_eines_Access_Point_wiederherstellen.3F
       • Ueber den Wireless Controller der FortiGate unter Benutzung der CLI sowie eines TFTP Servers. Weitere
         Informationen siehe Artikel:
         
         FortiAP:FAQ#Wie_kann_ich_f.C3.BCr_mehrere_FortiAP.27s_betreffend_Firmware_einen_Bulk_Upgrade_durchf.C3.BChren.3F
       • Direkt über die CLI des FortiAP anhand eines TFTP Servers
         
         # restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
       • Ueber das FortiGate WebManagement Gui dh. wähle im Gui folgendes Position:
         
         WiFi Controller > Managed Access Points > Managed FortiAP
         
         --> Doppelklicke den entsprechenden FortiAP und wähle dort unter "FortiAP OS Version" die Position "Upgrade"

Wie kann ich für mehrere FortiAP's betreffend Firmware einen Bulk Upgrade durchführen?

Nun wenn in einer Installation/Konstellation mehrer FortiAP's involviert sind und man jeden FortiAP einzeln auf den neusten Stand (FortiOS) bringen muss kann dies mit einigem Aufwand verbunden sein. Um dies zu verhindern kann ein sogenannter "bulk" Upgrade durchgeführt werden dh. durch vers. Kommandos werden ALLE FortiAP's angewiesen ein Upgrade betreffend FortiOS durchzuführen. Vorraussetzungen für solch ein "bulk" Upgrade ist:

       - Entsprechendes FortiOS auf der FortiGate (Siehe Artikel FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F)
       - TFTP Server im Netz und für alle FortiAP's erreichbar (SolarWinTFTP Server http://www.solarwinds.com/products/freetools/free_TFTP_server.aspx )

Ausgehend davon, dass ein TFTP Server im Netz installiert ist und durch alle FortiAP's erreichbar sind sowie das entsprechende Image auf dem TFTP Server für die spezifizierten FortiAP's bereitgestellt wurde, führe auf der CLI der FortiGate die für die FortiAP's als Controller agiert folgendes aus:

       # execute wireless-controller upload-wtp-image tftp [Image Name FortiAP's Image] [IP Adresse des TFTP Servers]
       
       ACHTUNG Pro "bulk" Upgrade kann nur EINE bestimmte Hardware resp. Image angegeben werden dh. 
               zB für FortiAP-221B. Es können nicht verschiedene Images und/oder Hardware in einem
               "bulk" Upgrade gemischt werden! Das Upgrade wird durch das Kommando nicht effektiv durchgeführt
               sondern nur auf dem Wireless Controller bereitgestellt!

Durch folgendes Kommando wird nun verifiziert welches Image auf dem Wireless Controller bereitsteht um sicherzugehen, dass auch das richtige Image bereitgestellt wird:

       # execute wireless-controller list-wtp-image

Nun kann durch folgende Befehl die FortiAP's mit dem bereitstehenden Image als "bulk" Upgrade durchgeführt werden:

       # execute wireless-controller reset-wtp [Gebe an "all" oder die Serien Nummern]
       
       NOTE Um die Serien Nummern über den Wireless Controller anzuzeigen gebe folgendes ein:
            
            # config wireless-controller wtp
            # get

Nun wird das Upgrade -sofern "all" angegeben wurde- durchgeführt und kann nachträglich zB über das WebGui kontrolliert werden!

Kann ich einen FortiAP Firmeware 5.2 basierend anhand eines "Downgrade's" mit Firmeware 5.0.x laden?

Grundsätzlich ja dh. alle FortiAP's können anhand eines Downgrades von 5.2 auf 5.0.x gebracht werden mit einer Ausnahme:

       Der FAP-221 der den neuen Standard 802.11ac unterstützt ist Hardware basierend nur 5.2 kompatibel dh. 
       durch einen Fix im Bios wird "verunmöglicht" diesen FortiAP mit 5.0.x "downzugraden", wenn der FAP-221C 
       auf Stand 5.2 build 0212 (4090) sich befindet.

Es muss dabei berücksichtigt werden, dass FortiOS 5.2 basierende FortiAP's "nur" mit FortiGate's basiernd auf FortiOS 5.2 betrieben werden können.

Backup

Kann ich von einer FortiAP Konfiguration ein Backup erstellen?

Ja dies ist möglich und ist am Einfachsten über das WebGui des FortiAP durchzuführen! Dieses steht jedoch erst ab Version 5.x zur Verfügung. Ein Backup eines FortiAP enhält folgende Informationen:

       BAUD_RATE=9600
       ADDR_MODE=DHCP
       AP_IPADDR=192.168.1.2                                              [Stellt die Default oder Fix IP dar wenn kein DHCP vorhanden ist]
       AP_NETMASK=255.255.255.0                                           [Stellt das Default Subnet dar wenn kein DHCP vorhanden]
       IPGW=192.168.1.1                                                   [Stellt das Default Gateway dar wenn kein DHCP vorhanden]
       HTTP_ALLOW=1                                                       [1 = WebInterface steht zur Verfügung; 0 = Deaktiviert]
       MESH_AP_TYPE=1                                                     [1 = Mesh Type "leave"; 2 = Mesh Type root]
       MESH_AP_SSID=mesh-backhaul                                         [Mesh SSID Name]
       MESH_AP_PASSWD=only4also                                           [Mesh SSID Passwort]
       AC_DISCOVERY_TYPE=0                                                [0 = Automatic; 1 Static; 2 DHCP; 3 Broadcast; 4 Multicast]
       AC_CTL_PORT=5246                                                   [CAPWAP Comunication Port]
       AC_IPADDR_1=192.168.3.1                                            [Wireless Controller IP zu dem sich der FortiAP verbinden soll]
       AC_HOSTNAME_1=proxy.local.intra                                    [Wireless Controller FQDN zu dem sich der FortiAP verbinden soll]
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138                                  [DHCP Option Code]
       AC_DATA_CHAN_SEC=2                                                 [DTLS Verschlüsselung 2 = Clear Text oder DTLS; 0 = Clear Text; 1 = DTLS Enabled]
       WTP_NAME=FP221B3X12001413                                          [Hostname FortiAP]
       ADMIN_TIMEOUT=5                                                    [Admin Timeout Default 5 Minuten]
       DNS_SERVER=192.168.1.1                                             [DNS Server]
       AP_MGMT_VLAN_ID=0
       STP_MODE=0
       TELNET_ALLOW=1
       MESH_AP_BSSID=
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100

Anhand dieser Angaben können mehrere FortiAP's ausgerollt werden dh. durch Manipulation des Konfig Files und Restore Funktion können mehrer FortiAP's so per Mesh zum Wireless Controller verbinden um dort die Konfiguration über das Mgmt. WebInterface zu vervolständigen.

Ethernet Bridging

Wie konfiguriere ich ein Wireless Ethernet Bridging?

Im normal Fall wird der Traffic eines Users der auf einem Access Point verbunden ist über den "DataChannel" innerhalb des CAPWAP Protokolls (FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F) zum WiFi Controller auf der FortiGate gesendet. Aus diesem Grund ist es im normal Fall nicht möglich, dass ein User eine Resource innerhalb des Segments indem der Access Point installiert ist, direkt angeht. Möchte man dies aus irgendwelchen Gründen ermöglichen (ab FortiOS 5) basiert diese Funktion auf dem "Ethernet Bridging". Diese Funktion basiert auf "zwei" Konfigurationsmöglichkeiten dh. :

       LOCAL BRIDGE WITH FORTIAP INTERFACE:
       
       - Aktivierung auf der entsprechenden SSID der Funktion Ethernet Bridging (Aktivierung des Konfigurationspunktes "Local bridge with FortiAP interface")!
           
           ACHTUNG Pro Access Point ist es nur möglich "ein" "Local bridge with FortiAP interface" zu konfigurieren. Dies kann im Zusammenhang mit
                   einer VLan ID geschehen oder nicht. Ein zweites Netz mit oder ohne VLan "auf" dem FortiAP zu konfigurieren ist nicht möglich!
       
           NOTE Wenn der Konfigurationspunkt "Local bridge with FortiAP interface" aktiviert ist auf der SSID und der Access Point verliert die Verbindung
                zum FortiGate WiFi Controller so werden die WiFi Clients nicht beinträchtigt da der Access Point im Bridge Mode ist und somit die CAPWAP 
                Verbindung ausschliesslich benutzt wird um den Access Point zu konfigurieren.  
       ETHERNET BRIDGING:
       
       - Erstellung eines Software Switches anhand des Segments indem der Access Point installiert ist und der entsprechenden SSID auf der "Ethernet Bridging" 
         aktivie
               
           ACHTUNG Die Konfiguration anhand eines "Software Switch" ist nur dann möglich, wenn der Access Point mit dessen SSID über die FortiGate kontrolliert
                   wird (FortiGate WiFi Controller) auf dem der "Software Switch" konfiguriert wird. Bedeutet: wird ein Access Point über einen zentralen WiFi
                   Controller kontrolliert/konfiguriert und der Access Point sich in einem Remote oder Branche Office befindet, kann kein "Software Switch" erstellt
                   werden, da der Port der Remote/Branche Lokation nicht zur Verfügung steht auf der zentralen FortiGate auf dem der Access Point kontrolliert und
                   konfiguriert wird! Somit für Access Point's die sich in einer Remote und/oder Branche Lokation befindet wird "Local bridge with FortiAP interface"
                   benutzt "ohne" Software Switch. Dies bedeutet wiederum, dass Access Point die im "full bridge" Mode sind KEINE DHCP Adresse beziehen. Dies
                   bedeutet wiederum, dass Clients auf solchen SSID's die DHCP Adressen aus diesem Segment beziehen müssen indem sich der Access Point befindet!

Nachfolgend ein Beispiel für so ein Scenario dh. eine SSID die den Konfigurationspunkt "Local bridge with FortiAP interface" aktiviert hat jedoch keine Möglichkeit besteht für eine Konfiguration anhand der Funktion "Software Switch":

       Datei:Fortinet-359.jpg

Um dieses Ethernet Bridging zB anhand eines "Software Switch" zu konfigurieren/erstellen gehen wir von folgendem Beispiel aus:

                         ____________                        _________________________
       193.193.135.66/29|            | 192.168.1.99         |                         |
       ----- WAN 1 -----|  Fortigate |------ LAN -----------| LAN Env. 192.168.1.0/24 |
                        |____________|             |        |_________________________|
                                          _________|____
                                         |              |
                                         | Access Point |
                                         |______________|
       

Erstelle eine entsprechende SSID auf der das Ethernet Bridging aktiviert ist zB:

       Datei:Fortinet-360.jpg

Wenn die SSID die erstellt wurde dh "only4internal" Mitglied einer bestimmten VLAN-ID sein soll kann dies folgendermassen konfiguriert werden:

       # config wireless-controller vap
       # edit "only4internal"
       # set vlanid 100
       # end
       
       NOTE Siehe auch folgender Artikel FortiAP:FAQ#Kann_ich_eine_SSID_mit_einer_VLAN-ID_versehen_um_den_Ethernet_Port_nach_802.1Q_zu_.22taggen.22.3F

Wenn die Konfiguration über Console durchgeführt werden soll gebe folgendes ein:

       # config wireless-controller vap
       # edit [Name des Interfaces zB "only4internal"]
       # set vdom "root"
       # set ssid "[Name der SSID für Ethernet Bridging zB "only4internal"]"
       # set local-bridging enable
       # set security [Setze die entsprechende Authentifizierung zB "wpa-personal"]
       # set passphrase "[Setze zur SSID das entsprechende Passwort]
       # end

Als nächsten Schritt erstelle für den Access Point ein entsprechendes Profil (zB Name "internal-bridge) und weise die SSID für das Ethernet Bridging zum Profil und zum entsprechenden Radio hinzu! Nun kann das Profil zum entsprechende Access Point der in unserem Beispiel zum Segement 192.168.1.0/24 verbunden ist hinzugefügt werden. Ueber CLI führe folgende Befehle aus:

       # config wireless-controller wtp
       # get
       FAP22B3U11005354
       
       # edit FAP22B3U11005354
       # set admin enable
       # set vaps "inernal-bridge"
       # end

Wie gewohnt wird diese SSID als virtuelles Interfaces unter den Interfaces (System > Network > Interface) erstellt. Um nun einen Software Switch zu erstellen wähle im WebGui folgendes:

       System > Network > Interface > Create New > Interface
       
       Danach wähle:
       
       Type > Software Switch
       

Nun können die entsprechenden Interface gewählt werden dh. unsere vorher erstellt SSID im Ethernet Bridging "only4internal" sowie das Interface "internal". Vergebe eine Adresse aus diesem Segment "internal". Der DHCP Server muss aktiviert werden oder manuell erstellt werden. Dieser DHCP Server vergibt den WiFi Usern die über "only4internal" verbinden möchte IP's aus dem "internal" Bereich. Die Konfiguration ist abgeschlossen. Für den Traffic zischen der SSID "only4internal" sowie "internal" benötigen wir KEINE Firewall Policy". Für Traffic zu anderen Segmenten MUSS für die Erstellung der nötigen Firewall Policy der Software Switch herangezogen werden da die SSID "only4internal" Bestandteil dieses Software Switches ist.

Um ein Software Switch über die Kommandozeile CLI zu konfigurieren gebe folgendes ein:

       # config system interface
       # edit only4internal-nw
       # set ip 192.168.1.100 255.255.255.0
       # set type switch
       # set security-mode [Optional kann eine Authentifizierung implementiert werden zB "captive-portal"]
       # set security-groups [Wenn security-mode gesetzt ist kann hier die entsprechende Gruppe der User definiert werden]
       # end
       # config system interface
       # edit only4internal-nw
       # set member "only4internal" "internal"
       # end

VLAN

Was sind Dynamische VLAN's und wie konfiguriere ich diese?

Ab FortiOS 5.0.4 ist es möglich "Dynamische VLAN's" einer SSID zu vergeben. Dynamische VLAN's sind im "tunnel" oder im "bridge" Mode unterstützt. Dynamische VLAN's werden basierend auf den User Zugangsinformationen zugewiesen dh. je nachdem mit welchen Informationen (Anmeldeinformationen) sich ein User zur SSID verbindet, wird die entsprechende VLAN ID zugewiesen. Dies ermöglicht eine Unterscheidung von Usern Netzwerktechnisch, auch wenn alle User die gleiche SSID benutzen. Diese Unterscheidung wird erreicht, indem die User Authentifizierung über Radius erfolgt und der Radius Sever -nach einer erfolgreichen Authentifizierung- "Internet Engineering Task Force (IETF)" Attribute weitergiebt. Diew ermöglicht dem erfolgreich authentifizierten User die Zusweisung des entsprechenden VLAN's (VLAN ID wird im IETF übermittelt). Um die Funktion resp. Konfiguration von "Dynamischen VLAN's" zu ermöglichen ist die Funktion selber unter der entsprechenden SSID generell zu aktivieren:

       # config wireless-controller vap
       # edit [Wähle den Namen der entsprechenden SSID]
       # set dynamic-vlan enable
       # end

Folgende Dokumente zeigen einige Beispiele wie so eine SSID mit "Dynamischen VLAN's" zu konfigurieren ist:

       Datei:Dynamic VLANs.pdf                            (Dynamic VLANs)
       Datei:Dynamic VLANs in tunnel mode.pdf             (Dynamic VLANs in tunnel mode)

Kann ich eine SSID mit einer VLAN-ID versehen um den Ethernet Port nach 802.1Q zu "taggen"?

Ab FortiOS 5.x jst es möglich eine SSID mit einem "Local Bridging" zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port gesendet anstelle diesen über den Data Channel Enkapsuliert(CAPWAP) zum FortiGate WiFi Controller zu senden. Dies ermöglicht ebenfalls eine VLAN-ID der SSID zu assignen um das FortiAP Ethernet Interface nach 802.1Q zu taggen. Ueber Gui kann diese Konfiguration nicht durchgeführt werden dh. eine VLAN-ID MUSS über CLI konfiguriert werden! Per Standard sind alle SSID's die über Gui erstellt wurden mit "Local Bridging" aktiviert mit einer VLAN-ID "0" versehen. Um "Error's" zu verhindern muss jede SSID die "Local Bridging" aktiviert hat mit einer anderen VLAN-ID versehen werden (Nur eine SSID mit VLAN-ID 0 ist erlaubt. Ueber das WebGui des Access Points ist diese Konfiguration einer VLAN-ID ersichtlich. Ebenfalls kann auf der CLI des Access Points folgender Befehl abgesetzt werden:

       # brctl show
       
       # cat /proc/net/vlan/conf
       NOTE Ab FortiOS 5.0.4 ist es möglich "Dynamische VLAN's" zu benutzen. Weitere Informationen dazu siehe folgender Artikel:
            
            FortiAP:FAQ#Was_sind_Dynamische_VLAN.27s_und_wie_konfiguriere_ich_diese.3F

Mesh/Bridging

Wie konfiguriere ich ein Wireless Mesh/Bridging Netzwerk (manuell/automatisch)?

Grundsätzlich unterscheiden wir innerhalb eines Wireless Mesh Netzwerks (ab FortiOS 5) folgende Arten eine Mesh Netzwerks:

       NOTE Im Dezember 2013 hat Fortinet speziell eingehend auf "Mesh" ein spezielles Handbook released. Es lohnt
            sich ebenfalls dieses Handbook einzusehen:
            
            FortiAP:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
       Wireless Mesh (No VLAN Support)
       Ein Access Point -auch genannt "root" Mesh Access Point- ist direkt verbunden mit dem WiFi Controller 
       (FortiGate oder FortiWiFi). Alle anderen Access Points -auch genannt "leaf" Mesh Access Points- benützen 
       den WiFi Controller indem diese über den "root" Mesh Access Point sich zum WiFi Controller verbinden. 
       Für Clients die sich zu einer SSID verbinden in einem Mesh Netzwerk ist das Verbinden Transparent dh. 
       bemerken nicht, dass sie sich zu einem Mesh Netzwerk verbunden haben.
       Wireless bridging (No VLAN Support)
       Für ein Bridging werden zwei physische LAN Segmente über Wireless Access Points verbunden (the backhaul SSID). 
       Die Ethernet Anschlüsse an den Access Point ("leaf" Mesh Access Point) die diese LAN Segmente verbinden können 
       benutzt werden um ein zusätzliches Wireless für die Clients bereitzustellen. Grundsätzliche sind die Clients 
       direkt in dem jeweiligen Segment per LAN oder erweitertes Wireless Netzwerk verbunden.

Daraus ergeben sich folgende Möglichkeiten:

       FortiAP werden benützt als "root" Mesh und "leaf" Mesh Access Points!
       Datei:Fortinet-345.jpg
       FortiWiFi wird benützt als "root" Mesh Access Point und die FortiAP's als "leaf" Mesh Access Points!
       Datei:Fortinet-346.jpg
       FortiAP's werden benützt um zwei LAN Segmente zu verbinden (Bridging)!
       Datei:Fortinet-347.jpg

Technische Vorraussetzung für die Konfiguration eines Mesh Wireless Netzwerks sind:

       - Alle FortiAP's die im Mesh Wireless Network eingesetzt werden müssen über Firmware 5.0 Build 003 oder höher verfügen!
       - FortiAP 222B muss über die Bios Version 400012 oder höher verfügen (ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiAP/v4.00/4.0MR3/FAP222B_BIOS_update.image.out)
       - Auf dem WiFi Controller (FortiGate und FortiWiFi) muss FortiOS 5.0 GA oder höher installiert sein!
       
         NOTE Folgende Funktionen sollten möglichst nicht benützt werden auf dem FortiAP "radio" auf dem der Mesh Link 
              konfiguriert wurde:
         
              FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
              FortiAP:FAQ#Was_bedeutet_der_Konfigurations_Punkt_.22channel-bonding.22.3F
              FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F

Um ein Mesh Wireless Network zu konfigurieren unterscheinden wir zwischer Manueller (mehr Möglichkeiten) sowie Automatischer Konfiguration:

       AUTOMATISCHE KONFIGURATION WIRELESS MESH
       
       Jede VDom inkl. der "root" VDom verfügt über ein vordefiniertes Interfaces (wl.mesh) sowie SSID (fortinet.mesh.[VDom Name]. 
       Diese können nicht gelöscht werden und werden für die autom. Konfiguration herangezogen:
       
       Datei:Fortinet-348.jpg
       
       Um die autom. Konfiguration zu durchzuführen sind folgende Schritte nötig:
       
       • Konfiguriere einen "root" Mesh Access Point auf einer FortiAP oder auf einer FortiWiFi.
       • Konfiguriere die Access Points für "leaf" Mesh.
       • Authorisiere die "leaf" Mesh Access Point damit diese auf den WiFi Controller verbinden können.
       
       Automatische Konfiguration Wireless Mesh des "root" Mesh Access Points
       
       Wähle über das WebGui folgendes:
       
       WiFi Controller > Managed Access Points > Managed FortiAP
       
       Selektiere den gewünschte Access Point der als "root" Mesh verwendet werden soll! Danach gehe auf "Authorize". 
       
       Wähle folgendes:
       
       Accept Mesh Requests from other APs (SSID, fortinet.mesh.root)
       
       NOTE Dieser Konfigurationspunkt steht ab FortiOS 5.0.3 nicht mehr zur Verfügung und muss nicht
            mehr gesetzt werden!
               
       Datei:Fortinet-349.jpg
       
       Automatische Konfiguration Wireless Mesh des "leaf" Mesh Access Points
       
       Verbinde dich auf dem WebBased Manager auf den Access Points auf dem "leaf" Mesh konfiguriert werden soll. 
       Per Standard dh. Factory Reset Default (cfg -x oder Reset Button) hat ein Access Point die IP 192.168.1.2. 
       Auf dem WebBased Manager unter "Connectivity" konfiguriere folgendes:
       
       NOTE Betreffend Factory Reset siehe auch folgender Artikel:
            
            FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F
       
       Uplink           Mesh
       Mesh AP SSID     fortinet.mesh.[VDom Name dh. Standard "root"]
       Mesh AP Password [SSID des "root" Mesh AP dh. fortinet.mesh.root]
       
       Datei:Fortinet-350.jpg
       
       Bestätige die Konfiguration anhand "Apply".
       
       Automatische Konfiguration Wireless Mesh der Autorization "leaf" Mesh Access Points
       
       Durch die vorhergehende Konfiguration werden sich nun die "leafe" Mesh Access Points über den "root" Mesh 
       Access Points am WiFi Controller anmelden. Damit dies erfolgreich durchgeführt werden kann muss jeder "leaf" 
       Mesh Access Point Autorisiert werden. Um dies durchzuführen wähle auf der FortiGate:
       
       WiFi Controller > Managed Access Points > Managed FortiAP
       
       Gehe auf "refresh" bis der/die "leaf" Mesh Access Points ersichtlich sind. Danach selektiere den FortiAP 
       und gehe auf "Authorize". Optional selektiere welche SSID den Usern auf den "leaf" Mesh Access Points 
       ersichtlich sein soll. Konfiguriere  die restlichen Positionen sofern notwendig. Danach bestätige mit 
       "OK" die Konfig.
       
       Sobald die Konfiguration bestätigt wurde wir der Access Point seinen Status von Offline zu Online wechseln 
       (ca. 2 Minuten). Die autom. Konfiguration ist abgeschlossen und kann getestet werden.
       AUTOMATISCHE KONFIGURATION WIRELESS BRIDGING
       
       Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die 
       Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port 
       (Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet 
       sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert 
       da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul 
       link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist  empfohlen 5 GHz zu 
       benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless  Netzwerk. Um eine manuelle Konfiguration 
       durchzuführen sind folgende Punkte zu berücksichtigen:
       
       • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
       • Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
       
       Automatische Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point
       
       Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
       "leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point 
       direkt mit dem zu verbindenen Segment verbunden!
       
       Datei:Fortinet-358.jpg
       MANUELLE KONFIGURATION WIRELESS MESH
       
       Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über 
       die Devices gibt. Ein Mesh WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port 
       (Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Alle anderen Access Points verbinden sich 
       über diesen "root" Mesh AP (backhaul link) zum WiFi Controller. Ein FortiAP Device verfügt über 2 Radios 
       (2.4 GHz sowie 5 GHz). Es ist empfohlen 5 GHz zu benutzen für den "backhaul link" und 2.4 GHz für die 
       Client im Wireless Netzwerk. Um eine manuelle Konfiguration durchzuführen sind folgende Punkte zu 
       berücksichtigen:
       
       • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
       • Konfiguriere die "leaf" Mesh Access Point's.
       
       Manuelle Konfiguration Wireless Mesh des "backhaul link" and "root" Mesh Access Point
       
       • Stelle sicher das ein DHCP Server existiert im betreffenden Segment die durch die FortiAP benutzt werden kann.
       • Erstelle eine SSID für den "backhaul link".
       • Erstelle eine Access Point Profil das die SSID für den "backhaul link" enthält.
       • Füre das neue Profil, dass die SSID für den "backhaul link" enthält zum "root" Mesh Access Point.
       • Konfigureire den "root" Mesh Access Point.
       
       Um die SSID für den "backhaul link" zu erstellen wähle im WebGui folgendes:
       
       WiFi Controller > WiFi Network > SSID, select Create New
       
       Konfiguriere folgendes:
       
       Interface Name        [Name des Interfaces zB "mesh-backhaul"]
       IP/Netmask            [Belasse die IP auf 0.0.0.0/0.0.0.0]
       SSID                  [Name der SSID zB "mesh-backhaul"]
       Preshared Key         [Wähle ein Preshared Key]
       
       Datei:Fortinet-351.jpg
       
       Bestätige die Konfiguration mit "Ok" und gebe auf der Console folgendes ein um "backhaul" Funktion einzuschalten:
       
       # config wireless-controller vap
       # edit [Name des Interfaces zB "mesh-backhaul"]
       # set mesh-backhaul enable
       # end
       
       Wenn man sich die betreffende SSID für "backhaul link" anschaut sieht das Ganze folgendermassen aus:
       
       Datei:Fortinet-352.jpg
       
       Um die Ganze Konfiguration auf der CLI durchzufürhen geben folgendes ein:
       
       NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert dh. unter der
            Position "Traffic Mode"
       
       # config wireless-controller vap
       # edit [Name des Interfaces zB "mesh-backhaul"]
       # set ssid "[Name der SSID zB "mesh-backhaul"]"
       # set security wpa2-only-personal
       # set passphrase "[Preshared Key gemäss SSI "mesh-backhaul"]"
       # set encrypt AES
       # set vdom root
       # set mesh-backhaul enable
       # end
       
       Nun muss ein "backhaul" Access Point Profile erstellt werden. Wähle dazu im WebGui folgendes:
       
       WiFi Controller > Managed Access Points > Custom AP Profile and select "Create New":
       
       - Wähle für das Profile einen Namen zB "mesh-backhaul-root".
       - Wähle die Platform für den Access Point der eingesetzt wird als "root" Mesh Access Point.
       - Aktiviere die Position "Mesh Downlink".
       - Selektiere im der "Radio 1" Abschnitt die SSID die für den "backhaul link" vorhergend erstellt wurde zB "mes-backhaul".
       
       Datei:Fortinet-353.jpg
       
       NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
            mehr als Definition innerhalb des Profiles zur Verfügung.
       
       Bestätige die Konfiguration mit "OK". Um die Konfiguration auf der CLI durchzuführen gebe folgendes ein:
       
       # config wireless-controller wtp-profile 
       # edit [Profil Name zB "mesh-backhaul-root"]
       # config platform
       # set type [Selektiere Platform für den Access Point der als "root" Mesh eingesetzt wird]
       # end
       # config radio-1
       # set mode ap
       # set mesh-downlink enable
       # set band 802.11n-5G
       # set channel "36" "40" "44" "48"  
       # set darrp enable
       # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
       # end
       # end
       
       Nun muss das erstellt Profil dem Access Point hinzugefügt werden der als "root" Mesh aggieren soll. 
       Wähle dazu im WebGui folgendes:
       
       WiFi Controller > Managed Access Points > Managed FortiAP
       
       Der "root" Mesh Access Point muss über physisches LAN angeschlossen sein sowie Verbindung zum WiFi Controller 
       haben. Danach (nach ca. 2 Minuten) erscheint dieser in der List und  kann selektiert werden. Gehe auf "Authorize" 
       und wähle das entsprechende Profil das erstellt wurde für den "backhaul link". In unserem Beispiel wäre dies zB 
       "mesh-backhaul-root"! Nach einiger Zeit geht danach der Access Point auf den Status "Online".
       
       Um das Profil per CLI hinzu zu fügen gebe folgendes ein:
       
       # config wireless-controller wtp
       # get 
       FAP22B3U11005354
       
       # edit FAP22B3U11005354
       # set admin enable
       # set wtp-profile [Name des Profils das erstellt wurde zB "mesh-backhaul-root"]
       # end
       
       Nun muss der "root" Mesh Access Point als solches definiert werden dh. im WebGui unter folgender Position ist
       die entsprechende IP des Access Points zu eruieren (Blende die Spalte "Connecting from" ein unter Collums Settings):
       
       WiFi Controller > Managed Access Points > Managed FortiAP 
       
       Wir nehmen an, dass der Access Point dem wir das "backhaul" Profil hinzugefügt haben die IP zugewiesen worden ist
       192.168.3.2. Verbinde dich nun anhand dieser IP auf den WebBased Manager auf den Access Point (Ein Login erscheint
       indem wir nur User "admin" eingeben: es gilt per Standard KEIN Passwort):
       
       http://192.168.3.2
       
       Im WebBased Manager auf dem Access Point unter "Mesh Configuration" selektiere:
       
       Ethernet with mesh backup support
       
       Datei:Fortinet-354.jpg
       
       NOTE Die Konfigurationspunkte "Mesh AP SSID" sowie "Mesh AP Password" sind irrelevant und werden -da
             der Access Point als "root" Mesh konfiguriert ist- ignoriert!
       
       Bestätige die Konfiguration anhand "Apply". Um den Befehl über CLI einzugeben gebe auf der Console des FortiAP folgendes ein:
       
       # cfg -a MESH_AP_TYPE=2
       # cfg –c
       
       Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
       
       # cfg -s
       
       NOTE Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per 
            Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
            ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist. 
            Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's 
            ohne Consolen Port:
       
            FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
       
       Kontrolliere nachträglich unter folgender Position ob die Spalte "State" den Access Point als "Online" ausweist:
       
       WiFi Controller > Managed Access Points > Managed FortiAP
       
       Manuelle Konfiguration Wireless Mesh der "leaf" Mesh Access Point
       
       Wie schon beschrieben sind "leaf" Mesh Access Points Devices die das Wireless Netz (nicht physisch) benutzen um sich
       ins Wireless Netz zu integrieren. Die Verbindung zum WiFi Controller wird über den "root" Mesh Access Point bewerkstelligt.
       
       Um ein "leafe" Access Point zu konfigurieren benutzen wir den WebBased Manager der auf den FortiAP's läuft. Per Standard
       nach einem Factory Reset (per CLI "cfg -x" oder per Hardware Reset Button) hat ein FortiAP die IP 192.168.1.2. Verbinde
       dich nun auf den WebBased Manager anhand dieser IP:
       
       NOTE Betreffend Factory Reset siehe auch folgender Artikel:
            
            FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F
       
       http://192.168.1.2
       
       Im WebBased Manager konfiguriere folgendes:
       
       Uplink            [Mesh]
       Mesh AP SSID      [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]
       Mesh AP Password  [Preshared Key gemäss SSI "mesh-backhaul"]" 
               
       Selektiere nun "Mesh" und setze die Mesh SSID auf diese die dafür erstellt wurde dh. in unserem Beispiel "mesh-backhaul". 
       Danach setze ein Preshared Key dh. dieser wurde vergeben auf der SSID die in unserem Beispiel die SSID "mesh-backhaul" ist. 
       Konfiguration mit "Apply":
       
       Datei:Fortinet-355.jpg
       
       Wenn die Konfiguration anhand der CLI durchgeführt werden soll kann dies anhand folgender Kommandos durchgeführt werden:
       
       NOTE Wenn ein FortiAP "nicht" durch einen "WiFi Controller" konfiguriert und eingebunden ist ist der Consolen Port per 
            Telnet über die Standard IP 192.168.1.2 erreichbar. Wird ein FortiAP durch den "WiFi Controller" konfiguriert und
            ist eingebunden so ist der FortiAP über den Controller per Telnet erreichbar sofern diese Funktion aktiviert ist. 
            Folgender Artikel gibt Auskunft wie Telnet eingeschaltet werden kann in so einem Fall speziell für FortiAP's 
            ohne Consolen Port:
       
            FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
       
       # cfg -a MESH_AP_SSID=[Name der SSID für "mesh-backhaul link"; in unserem Beispiel "mesh-backhaul"]
       # cfg -a MESH_AP_PASSWD=[Preshared Key der SSID "mesh-backhaul"]
       # cfg -a MESH_AP_TYPE=1
       # cfg -c
       
       Um die Konfiguration zu verifizieren (Neustart wird ausgeführt) geben folgendes ein:
       
       # cfg -s
       
       Als nächsten Schritt muss für die "leaf" Access Points ein Profil angelegt werden. Dazu wähle im WebGui folgendes:
       
       WiFi Controller > Managed Access Points > Custom AP Profile
       
       Erstelle unter "Create New" ein neues Profil und konfiguriere dieses folgendermassen:
       
       Name          Wähle einen Namen für das Profil zB "mesh-backhaul-leaf".
       Platform      Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform
       Radio 1       Aktiviere die Position "Mesh Downlink". Selektiere die SSID die für den "backhaul link" zB "mes-backhaul".
       Radio 2       Unter Radio 2 (Radio 1 ist in Gebrauch für den "backhaul link") wähle die SSID's die für die User bereitgestellt werden sollen.
       
       Datei:Fortinet-356.jpg
       
       NOTE Ab FortiOS 5.02 wird der Mesh Downlink innerhalb der SSID konfiguriert und steht nicht
            mehr als Definition innerhalb des Profiles zur Verfügung.
       
       Bestätige die Konfig mit "OK". Nun wenn die Konfig auf der CLI durchgeführt werden möchte gebe folgendes ein:
       
       # config wireless-controller wtp-profile
       # edit [Namen für das Profil zB "mesh-backhaul-leaf"]
       # config platform
       # set type [Selektiere entsprechend dem FortiAP Modell die für "leaf" Mesh eingesetzt werden die Platform]
       # end
       # config radio-1
       # set mesh-downlink enable
       # set band 802.11n-5G
       # set channel "36" "40" "44" "48" 
       # set darrp enable 
       # set vaps [SSID die für den "backhaul link" erstellt wurde zB "mesh-backhaul"]      
       # end
       # config radio-2
       # set mode ap
       # set band 802.11n
       # set vaps [wähle die SSID's die für die User bereitgestellt werden sollen]
       # end
       # end
       
       Nun muss das entsprechende Profil das erstellt worden ist dem entsprechenden FortiAP das für "leaf" Mesh Access Point
       benützt wird, zugewiesen werden. Wähle daszu im Gui:
       
       WiFi Controller > Managed A ccess Points > Managed FortiAP
       
       Wenn der "leaf" Mesh Access Point in Betrieb ist müsste dieser nun in der Liste der Access Points erscheinen. Selektiere
       diesen und wähle "Authorize". Wenn in den "Colum Settings" die Position "Connect Via" angewählt wird sollte der Access
       Point die Mesh IP zeigen. Nach dem "Authorize" kann das entsprechende Profile für die "leaf" Mesh Access Point, das 
       vorhergend erstellt worden ist gewählt werden. Bestätige die Konfiguration anhand "Apply". Wenn die Konfiguration auf
       der CLI durchgeführt werden soll führe folgendes aus:
       
       # config wireless-controller wtp
       # get 
       FAP22B3U11d05924
       
       # edit FAP22B3U11d05924
       # set admin enable
       # set wtp-profile [Namen für das Profil zB "mesh-backhaul-leaf"]
       # end
       
       Die Konfiguration der Manuelle Konfiguration betreffend Mesh ist nun abgeschlossen. Um das "Mesh" Wireless 
       Netzwerk zu kontrollieren wähle im WebGui folgendes:
       
       WiFi Controller > Managed Access Points > Managed FortiAP 
       
       In dieser View werden alle verbundenen und nicht verbundenen FortiAP's aufgelistet. Wenn man unter "Column Settings" 
       das Feld "Connected Via" einblended sieht man in diesem Feld "Mesh" für die FortiAP's die über Mesh verbunden sind 
       sowie deren IP Adressen. Diese Kontrolle kann ebenfalls über die CLI eines Mesh verbundenen FortiAP durchgeführt werden:
       
       # cw_diag -c mesh
       
       Eine weitere Möglichkeit um an Informtionen heranzukommen ist auf dem FortiAP folgender Befehl abzusetzen:
       
       # dmesg
       MANUELLE KONFIGURATION WIRELESS BRIDGING
       
       Der Vorteil einer manuellen Konfiguration liegt darin, dass die Konfiguration selber mehr Kontrolle über die 
       Devices gibt. Ein Bridging WiFi Netzwerk basiert darauf, dass ein Access Point über einen physischen Port 
       (Ethernet) am WiFi Controller angeschlossen ist ("root" Mesh). Ein anderer Access Point ("leaf") verbindet 
       sich über diesen "root" Mesh Access Point sowie auf dem "leaf" Mesh Access Point ist Bridging Mode aktiviert 
       da dieser an einem LAN Segment direkt verbunden ist und dieses über den "root" Mesh Access Point (backhaul 
       link) verbindet. Ein FortiAP Device verfügt über 2 Radios (2.4 GHz sowie 5 GHz). Es ist  empfohlen 5 GHz zu 
       benutzen für den "backhaul link" und 2.4 GHz für die Client im Wireless  Netzwerk. Um eine manuelle Konfiguration 
       durchzuführen sind folgende Punkte zu berücksichtigen:
       
       • Konfiguriere den "backhaul link" und den "root" Mesh Access Point!
       • Konfiguriere die "leaf" Mesh Access Point's (Bridging aktiviert)!
       
       Manuelle Konfiguration Wireless Bridging des "backhaul link" and "root" Mesh Access Point
       
       Die Konfiguration wird exakt genau gleich durchgeführt wie diese für "Wireless Mesh" mit einer Ausnahme dh. auf dem
       "leaf" Mesh Access Point wird die Position "Ethernet Bridge" zusätzlich AKTIVIERT. Danach wird dieser Access Point 
       direkt mit dem zu verbindenen Segment verbunden!
       
       Datei:Fortinet-357.jpg

Guest Access

Was ist der Unterschied zwischen der "Wireless Self Registration" und der "Guest Access Provisioning" Funktion?

In einer Implementierung ist zu unterscheiden zwischen:

       Guest Access Provisioning: Der "Receptionist" (Guest Access Administrator) hat bereits Zugriff auf das Netzwerk und die "Guest" User können sich in 
                                  unterschiedlichen Netzwerken befinden. In so einer Situation sollte die "Captive Portal" Funktion benutzt werden! Fur die
                                  Funktion des "Geust Access Provisioning" benötigt man eine FortiGate mit FortiOS 5. Keine zusätzliche Installationen müssen
                                  durchgeführt werden da eine FortiGate alle Funktionen beinhaltet für ein "Guest Access Provisioning". Weitere  Information zur 
                                  Implmenenterung siehe:
                                  
                                  FortiAP:FAQ#Wie_implementiere_ich_ein_.22Wireless_Guest_Access_Provisioning.22.3F
       User Self Registration: In dieser Funktion muss der FortiAuthenticator für die "Guest" User erreichbar sein. Deshalb darf kein "Captive Portal"
                               vorgeschaltet sein. Die Authentifizierung erfolgt über eine "Identity Based Policy" auf der FortiGate die auf den  FortiAuthenticator 
                               verweist. Somit sind die Voraussetzungen für eine Implementierung gegeben dh. zusätzlich zur FortiGate benötigt man für die Implemen-
                               tierung einen FortiAuthenticator. Weitere Inoformationen zur Implementierung siehe:
                               
                               FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F

Wie implementiere ich die "Wireless Self Registration" Funktion?

Weitere Informationen zu diesem Artikel siehe:

       FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F

Wie implementiere ich ein "Wireless Guest Access Provisioning"?

Bei einem "Wireless Guest Access Provisioning" (ab FortiOS 5) kann ein "restricted" Administrator Gäste Accounts erstellen, die benutzt werden um Zugriff auf das Gäste Wireless zu erhalten. Die Informationen können dem Gast über E-Mail, SMS oder über einen Ausdruck übermittelt werden. Um ein "Wireless Guest Access Provisioning" zu konfiguriere benötigen wir als Erstes eine spzielle Gruppe. Dazu führe folgendes Konfiguration durch:

      User & Device > User > User Group
      
      Datei:Fortinet-363.jpg
      
      NOTE Aktiviert man die Position "Enable Batch Guest Account Creation" so sieht die Gruppe folgendermassen aus:
           
           Datei:Fortinet-373.jpg
           
           Diese Funktion wird benutzt um "automatisch" Accounts durch das System zu erstellen (Batch).

Zur dazugehörigen Gruppe erstellen wir einen User der als Administrator aggieren kann um Accounts für die Gäste zu erstellen:

      System > Admin > Administrators
      
      Datei:Fortinet-364.jpg

Wenn sich nun dieser neu erstellte und "restricted" Administrator über den regulären Login der Firewall einloggt kann er Gäste Accounts erstellen und verwalten:

      Datei:Fortinet-365.jpg
      Datei:Fortinet-366.jpg

Um nun zB einen "Gast" Account zu erstellen geht der "restricted" Administrator folgendermassen vor:

      Datei:Fortinet-367.jpg
      Datei:Fortinet-368.jpg
      
      NOTE Wir die Position "Enable Batch Guest Account Creation" in der Gruppe aktiviert werden die User "automatisch"
           erstellt (Batch). Dies sieht dann folgendermassen aus:
           
           Datei:Fortinet-374.jpg 
           
           Nach der "automatischen" Erstellung wird folgendes Ausgegeben:
           
           Datei:Fortinet-375.jpg 
           
           Wenn man "mehrere" User auf einmal erstellen möchte wählt man bei der Erstellung folgendes:
           
           Datei:Fortinet-376.jpg  
           
           Danach kann angegeben werden wieviele Accounts zu erstellen sind sowie das Ablaufdatum dieser Accounts:
           
           Datei:Fortinet-377.jpg
           

Nach den Angaben kann nun die Information über die in der Gruppe gewählten Uebermittlungsarten dem Gast übermittelt werden wie zB SMS, E-Mail oder Ausdruck (Printing):

      Datei:Fortinet-369.jpg

Wählt man zB Printing so erscheint folgendes:

      Datei:Fortinet-372.jpg

Wenn man das Fenster schliesst "Return" kann man den erstellten User in der Liste sehen sowie einsehen zB Passwort und sieht ebenfalls die "Expiration" dh. in unserem Beispiel "30 Minuten". Diese kann über die Funktion "Purge" zurückgesetzt werden:

      Datei:Fortinet-370.jpg
      

Wenn man sich als "regulärer" Administrator wiederum einloggt dann kann man die Gäste User -die durch den "resticted" Administrator erstellt wurden über folgende Position einsehen:

      User & Device > User > Guest Management
      
      Datei:Fortinet-371.jpg
      
      NOTE Der "reguläre" Administrator kann natürlich diese User vollumfänglich modifizieren sowie neue User
           -wie der "restricted" Administrator"- erstellen!

Als Letzteres muss die Gruppe auf der entsprechenden SSID unter Captive Portal ausgewählt werden. Wähle die entsprechende SSID und füge die Gruppe (Beispiel FortiGroup-Guest) zum Captive Portal hinzu. Nun kann die Lösung getestet werden. Ebenfalls ist es möglich unter einem spezifizierten Interface zB "internal" den Security Mode auf "Captive Portal" zu setzen und die entsprechende Gruppe zu wählen dh. "FortinetGroup-Guests.

Um das Ganze auf der CLI zu konfigurieren führe folgende Kommandos aus:

       Guest Access User Group
       
       # config user group
       # edit <name>
       # set group-type guest
       # set user-id email/auto-generate/specify
       # set password auto-generate/specify/disable
       # set user-name enable/disable
       # set email enable/disable
       # set mobile-phone enable/disable
       # set default-expire <seconds>
       # end
       Guest admin profile options
       
       # config system admin
       # edit <name>
       # set guest-auth enable/disable
       # set guest-usergroups <guest user groups>
       # end
       Interface Security Mode option –captive-portal
       
       # config system interface
       # edit <name>
       # set security-mode captive-portal
       # set replacemsg-override-group [group-name]
       # set security-groups [group-list]
       # next
       # end
       
       NOTE Das Kommando resp. Variable "security-mode" steht für ein Interface, dass eine SSID
            darstellt nicht zur Verfügung. Das Captive Portal muss über WebGui oder über das 
            Kommando "config wireless-controller vaps" konfiguriert werden!

Es stehen folgend Troubleshooting Kommandos auf der CLI zur Verfügung:

       # diagnose test guest ?
       add     add a guest user
       del     delete guest users
       list    list guest users
       # diagnose test guest list
       user_id=new-user-1@beispiel.com
       group=Beispiel-Gruppe
       user_name=gast-1
       password=pwj8m9
       mobile_phone=
       sponsor=
       company=
       email=new-user-1@beispiel.com
       expire=1 Hours
       # diagnose test guest add 
       <group>, <user-id>, <user-name>, <password>, <mobile-phone>, <sponsor>, <company>, <email>, <expire>
       # diagnose test guest del
       12 deleted for group , user-id 
       # diagnose test guest list
       0 found for group , user-id 

Wie Konfiguriere ich für die "Wireless Self Registration" Funktion ein SMS Provider für HTTP/S Get und Post?

Weitere Informationen zu diesem Thema siehe Artikel:

       FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_das_Versenden_von_SMS_Nachrichten_einen_entsprechenden_SMS_Gateway_definieren.3F

Remote

Wie konfiguriere ich einen FAP-11C für einen Remote Zugriff?

In unserem Beispiel gehen wir von folgenden Scenario aus:

        _________
       |         | 193.193.135.70
       | FAP-11C |--|
       |_________|  |
                   WAN
                    | 193.193.135.66               ___________ 
        ____________|____________                 |           |
       |                         | 192.168.3.1    | FAP-11C   |
       |        Fortigate        |----- DMZ ------|           |
       |_________________________|                |___________| 
                    |
                    | 192.168.1.99
                   LAN
       
       NOTE In diesem Beispiel wird die Grundkonfiguration des FAP-11C über das "DMZ" durchgeführt!
            Bedeutet dieses DMZ ist nur temporaerer Natur für den FAP-11C und wird nur für die 
            Grundkonfiguration sowie das Testen benützt. Die Funktion die hier gezeigt wird dh der Remote
            Zugriff steht nicht exkl. dem FAP-11C zur Verfügung sondern ist mit allen FortiAP's möglich!

Wie im Artikel FortiAP:FAQ#Beim_FortiAP_11C_auf_WAS_basiert_die_Komunikation_zu_einer_FortiGate.3F erklärt basiert die Komunikation eines FAP-11C für Remote Zugriff auf eine FortiGate auf CAPWAP und sofern aktiv einer DTLS Verschlüsselung (Weitere Informationen siehe Absatz FortiAP:FAQ#CAPWAP_.2F_DTLS. Wenn ein FAP-11C nicht als Remote Zugriff konfiguriert wird kann dieser Device mit allen Funktionen wie ein normaler FortiAP konfiguriert und benützt werden. Fuer eine Remote Zugriff Konfiguration führe folgende Schritte durch:

       - Herkömmliche Konfiguration des FAP-11C anhand SSID's und dem entsprechenden Profiles:
         
         FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_in_Betrieb_und_konfiguriere_ich_diesen.3F
          
          NOTE Bei der Konfiguration kann so vorgegangen werden als ob der FAP-11C für den internen Gebrauch
               benützt würde. Dies bedeutet die Konfiguration kann vollumfänglich getestet werden im internen
               Bereich über dessen Konfiguration und/oder Funktion. Was jedoch nicht vergessen werden darf ist den
               FAP "nach" dem Test zu löschen da dieser "Authorized" wurde für das Interne Netz sowie für die 
               erhaltene "interne" IP. Bedeutet "NACH" dem Test und nachdem der FAP abgehängt wurde vom "internen"
               Netz ist dessen Eintrag aus der Liste der "Managed FortiAP" rauszulöschen!

Ausgehend davon das der FAP-11C konfiguriert und getestet wurde kann nun die zusätzliche Konfiguration durchgeführt werden. Als nächstes muss dem FAP-11C mitgeteilt werden mit welchen FortiGate Wireless Controller er sich Remote zu verbinden hat. Dies geschieht auf dem FAP-11C über den Konfigurationspunkt "AC Host Name/Adresse". Dieser findet man über das Mgmt. WebInterface eines Fortinet Access Points unter folgender Position:

        NOTE Wenn Die Konfiguration auf "Auto" steht werden sämtlich zur Verfügung stehenden Methoden durch den
             FortiAP durchgegegangen dh. DNS, Broadcast, Multicast, Static! Wenn dies nicht gewünscht wird dh. 
             ZB weil der Remote AP in der Remote Location hinter einer FortiGate installiert ist sollte Static
             gewählt werden da ansonsten der FAP auf der FortiGate in der Remote Location ebenfalls ersichtlich
             ist und "potentiell" von dort aus konfiguriert werden könnte!
       
       Datei:Fortinet-700.jpg
       
       NOTE Die Konfiguration basiert auf dem FQDN (Fully Qualified Domain Name) der
            FortiGate sowie deren externen IP. In unserem Beispiel 193.193.135.66 (firewall.local.intra)!
            Damit die DNS Auflösung funktioniert auf dem FortiAP muss ein DNS Server konfiguriert werden.
            Diese Konfiguration kann nur auf der CLI durchgeführt werden:
            
            # cfg -a DNS_SERVER=[DNS Server IP Adresse]
            
            NOTE Wenn der FortiAP über keinen Consolen Port verfügt kann dieser über den Wireless Controller
                 angegangen werden. Weitere Informationen siehe Artikel:
                 
                 FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Es ist ausdrücklich empfohlen "DTLS" zu aktivieren dh. "DTLS" ist bereits zusammen mit "Clear Text" aktiviert. Aus Security Gründen sollte "DTLS enabled" explizit aktiviert werden denn wenn beide Funktionen aktiviert sind dh. "Clear Text" und "DTLS" wird die Funktion über das entsprechende Profile (wtp-profile) auf dem Wireless Controller gesteuert (Weitere Informationen betreffend DTLS siehe Artikel FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F):

       Datei:Fortinet-701.jpg

Nun muss gewährleistet sein, dass der FAP-11C über das WAN Interface im entsprechender Umgebung den FQDN der FortiGate und/oder deren IP erreichen kann. Dazu benötigt der Device folgendes:

       --> Auf dem WAN Interface per DHCP zugewiesenen IP/Subnet, Default Gateway oder Statische Konfiguration dieser Informationen:
           
           DHCP Konfiguration (Default):
           
           Datei:Fortinet-702.jpg
           
           Static Konfiguration:
           
           Datei:Fortinet-703.jpg
       --> Traffic in der entsprechenden Umgebung vom internal LAN auf das Internet für den FQDN der FortiGate resp. deren externer IP ueber Port UDP 5246 und UDP 5247 muss erlaubt werden!
       --> Firewall Policy auf der FortiGate für "incoming" Traffic muss nicht zusätzlich implementiert werden da dies durch die "Local In Policy" bereits erlaubt wird:
       
           NOTE Ab FortiOS 5.0.3 muss CAPWAP explizit auf dem entsprechenden Interface erlaubt werden dh. die Check Box 
                muss aktiviert werden!
           
           Fortinet-784.jpg
           
           Datei:Fortinet-704.jpg
       --> Firewall Policy auf der FortiGate um den Traffic für die entsprechende SSID zu erlauben

Wenn dies gewährleistet ist findet der FAP-11C über dessen WAN Interface die externe IP der FortiGae (FQDN) und nimmt mit dem Wireless Controller über CAPWAP die Komunikation auf. Wenn der User nun auf die entsprechende SSID auf dem FAP-11C verbindet wird dem Client eine IP über den DHCP Server der auf der entsprechenden SSID konfiguriert ist eine IP zugewiesen. Die Komunikation die nun durch den User über die SSID zum Wireless Controller sendet wird im DTLS Channel verschlüsselt. Die DTLS Verschlüsselung -sofern aktiviert jedoch dringend empfohlen- kann über die FortiGate und/oder FAP-11C kontrolliert werden:

           FortiGate
           
           Datei:Fortinet-705.jpg
           FortiAP
           
           Datei:Fortinet-706.jpg
           
           NOTE Ueber diese Position kann ebenfalls der Status kontrolliert werden dh. mit welchem Wireless
                Controller der Device verbunden ist!

Beim FortiAP 11C auf WAS basiert die Komunikation zu einer FortiGate?

Ein FAP-11C ist ein FortiAP der für Remote Einsatz Zwecke gedacht ist! Ein FortiAP 11C ist nicht IPSec basierend sonder CAPWAP DTLS basierend sprich es wird über CAPWAP eine DTLS Verschlüsselung etabliert!

       NOTE Der FortiAP 11C kann nicht mit FortiOS 4.3 Patch 11 eingesetzt werden. Weitere Informationen siehe:
            
            FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F
       FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F
       FortiAP:FAQ#Was_bedeutet_.22WiFi_data_channel_encryption_.28DTLS.29.22_und_wie_konfiguriere_ich_diesen.3F

Bei einem Remote Zugriff wieviel Bandbreite benützt der Management Tunnel (CAPWAP)?

Die Bandbreite die benützt wird im Management Tunnel resp. CAPWAP für einen Remote Zugriff eines FortiAP's ist vernachlässigbar da Fortinet bei der Architektur darauf geachtet hat dies auf ein Minimum zu beschränken dh. folgende Bandbreite wird benützt:

       --> Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
       --> Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
       
       NOTE Obwohl die Daten minimal sind können die Intervalle für Heartbeat und/oder DRRP 
            bei Notwendigkeit angepasst werden!

Sniffer

Kann ich einen FortiAP als Sniffer benutzen um den Traffic zu verfolgen (capture)?

Ja dies ist möglich jedoch mit folgenden Einschränkungen:

       --> Nur ein Radio auf's Mal kann benutzt werden um den Sniffer auszuführen (capture)
       --> Es kann nur jeweils in "einem" Bereich dh. 2.4GHz oder 5GHz ein Sniffer ausfgeführt werden

Wenn ein Radio für den Sniffer Mode konfiguriert wurde so wird lokal auf dem FortiAP ein File in folgendes Verzeichnis abgelegt:

       /tmp/wl_sniff.pcap
       
       NOTE Wenn ein solches File im Verzeichnis "tmp" existiert und ein Neustart des FortiAP durchgeführt
            wird so wird dieses File gelöscht da es sich beim Verzeichnis "tmp" um einen flüchtiges "none"
            Persistent Verzeichnis handelt. Aus diesem Grund muss das File "vor" einem Neustart per TFTP
            auf einen entsprechenden TFTP Server transferiert werden! Um das File per TFTP zu transferieren
            benutze folgende Kommandos:
            
            # cd /tmp
            # ls
            wl_sniff.cap
            
            # tftp 
            
            BusyBox v1.15.0 (2012-05-24 17:25:46 PDT) multi-call binary
            Usage: tftp [OPTIONS] HOST [PORT]
            Transfer a file from/to tftp server
            
            Options:
            
            -l FILE Local FILE
            -r FILE Remote FILE
            -g      Get file
            -p      Put file
             
            Somit ergiebt sich folgendes Kommando um das File auf den TFTP Server zu transferieren:
            
            # tftp -l [File Name des zu transferierenden Files dh. "wl_sniff.cap"] -p [IP Adresse des TFTP Servers] 69

Um einen FortiAP in den Sniffer Mode zu versetzen muss die Konfiguration auf der FortiGate über CLI durchgeführt werden dh. führe folgendes durch:

            # config radio-1
            # set mode disabled
            # end
            # config radio-2
            # set mode sniffer
            # set ap-sniffer-bufsize 32
            # set ap-sniffer-chan 1
            # set ap-sniffer-addr 00:00:00:00:00:00
            # set ap-sniffer-mgmt-beacon enable
            # set ap-sniffer-mgmt-probe enable
            # set ap-sniffer-mgmt-other enable
            # set ap-sniffer-ctl enable
            # set ap-sniffer-data enable
            # end
            # end
            NOTE Durch die folgenden Befehle können auf dem Sniffer Mode Filter gesetzt werden:
            
                 ap-sniffer-add       --> Kann angegeben werden um einen spezifischen Client zu definieren dh. anhand seiner MAC Adresse in der Form xx:xx:xx:xx:xx:xx
                 ap-sniffer-chan      --> Kann angegeben werden um einen spezifischen Channel zu definieren

Sobald die Konfiguration durchgeführt wurde ist diese ebenfalls über das Mgmt. WebInterface resp. GUI ersichtlich:

       Datei:Fortinet-699.jpg

Wenn nun das Profile "FortiAP-Sniffer" einem FAP zugewiesen wird so versetzt sich dieser in den "monitor" Mode. Dies kann über die CLI der FAP verifiziert werden:

       # iwconfig

Durch diesen Befehl werden die entsprechenden WLAN Interface aufgelistet und das entsprechende ist im "monitor" Mode dh.:

       Mode: Monitor

Authentication

Wie konfiguriere ich auf einem Windows 2008 Server (Radius) eine WiFi Authentication?

Wenn man für ein WiFi eine Authentication implementieren möchte im Geschäftsumfeld so sollten man "WPA2-Enterprise" (AES Verschlüsselung) benutzen. Diese Implementierung stellt einem vor verschiedenen Probleme, speziell wenn die Authentication über das Active Directory abgearbeitet werden soll. Der Grund dafür liegt darin WIE das Passwort vom Client/Workstation zum Active Directory (LDAP) übermittelt wird dh. WPA und WPA2 benutzen für die Uebermittlung des Passwortes vers. "password hashing schemas" die jedoch NICHT Kompatibel sind mit dem Microsoft Active Directory (LDAP). Aus diesem Grund muss der eingesetzte LDAP Server es erlauben das Passowrt in "clear-text" zu erhalten. Bei Microsoft Active Directory ist dies NICHT möglich dh. nur ein OpenLDAP stellt diese Funktion zur Verfügung. Wenn KEIN OpenLDAP vorhanden ist oder dieser nicht eingesetzt werden möchte so ist die "Im Allgemeinen" zu bevorzugende Variante eine Radius Authentication Implementierung. Diese "Radius Authentication" verifiziert die Credentials des Client/Workstation im Active Directory (Anbindung des Active Directory im Radius Server). Durch diese Art der Anbindung/Authentication wird die Problematik der WPA/WPA2 Passwort Uebermittlung umgangen. Zusätzlich können über den Radius Server Gruppenzugehörigkeit der User ausgelesen und in Verbindung mit den SSID's gebracht werden. Damit vom Client aus eine Verifizierung des Radius Servers erfolgt sollte/kann dieser anhand eines Zertifikates verifiziert werden. Dieses Zertifikat kann von einer offiziellen CA (Verisign) oder von einer internen CA stammen. Dieses CA ist nicht für die Authentication zuständig sondern ausschliesslich dafür da den Radius Server zu verifizieren "bevor" die Credentials gesendet werden. Als Radius Server können vers. Produkte eingesetzt werden! Im nachfolgenden Dokumentation wird gezeigt wie die Konfiguration durchgeführt wird anhand eines Radius Servers auf einem Windows 2008 Server.

       Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-1.pdf
       Datei:Setting-up-Wi-Fi-Authentication-in-Windows-Server-2008-Part-2.pdf

Wie konfiguriere ich für einen Public HotSpot der Swisscom die Authentication und SSID?

Nun ein Public HotSpot der Swisscom kenn grundsätzlich zwei Arten der Authentifizierung die im Zusammenhang stehen mit der SSID. Dies bedeutet:

       SSID          MOBILE              (Authentication "Open")
       SSID          MOBILE-EAPSIM       (Authentication "WPA2-Enerprise" / Radius Port 1645)
       
       NOTE In naher Zukunft werden diese zwei SSID's MOBILE und MOBILE-EAPSIM verschwinden und durch folgende ersetzt:
            
            Swisscom                 (Vorher MOBILE)
            Swisscom_Auto_Login      (Vorher MOBILE-EAPSIM)
            
            Die Schreibweise der neuen SSID's ist einzuhalten und ist Case Sensitive! Nach Swisscom Informationen wird empfohlen
            die SSID's dh. Alt und Neu parallel bis ende 2014 zu implementieren. Neue App's die durch Swisscom in der nächsten 
            Zeit lanciert werden benützen bereits die neuen SSID's!
       SSID MOBILE
       Mit der SSID MOBILE wir dem Kunden ermöglicht über eine "Open" Authentifizierung auf das Internet zu gelangen. 
       Dabei ist es nicht zwingend, dass der Kunde ein Swisscom Kunde ist. Dies bedeutet, wenn ein Kunde diese SSID
       angeht wird er zu einer Login Seite weitergeleitet die es dem Kunden ermöglicht per Kreditkarte, Swisscom Login
       etc. einzuloggen. Die Authentifizierung geschieht ausschliesslich über die Login Seite mit den erwähnten Arten
       wie zB Kreditkarte.
       SSID MOBILE-EAPSIM
       Die SSID MOBILE-EAPSIM steht ausschliesslich Swisscom Kunden zur Verfügung denn wenn der Kunde diese SSID angeht
       wird die Authentifizierung über WPA2-Enterprise (oder auch WEP-104bits ohne Key) über eine Radius Authentifizierung
       abgearbeitet. Zusätzlich wird die MAC Adresse des Gerätes ebenfalls übermittelt um das Accounting durchzuführen.

Bei nachfolgenden Beispiel wird erklärt wie so eine Konfiguration für "MOBILE" sowie "MOBILE-EAPSIM" auf einer Fortigate anhand FortiAP's durchzuführen ist. In unserem Beispiel existiert ein dedizierter Port (port2) über diesen die Swisscom mit dessen Environment angehängt ist (Für Internet Access und Authentifizierung). Nachfolgend einen Ueberblick über das Env der Swisscom in unserem Beispiel (Representiert die Umgebung die über besagten "port2" verbunden ist):

       Datei:STUE WSTA.pdf
       Datei:STUE WLS.pdf

Wie schon erwähnt benötigen wir für die MOBILE-EAPSIM Authentifizierung einen Radius Server. Erstelle diesen unter:

       User > Remote > RADIUS
       
       Datei:Fortinet-315.jpg
       
       NOTE Das "Primary Server Secret" wir dauch Preshared Secret genannt und wird auf dem Radius Server vergeben.
            Dies bedeutet in unserem Fall muss dies der Swisscom Radius Verantwortliche übermitteln! Zusätzlich muss dem
            Verantwortlichen der Swisscom mitgeteilt werden in welcher ART und WEISE die MAC Adresse übermittelt wird um
            die nötige Konfiguration auf der Swisscom Seite betreffend Accounting durchzuführen (Standard Format Beispiel:
            0000.4096.3e4a, Unformatiert Beispiel: 000040963e4a)
       
       ACHTUNG Der Swisscom Radius Server in unserem Fall arbeitet noch mit dem "old radius port" dh. nicht mit 1812 sondern
               mit Port 1645. Dieser muss per Console umgestellt werden:
      
               # config system global
               # get | grep radius-port
               # set radius-port 1645
               # get | grep radius-port
               # end
               
               NOTE Um die Anbindung zu überprüfen siehe folgender Artikel:
                    
                    Fortigate:FAQ#Wie_kann_ich_einen_Radius_Server_Anbindung_Troubleshooten.3F

Für die Konfiguration der SSID "MOBILE" und "MOBILE-EAPSIM" gehe folgendermassen vor:

       Als Erstes erstelle die SSID's "MOBILE" und "MOBILE-EAPSIM" unter folgendem Konfigurationspunkt:
       
       WiFi Controller > WiFi Network > SSID
       
       Datei:Fortinet-310.jpg
       
       NOTE Die IP 10.41.19.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und 
            auf einer Fortigate wird durch diese IP ein virtuelles Interface unter "System > Network > Interface" erstellt!
       Datei:Fortinet-311.jpg
       
       NOTE Die IP 10.41.18.2/24 representiert das virtuelle Interface der SSID dh. diese IP wird der SSID zugewiesen und 
            auf einer Fortigate wird durch diese IP ein virtuelles Interface unter "System > Network > Interface" erstellt!

Nun erstelle ein Profile indem die zwei SSID's hinzugefügt werden:

       WiFi Controller > Manage Access Points > Custom AP Profile
       
       Datei:Fortinet-312.jpg
       
       NOTE Belasse alle Einstellungen zu Beginn auf Standard Werte. Nachträglich können diese Optimiert werden!
            Füge die zwei SSID's "MOBILE" und "MOBILE-EAPSIM" unter SSID den entsprechenden Radios hinzu!

Nun kann ein FortiAP zum Netzwerk hinzugefügt werden dh. dazu benötigen wir ein Interface auf einer Fortigate (ist nicht ein Muss) sowie einen DHCP Server auf diesem Interface, dass den FortiAP's die entsprechende IP vergibt. In unserem Beispiel haben wir ein dezidiertes Access Point Interface dh. port1:

       System > Network > Interface
       
       Datei:Fortinet-313.jpg

Erstelle den dazugehörigen DHCP Server:

       System > Network > DHCP Server
       
       Datei:Fortinet-314.jpg

Nun kann der Access Point an port1 resp. in diesem Segment angeschlossen werden!

       ACHTUNG Damit ein Access Point mit dem Wireless Controller komunizieren kann muss Broadcast, Multicast sowie Unicast auf diesem
               Segmment aufgeschaltet sein und nicht geblockt werden.

Nun muss das vorhergehende Profil "Swisscom-HotSpot" auf den entsprechenden FortiAP geladen werden. Dies bedeutet der neu angeschlossene FortiAP sollte nun ersichtlich sein unter:

       WiFi Controller > Manage Access Points > Manage FortiAP

Sobald der Access Point ersichtlich ist Doppelklicke den Eintrag dieses FortiAP und wähle:

       Authorize

Nun kann unten das entsprechende Profile geladen werden dh. "Swisscom-HotSpot". Sobald bestätigt wird so wird die Konfiguration auf den FortiAP geladen (dauert ca. 3 - 4 Minuten)!

       ACHTUNG Achte immer auf die Firmware Revisionen der FortiGate und der Access Points dh. weitere Informationen
               betreffend welche Firmware auf der FortiGate und/oder FortiAP eingesetzt werden soll siehe Artikel:
               
               FortiAP:FAQ#Welche_Firmware_sollte_auf_einer_FortiGate_und.2Foder_FortiAP_benutzt_werden.3F

Im Grundsatz sind die FortiAP's nun konfiguriert jedoch die angemeldeteten Clients müssen vom DHCP Server der Swisscom eine IP bekommen. Bei "MOBILE" geschieht dies "ohne" eine Authentifizierung (Open). Bei MOBILE-EAPSIM wird erst eine IP vergeben, wenn die Authentifizierung über den Radius per EAPSIM (Sim Karte) erfolgreich war. Zusätzlich wird die MAC Adresse des Gerätes benutzt um ein Accounting durchzuführen. Da die IP's von der Swisscom Seite vergeben werden benötigen wir auf den entsprechenden SSID's DHCP Relay Server. Erstelle diese auf den virtuellen Interfaces der SSID von MOBILE und MOBILE-EAPSIM. Die IP's die dem Client vergeben werden kommen aus demselben IP Range inwelcher sich die SSID ebenfalls befindet. Dies bedeutet in unserem Beispiel:

       SSID MOBILE        (10.41.19.0/24, 10.41.19.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
       SSID MOBILE-EAPSIM (10.41.18.0/24, 10.41.18.2/24 SSID , 192.168.10.1 DHCP Server Swisscom, 192.168.10.2 FortiGate port2)
       System > Network > DHCP Server
       
       Datei:Fortinet-316.jpg
       Datei:Fortinet-317.jpg

Nun fehlt nur noch das Routing dh. zwischen dem DHCP Server der Swisscom (192.168.10.1/24) und unserer FortiGate port2 (192.168.10.2/24) wurde ein kleines Transfer Segment konfiguriert (192.168.10.0/24). Dieses dient dazu das Routing zu kontrollieren dh. die Clients für die SSID's MOBILE und MOBILE-EAPSIM Authentifizieren sich in disem Segment, beziehen die IP Adresse sowie "surfen" (Internet Access) über dieses Segment. Dies bedeutet sämtlicher Traffic von diesen SSID's muss über "port2" (192.168.10.2/24) auf den next Hop (192.168.10.1/24) geroutet werden. Dazu benötigen wir Policy Routen:

       Router > Static > Policy Route
       
       Datei:Fortinet-318.jpg
       Datei:Fortinet-319.jpg

Damit die IP des Radius Server "129.132.254.70" (User > Remote > RADIUS) ebenfalls korrekt geroutet wird muss ein entsprechender Statischer Routing Eintrag konfiguriert werden:

       Router > Static > Static Route
       
       Datei:Fortinet-320.jpg

Nun fehlt nur noch die Policy:

       Datei:Fortinet-321.jpg
       Datei:Fortinet-322.jpg

Nun können die ersten Tests durchgeführt werden. Um diese zu verifizieren empfiehlt es sich auf dem entsprechenden Inteface (port2) einen Sniffer über die Console laufen zu lassen:

       # diagnose sniffer packet port2

Im nachfolgenden Beispiel sieht man zB die Packete der Radius Authentifizierung über Port 1645, ARP requests sowie DNS Anfragen auf den per DHCP Server zugewiesenen DNS Server der Swisscom "195.186.216.32.53":

       4022.990201 arp who-has 192.168.10.1 tell 192.168.10.2
       4022.991054 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40
       4029.388283 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4032.390054 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4034.415427 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4037.420104 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4038.429891 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4039.445473 192.168.10.2.1235 -> 129.132.254.70.1645: udp 501
       4041.994059 10.41.19.67.60034 -> 195.186.216.32.53: udp 35
       4042.449809 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
       4043.449925 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
       4044.474628 192.168.10.2.1235 -> 129.132.254.70.1812: udp 501
       4046.369660 arp who-has 192.168.10.1 tell 192.168.10.2
       4046.370483 arp reply 192.168.10.1 is-at 0:a:f4:3b:54:40

Für das bessere Verständnis nachfolgend noch folgendes: Auf der Swisscom Seite ist die Authentifizierung für MOBILE-EAPSIM auf dem Cisco WLC (Wireless Controllers) mit "WEP-104bits" konfiguriert. Im ersten Augenblick sieht es so aus, dass eine auf unserer Seite Konfigurierte WPA2-Enterprise nicht funktionieren würde. Der Grund das dies dennoch funktioniert, ist das diese WPA2-Enterprise Transparent ist zu einer EAP-SIM Authentifizierung. Im Klartext bedeutet dies auf der FortiGate Seite wird so eine Authentifizierung folgendermassen durchgeführt (EAP-SIM Flow):

       Datei:Fortinet-323.jpg

Wie erstelle ich ein sicheres WLAN Passwort und was ist dabei zu beachten?

Damit sich niemand in das WLAN einhacken kann, sollte als Verschlüsselungsverfahren im Router mind. WPA2 eingestellt sein. Die Vorgänger WEP und WPA lassen sich mit etwas Know-how knacken. Gleichfalls wichtig: Das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Diese Aufgabe kann einem Tool übergeben werden wie zB RK-WLAN-Keygen. Sobald das Tool installiert ist wählen aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPA-PSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter lege fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, über den Schieberegler die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken auf "Schlüssel generieren". Wenn einem das Passwort nicht zusagt, klicken von neuem, um ein Anderes zu erhalten. Der Schlüssel liegt nun auch automatisch in der Windows-Zwischenablage und kann über Ctr + V in das entsprechende Feld des Access Point kopiert werden. Außerdem sollten Sie ihn ausdrucken und/oder in einer Datei an einem sicheren Ort speichern.

Wireless Health

Gibt es eine Möglichkeit die FortiAP's zu überwachen (Health Monitor)?

Natürlich kann man die FortiAP's über das entsprechende MIB File der FortiGate überwachen. Die Möglichkeiten sind jedoch beschränkt. Ab FortiOS 5.0.4 gibt es neu die Möglichkeit die am Wireless Controller angeschlossenen FortiAP's über die neue Menüposition "Wireless Health" zu übewachen. Unter dieser Position stehen folgende Widgets für die Uberwachung zur Verfügung:

       Fortinet-796.jpg
       Fortinet-797.jpg

CAPWAP / DTLS

Ist der Traffic zwischen dem Ethernet Port des FortiAP und der FortiGate verschlüssel?

Wie schon im Artikel FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F erwähnt wird der Traffic zwischen der FortiGate und dem FortiAP über CAPWAP abgewickelt. Dabei ist der Traffic zwischen der FortiGate und dem FortiAP "Enkapsuliert" in einem "Data Channel" von CAPWAP. Wenn eine höhere Sicherheit gefordert wird zwischen der FortiGate und den FortiAP's kann DTLS Verschlüsselung Optional zugeschaltet werden (Ab FortiOS 5). Ebenfalls kann sofern notwendig die Verschlüsselung durch "Clear Text" komplett ausgeschaltet werden (Ab FortiOS 5). Was ebenfalls neu in FortiOS 5 ist, wäre die Möglichkeit die konfigurierte SSID mit einem "Local Bridging" zu konfigurieren. Dies bedeutet der Traffic des AP wird direkt über dessen Ethernet Port gesendet anstelle diesen über den Data Channel Enkapsuliert zum FortiGate WiFi Kontroller zu senden. Dies ermöglicht ebenfalls eine VLAN-ID der SSID zu assignen um das FortiAP Ethernet Interface nach 802.1Q zu taggen.

Wie werden FortiAP's über die Fortigate gesteuert/konfiguriert (CAPWAP)?

Der Standard der benutzt wird um die FortiAP's über die Fortigate zu konfigurieren/kontrollieren ist CAPWAP (RFC 5415, RFC 5416, RFC 5417). Im folgenden Artikel wird erklärt wobei es sich handelt:

       http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol

Die Ports die benutzt werden für CAPWAP sind:

       UDP 5246 und 5247
       
       NOTE Ab FortiOS 5.0.3 kann die CAPWAP Funktion sprich ob dies zugelassen ist oder nicht über die 
            Interface Konfiguration aktiviert und/oder deaktiviert werden:
            
            System > Network > Interfaces > [Wähle das entsprechende Interface]

Die Verschlüsselung die für CAPWAP benutzt wird ist Zertifikat basierend (existierende Zertifikate auf dem FortiGate Controller sowie auf dem FortiAP)!

Was bedeutet "WiFi data channel encryption (DTLS)" und wie konfiguriere ich diesen?

DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benuttz um den Traffic der vom Access Point zum WiFi Controller (FortiGate) zu übermittelnt. Der "Data Channel" wird encapsulated im CAPWAP (FortiAP:FAQ#Wie_werden_FortiAP.27s_.C3.BCber_die_Fortigate_gesteuert.2Fkonfiguriert_.28CAPWAP.29.3F) zum WiFi Controller übermittelt. Per Standard wird dieser Traffic "nicht" verschlüsselt. Um eine Verschlüsselung innerhalb des "Data Channels" zu etablieren wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen das "BEIDE" Seiten dh. FortiGate WiFi Controller und der Access Point gleichermassen konfiguriert werden müssen. Nur wenn beide Seiten DTLS aktiviert haben wird eine Verschlüsselung etabliert ansonsten kommt keine Verbindung zu stande. Die Verschlüsselung selber wird durch den FortiGate WiFi Controller sowie den Access Point durchgeführt. Dabei ist die nötige Performance die diese Funktion in Anspruch nimmt, zu berücksichtigen (ca. 20% zusätzliche Belastung des CPU). Per Standard ist "Clear Text" sowie "DTLS" auf den FortiAP's aktiviert. Somit kann über den FortiGate WiFi Controller die Funktion gesteuert werden. Wenn auf dem FortiGate WiFi Controller ebenfalls beides aktiviert wird dh. "Clear Text" und "DTLS" wird "Clear Text" benutzt. Die Konfiguration dh. die Funkton DTLS und/oder Clear Test wird im entsprechenden Access Point Profile konfiguriert. Wenn das "automatic" Profil das zur Verfügung steht benutzt wird, kann nur "Clear Text" benutzt werden. Um über Kommandozeile CLI die Verschlüsselung zu aktivieren benutze folgendes:

       ACHTUNG Die Funktion DTLS Verschlüsselung sollte nur dann aktiviert werden, wenn die Komunikation über ein "NICHT" Trusted
               Environment durchgeführt wird dh. zB Internet, öffentliche Netze etc.!
       Auf dem FortiGate WiFi Controller:
       
       # config wireless-controller wtp-profile
       # edit [Name des entsprechenden Profils]
       # set dtls-policy ["dtls-enabled" oder "clear-text"]
       # end
       Auf dem FortiAP:
        
       # cfg -a AC_DATA_CHAN_SEC=1
       # cfg -c
       
       NOTE Für die Variable "AC_DATA_CHAN_SEC" gelten folgende Werte:
       
            • 0 is Clear Text
            • 1 is DTLS Enabled
            • 2 is Clear T ext or DTLS Enabled (default)
       
       NOTE Wenn der Access Point über keinen Consolen Port verfügt kann für den Access Point über den WiFi 
            Controller eine Telnet Session etabliert werden. Weitere Information siehe folgender Artikel:
            
            FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F

Natürlich können die Konfigurationen für beide Geräte sei es FortiGate und FortiAP über das WebGui durchgeführt werden!


Wie kann ich innerhalb des CAPWAP Tunnel eine IP Fragmentierung verhindern?

Ein Problem, dass nicht nur Fortinet based WiFi Produkte die sich über einen Wireless Controller verwalten lassen haben, ist eine event. IP Fragmentation innerhalb des CAPWAP Tunnels. Eine Fragementierung tritt auf wenn das zu übermittelnde Packet die "max. transmission unit" (MTU) beinahe erreicht jedoch der Overhead des CAPWAP noch dazu kommt. Dann ist das Packet grösser als die MTU und muss Fragmentiert werden. Fragementierung reduziert die Performance und kann sogar zum Datenverlust führen. Die Lösung zu diesem Problem geht FortiOS so an, dass der Wireless Client angewiesen wird kleinere Packete zu senden damit die "max. transmission unit" (MTU) inkl. dem CAPWAP Overhead nicht überschritten wird. Dies kann auf der CLI folgendermassen durchgeführt werden:

       # config wireless-controller wtp-profile
       # edit [Wähle das entsprechende Profile]
       # set ip-fragment-preventing [tcp-mss-adjust | icmp-unreachable]
       # set tun-mtu-uplink [0 | 576 | 1500]
       # set tun-mtu-downlink [0 | 576 | 1500]
       # end
       # end
       tcp-mss-adjust
       Ist per Standard aktiviert und bedeutet folgendes: Dies Option veranlasst den FortiAP den Wireless Client ein "max sgement size" (MSS) 
       zu senden. Der FortiAP fügt dem "SYN" Packet ein kleineren Wert betreffend MSS hinzu. Dies wird durchgeführt wenn der Wireless Client 
       mit dem FortiAP Verbindung aufnimmt. Dadurch wird der Wireless Client aufgefordert kleinere Packete zu senden als der Wert "tun-mtu-uplink" 
       und somit kann der FortiAP den Overhead des CAPWAP hinzufügen und eine Fragmentierung verhindern.
       icmp-unreachable
       Ist per Standard deaktiviert und bedeuet folgendes: Diese Option beeinflusst sämtlichen Traffic dh. UDP und TCP. Diese Option bewirkt, 
       dass der FortiAP Packet verwirft die im TCP Header mit dem Bit "Don't Fragment" markiert sind jedoch über die Grösse verfügen für eine 
       Fragmentierung. Wenn dies eintrifft sendet der FortiAP ein Packet zum Wireless Controller:
       
       Type 3 "ICMP Destination unreachable" With Code 4 "Fragmentation Needed and Don't Fragment was Set"
       
       Dies bewirkt wiederum beim Wireless Client, dass dieser kleinere Packete (UDP und/oder TCP) sendet um eine Fragmentierung zu verhindern.
       tun-mtu-uplink
       Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)! 
       tun-mtu-downlink 
       Per Standard auf "0" gesetzt (Setze diesen Wert auf TCP MTU 1500)!
       NOTE Wenn "tcp-mss-adjust" oder "icmp-unreachable" aktiviert ist und der Wert für "tun-mtu-uplink/downlink" auf TCP MTU 1500 
            wird der Wireless Client angewiesen keine grösseren Packete zu senden als "1500". Dies bewirkt das die Packete die nach 
            Erhalt in den CAPWAP Tunnel gesendet werden nicht fragementiert werden müssen.

Troubleshooting

Was kann getan werden wenn eine Access Point nicht ersichtlich ist über den FortiGate WiFi Controller?

Wenn ein Access Point in einem Segment nicht ersichtlich ist über den WiFi Controller der FortiGate, speziell dann wenn er manuell betreffend IP konfiguriert wurde ist dabei zu achten, dass im betreffenden Segment folgende Protokolle korrekt arbeiten und in diesem Segment zugelassen sind:

       Broadcast
       Multicast
       Unicast

Auf einigen Switchen ist zB Unicast per Standard ausgeschaltet. Diese Funktion ist auf den meisten Switchen zu finden unter der Position "Storm-Agent". Kontrolliere deshalb den Switch und gewährleiste, dass diese Protokolle nicht über den Switch geblockt werden. Um dies zu Troubleshooten ist es wichtig zu wissen wie CAPWAP funktioniert:

       http://www.ietf.org/rfc/rfc5415.txt

Wenn ein Troubleshooting durchgeführt werden soll um festzustellen ob mit der Verbindung über Port 5246 ein Problem besteht (CAPWAP Port) kann folgendes durchgeführt werden:

       Setze den Debug Filter zurück:
       
       # diagnose debug reset
       
       Setze einen neuen Debug Filter:
       
       # diagnose debug application cw_acd 5     
       NOTE "5" stellt die "verbosity" dar. Diese "verbosity" zeigt ALLE Fehler an sowie den gesamten CAPWAP Prozess (Discovery,
            Keep Uplive etc.) Sobald das "debug" nicht mehr benötigt wird muss die Funktion deaktivert sowie gelöschen werden
            ansonsten läuft der Debug im Hintergrund weiter und der Filter bleibt bestehen!
       Deaktiviere den Debug Modus:
       
       # diagnose debug disable
       
       Setze den Debug Filter zurück:
       
       # diagnose debug reset
       
       Kontrolliere den Debug Filter ob dieser zurückgesetzt wurde:
       
       # diagnose debug info

Deszweiteren zB um festzustellen ob im Bereich "Unicast" ein Problem besteht kann folgender Befehl auf dem FortiGate Interface auf dem die Access Points angeschlossen sind folgendes durchgeführt werden:

       # diagnose sniffer packet any "port 5246" 6 0 a

Im Sniffer Output muss die Antwort des Access Point über Unicast (Discovery Request) zum FortiGate Controller (Interface) ersichtlich sein. Ist dies nicht der Fall wird Unicast irgendwo auf dem Weg zum FortiGate Controller geblockt. Die Konsequenz daraus ist das Broadcast und Multicast Anfragen sterben resp. verloren gehen.

Wie kann ich Verbindungsprobleme mit einem Wireless Client/Workstation troubleshooten?

Folgender Artikel gibt Auskunft wie solch ein Troubleshooting durchgeführt wird:

       Fortigate:FAQ#Wie_kann_ich_Verbindungsprobleme_mit_einem_Wireless_Client.2FWorkstation_troubleshooten.3F

Wie finde ich raus welche Clients mit welcher SSID verbunden sind und mit welcher MAC Adresse?

Um herauszufinden welche Clients mit welcher SSID verbunden sind benutze folgenden Befehl:

       # diagnose wireless-controller wlac -d sta
         vf=0 wtp=113 rId=1 wlan=only4also ip=192.168.5.2 mac=9c:b7:0d:de:8f:74 rssi=-41 idle=87 bw=0 use=2 chan=6 radio_type=11N
       * vf=0 wtp=113 rId=1 wlan=only4also ip=0.0.0.0 mac=00:09:0f:f9:29:22 rssi=0 idle=594992 bw=0 use=2 chan=6 radio_type=11N
       * vf=0 wtp=113 rId=2 wlan=only4guests ip=0.0.0.0 mac=00:09:0f:f9:29:29 rssi=0 idle=594993 bw=0 use=2 chan=11 radio_type=11N

In unserem Beispiel sehen wir, dass ein Client mit der IP 192.168.5.2 verbunden ist mit der MAC Adresse 9c:b7:0d:de:8f:74. Gleichzeitig sehen wir die zwei SSID's (mit * gekennzeichnet) "only4also" sowie "only4guests" mit deren MAC Adresse "00:09:0f:f9:29:22" und "00:09:0f:f9:29:29".

Wie finde ich heraus welche Firmware auf einem Access Point installiert ist?

Die Firmware eines Fortinet Access Points ist über das Fortigate WebInterface ersichtlich. Steht dieses aus irgenwelchen Gründen nicht zur Verfügung kann über die Serial Console auf dem Access Point diese ebenfalls direkt ausgelesen werden dh. führe dazu folgendes durch:

       # fap-get-status
       
       Version: FortiAP-220B v4.0,build222,120109 (MR3)
       Serial-Number: FAP22B1234567890
       BIOS version: 04000010
       Regcode: N
       Hostname: FAP22B1234567890
       Branch point: 222
       Release Version Information:MR3

Wie kann ich die Konfiguration eines Access Point manuell auf Factory Defaults setzen?

Wenn es nötig wird einen Access Point auf Factory Defaults zu setzen kann folgendes Kommando auf dem Access Point über die CLI durchgeführt werden:

       # cfg -x 
       # reboot
       
       oder auch
       
       # factoryreset

Durch den Befehl "cfg -x" wird der Access Point zurückgesetzt und zware OHNE Neustart des Gerätes im Gegensatz zu "factoryreset"! Die Geräte können ebenfalls auch manuell mit einem Hardware Factory Reset zurückgestellt werden (Reset Knopf). Dazu muss der Reset Knopf 5 Sekunden lang gedrückt gehalten werden! Weitere Angaben zu diesem Vorgang:

       FAP-210B and FAP-220B
       Der "reset button" befindet sich auf der Unterseite des Gerätes und ist nicht speziell gekennzeichnet. Für einen Factory Reset muss 
       der "reset button" einaml gedrückt werden. Es wird automatisch ein Neustart ausgeführt.
       FAP-221B, FAP 221C and FAP-223B
       Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Oberseite des Devices (neben dem Fortinet Logo). 
       Um einen Factory Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken.
       Es wird automatisch ein Neustart ausgeführt.
       FAP-320B and FAP320C
       Der "reset button" befindet ist beschrifted als "reset button" und befindet sich neben dem LAN1 Ethernet Anschluss. Um einen Factory
       Reset auszuführen halte den "reset button" 7 - 10 Sekunden gedrückt bis der Power LED beginnt "orange" zu blinken. Es wird automatisch 
       ein Neustart ausgeführt.
       FAP-222B
       Es exisistiert kein "reset button" für dieses Modell. Wenn ein Power Injector benutzt wird kann der FortiAP über diesen zurgesetzt 
       werden dh. drücke den "reset button" für den Power Injector 10 Sekunden gedrückt. Es wird automatisch ein Neustart ausgeführt.
       FAP-11C
       Der "reset button" ist nicht speziell gekennzeichnet befindet sich jedoch auf der Front Seite unter den LED's. Um einen Factory Reset
       auszuführen halten den "reset button" für 7 Sekunden gedrückt bis die LED's blinken. Danach wird automatisch ein Neustart ausgeführt.

Die "reset button" sind über das Quickstart Guide des jeweiligen Devices beschrieben:

      Fortinet:ProduktInfo#FortiAP

Wie kann ich die Netzwerk Konfiguration eines Access Point manuell auslesen?

Die Konfiguration eines Access Point ersieht man im normal Fall über das Fortigate Mgmt. Webinterface. Wenn dies jedoch nicht mehr möglich etc. kann die momentane Netzwerk Konfiguration über CLi ausgelesen werden. Führe dazu folgendes durch:

       # cfg -s
       AP_IPADDR:=192.168.1.2
       AP_NETMASK:=255.255.255.0
       IPGW:=192.168.1.1
       ADDR_MODE:=DHCP
       TELNET_ALLOW:=0
       AC_DISCOVERY_TYPE:=0
       AC_IPADDR_1:=192.168.1.1
       AC_CTL_PORT:=5246
       AC_DISCOVERY_MC_ADDR:=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE:=138

Wie kann ich per Telnet auf einen Access Point zugreifen wenn der Access Point über keinen Consolen Port verfügt?

Wenn ein Access Point zB FAP-221B/C über keinen Consolen Port verfügt und man dennoch über Telnet auf den Access Point zugreifen möchte um zB ein Debug auszuführen, muss auf der Fortigate dies zuerst freigeschaltet werden. Dies bedeutet, ein direkt Zugriff per Telnet auf den Access Point ist nicht möglich. Der Zugriff erfolgt über die Fortigate. Um die Funktion für Telnet freizuschalten auf der Fortigate führe folgendes aus:

       - Logge dich auf der Fortigate per SSH/Telnet oder Consolen Port ein und führe folgendes durch:
       
       # config wireless-controller wtp
       
       - Ueberprüfe durch "show" welche Access Points existieren:
       
       # show
       config wireless-controller wtp
       edit "FAP22B3U11011877"
       set name "FortiAP1"
       set location "FortiAP 220B"
       set wtp-profile "FortiAP1"
       next
       end
       
       - Editiere den entsprechenden Access Point auf dem Telnet freigeschaltet werden soll:
       
       # edit FAP22B3U11011877
       # show
       config wireless-controller wtp
       edit "FAP22B3U11011877"
       set name "FortiAP1"
       set location "FortiAP 220B"
       set wtp-profile "FortiAP1"
       next
       end
       
       - Aktiviere durch "set login-enable enable" den Telnet Zugriff:
       
       # set login-enable enable
       # show
       config wireless-controller wtp
       edit "FAP22B3U11011877"
       set name "FortiAP1"
       set location "FortiAP 220B"
       set wtp-profile "FortiAP1"
       set login-enable enable
       next
       end
       # next
       # end
       
       - Teste den Zugriff per Telnet auf den entsprechenden Access Point:
       
       # exec telnet 192.168.3.2
       FAP22B3U11011877 login: admin
       
       BusyBox v1.01 (2012.07.16-18:39+0000) Built-in shell (ash)
       Enter 'help' for a list of built-in commands.
       
       #

Wie kann vorgegangen werden wenn Performance Problem auf den FortiAP auftreten?

Wenn ein Wireless Infrastruktur aufgebaut wird kommt es nicht selten zu Performance Probleme dh. diese sind/können vielfältig sein dh. Abhängig von Umgebung, bestehender Infrastruktur, eingesetzter Clients usw. Nun wie soll vorgegangen werden wenn so ein Performance Problem auftritt:

       --> Als Erstes führe Tests durch mit den Clients und auf einem "Freien Kanal" (ganz sicher nicht besetzt 
           oder beeinträchtigt durch andere WiFi Infrastrukturen). Nach Möglichkeit ist der 5 Ghz zu bevorzugen 
           vor dem 2.4 Ghz. Beide zu benützen ist für den Test nicht zu empfehlen da der 2.4 GhZ Bereich durch 
           Interferenzen das Resultat negativ beeinflusst.
       --> Stelle fest/stelle sicher das der Client mit der max. Rate verbunden ist:
       
                     130Mbps für 2Ghz 2x2 
                     300Mbps für 5Ghz 2x2 (Short Guard und Channel bonding akiviert)
       --> Folgendes Tool kann auf einem Laptop helfen Störungen und Signalqualität zu identifizieren:
       
           http://www.metageek.net/support/downloads                    (inSSIDer für Windows / Mac / Android)
           http://www.nirsoft.net/network_tools.html                    (WifiInfoView für Windows)
           http://www.ekahau.com/products/heatmapper/overview.html      (HeatMapper für Windows XP / Windows Vista / Windows 7)
       --> Vergewissere dich, dass zwischen FortiAP, FortiGate und Server 1000Mbit benutzt wird. Sofern nötig
           setze den speed fix (set speed 1000full).
       --> Führe Tests durch mit einem, mehreren Clients sowie mit mehreren Applikationen.
       --> Ueberprüfe die Auslastungen auf der FortiGate (CPU und Memory). Ziel ist es bei einer Uebertragung
           die Auslastung/Auswirkungen auf den CPU und/oder Memory herauszufinden/zu Monitoren:
           
           # get sys perf status
           # diagnose sys top
       --> Zeichne den Wireless Traffic auf und analysiere diesen in Bezug auf Packet ACK dh. um die Performance 
           zu erhöhen werden die Packete "aggregiert" sprich das Acknowledgement wird nur einmalig für eine Gruppe 
           durchgeführt (Block Ack Technique 802.11n). Wenn Packete verworfen werden ist dies ein Hinweis auf 
           Interferenzen und gründet in schlechter Performance und Datenrate. Um den Verkehr aufzuzeichnen benötigt
           man ein entsprechendes "capture tool" (zB WireShark http://www.wireshark.org/download.html).
       --> Teste den aktuellen "throughput" mit einem Tool wie "jperf" (http://sourceforge.net/projects/jperf)
           
           Datei:Jperf-how-to.pdf
       --> Um mehr als 54Mbps mit 802.11n herauszuholen benütze nicht "Legacy TKIP" sondern "CCMP" (CCMP oder auch 
           Counter-Mode/CBC-MAC Protocol ist gemäß IEEE 802.11i ein Kryptographie-Algorithmus siehe auch
           http://en.wikipedia.org/wiki/CCMP). CCMP Wird benutzt durch die Aktivierung von WPA2 Authentifizierungs-
           Methode.
      --> Ueberprüfe ob zuviele "Beacons per Second" gesendet/benützt werden (beacon-interval):
          
          Datei:Fortinet-332.jpg
      --> Ueberprüfe ob in der Umgebung zuviele existente Frequenz-Bänder existieren die Interferenzen (Störungen)
          verursachen.
      --> Ueberprüfe ob zuviele Broadcast sowie Multicast über das WiFi Netz gelangen/transportiert werden.
      --> Ueberprüfe ob Backward Kompatibilität für 802.11b sowie g genutzt und benötigt wird (event. eliminieren)
      --> Ueberprüfe ob auf den End Device der User die neusten Treiber sowie WiFi Software installiert ist und 
          überprüfe deren Datenrate.

Wie kann ich Multicast über einen FortiAP optimieren resp. die Performance steigern?

Im normal Fall wird Multicast Traffic in einem Netzwerk gleichbehandelt wie der Broadcast Traffic. Dazu wird die kleinste Datenrate gewählt und kein "frame acknowledgement" wird durchgeführt. Dieser Umstand "kann" Multicast" Uebermittlung über die FortiAP's verlangsamen. Um diesen Umstand entgegenzutreten kann der Multicast Traffic in "Unicast" Traffic umgewandelt werden um eine "optimale" Datenrate zu erreichen. Ebenso profitiert innerhalb des Multicast das optimitert "frame acknoledgement" von der Performance. Um die Optimierung des Multicast auf einer SSID zu aktivieren führe folgendes durch:

       # set multicast-enhance [enable | disable]
       
       NOTE Dieses Kommando aktiviert die Konvertierung von Multicast zu Unicast!
       # set me-disable-thresh [Standard Wert 64, Mögliche Einstellungen 2 - 256]
       
       NOTE Dieses Befehl setzt die Multicast Erweiterung des Durchschnitts der FortiAP's 
            dh. Sobald der "threshold" erreicht wird so wird die Konvertierung von Multicast 
            zu Unicast unterbunden um zu verhindern das die Multicast Gruppe zu gross wird (
            Anzahl FortiAP's).

Ein Access Point ist über zwei unterschiedliche FortiGate WiFi Controller ersichtlich?

Nun ein FortiAP ist per Standard im "AC_DISCOVERY_TYPE" 0 was "auto" entspricht. Dies bedeutet der FortiAP sucht in der ganzen Umgebung (Broadcast, Multicast, DHCP) nach FortiGate WiFi Controllern. Nun wenn mehrer FortiGate WiFi Controller in der Umgebung installiert sind erscheinen die FortiAP auf all diesen FortiGate WiFi Controllern. Auch wenn einer dieser FortiGate WiFi Controllern herangezogen wird um den FortiAP zu konfigurieren bleibt der FortiAP auf den anderen FortiGate WiFi Controllern sichtbar. Um dies zu verhindern muss der "AC_DISCOVER_TYPE" auf "static" dh. "1" gesetzt werden. Dadurch wird explizit "statisch" nach der IP Adresse des "AC_IPADDR" gesucht. Aus diesem Grund muss "AC_IPADDR" explizit manuel gesetzt werden oder anhand einer DHCP Option mitgegeben werden FortiAP:FAQ#Was_ist_zu_ber.C3.BCcksichtigen_wenn_ein_FortiAP_seine_IP_.C3.BCber_den_Forti_WiFi_Controller_per_DHCP_Server_erh.C3.A4lt.3F. Wird "AC_IPADDR" manuell auf dem FortiAP konfiguriert gebe folgenden Befehl ein:

       NOTE Wenn der FortiAP über keinen Consolen Port verfügt kann über den WiFi Controller der FortiGate der Access Point 
            per Telnet konfiguriert werden:
            
            FortiAP:FAQ#Wie_kann_ich_per_Telnet_auf_einen_Access_Point_zugreifen_wenn_der_Access_Point_.C3.BCber_keinen_Consolen_Port_verf.C3.BCgt.3F
       # cfg -a AC_IPADDR=[IP Adresse des FortiGate WiFi Controllers]
       # cfg -c
       # cfg -s

Um den "AC_DISCOVERY_TYPE" auf Statisch zu setzen gebe folgendes auf der CLI ein:

       # cfg -a AC_DISCOVERY_TYPE=1
       # cfg -c
       # cfg -s

Wenn der FortiAP auf dem FortiGate WiFi Controller sichtbar ist (Connecting) auf dem dieser nicht konfiguriert wird kann dieser dort gelöscht werden (Eintrag mit der Maus markieren und rechte Maustaste > Delete). Nach der obigen Konfiguration darf nun der FortiAP auf diesem FortiGate WiFi Controller nicht mehr erscheinen.

Wie finde ich heraus über welche Uptime ein FortiAP verfügt?

Wenn vermutet wird, dass ein FortiAP selbständig einen Neustart ausführt kann folgender Befehl ausgeführt werden um die Uptime zu eruieren:

       # cw_diag uptime
        Current uptime                  : 574652
        WTP daemon start uptime         : 18
        WTP daemon RUN uptime           : 74
        Time since WTP daemon started   : 574634
        Time since WTP daemon connected : 574578
       
        Watchdog timer triggered        : 0
        Watchdog timer action           : 1
        Watchdog timer time             : 22

Welche Debug Möglichkeiten stehen mir auf einem FortiAP zur Verfügung?

Auf dem FortiAP steht das Kommando "cw_diag" zur Verfügung. Anhand dieses Befehls können verschiedenen Optionen angegeben werden und anhand dieser kann ein Debugging durchgeführt werden:

       # cw_diag help
       cw_diag usage:
       cw_diag help                                 --show this usage
           cw_diag uptime                           --show daemon uptime
           cw_diag --tlog  <on|off>                 --turn on/off telnet log message.
           cw_diag --clog  <on|off>                 --turn on/off console log message.
           cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
           cw_diag kernel-panic [size [ID]]         --show saved kernel panic log fromflash
           cw_diag kernel-panic clear               --clear saved kernel panic log from flash
           cw_diag k-dvlan-debug [0-15]             --enable/disable kernel dynamic vla n debug
           cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
           cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server i p and port
           cw_diag sniff [intf [0|1|2] | clear]     --show, set or clear sniff setting on intf
           cw_diag stats wl_intf                    --show wl_intf status
           cw_diag wl-log                           --get wlan's beacon/probe related i nfo
           cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
           cw_diag pkt-pattern [rId]                --show traffic packet length info.
           cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv inte rval
           cw_diag sys-performance                  --show CPU load and memory usage
           cw_diag clear debug                      --clear all debug settings
           cw_diag show debug                       --show all debug settings
           cw_diag show control                     --show all -c settings
           cw_diag show all                         --show all debug and -c settings
           cw_diag -c wtp-cfg                       --show current wtp config params in control plane
           cw_diag -c radio-cfg                     --show current radio config params in control plane
           cw_diag -c ssid                          --show current configrued SSIDs
           cw_diag -c vap-cfg                       --show current vaps in control plan e
           cw_diag -c ap-rogue                      --show rogue APs pushed by AC for o n-wire scan
           cw_diag -c sta-rogue                     --show rogue STAs pushed by AC for on-wire scan
           cw_diag -c arp-req                       --show scanned arp requests
           cw_diag -c ap-scan                       --show scanned APs
           cw_diag -c sta-scan                      --show scanned STAs
           cw_diag -c sta-cap                       --show scanned STA capabilities
           cw_diag -c sta-locate                    --show scanned STA locate data
           cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
           cw_diag -c wids                          --show scanned WIDS detections
           cw_diag -c mesh                          --show mesh status
           cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
           cw_diag -c mesh-veth-vap                 --show mesh veth vap
           cw_diag -c mesh-veth-host                --show mesh veth host
           cw_diag -c mesh-ap                       --show mesh ap candidates
           cw_diag -c vlan                          --show current vlan info in daemon
           cw_diag -c sta                           --show current station info in daem on
           cw_diag -c sys-vbr                       --show WTP Vlan Bridges
           cw_diag -c net-topo                      --show interface topology
           cw_diag -c k-vap                         --show WTP Kernel local-bridge VAPs
           cw_diag -c k-host                        --show WTP Kernel local-bridge Host s
           cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
           cw_diag -c k-vbr                         --show WTP Kernel local-bridge Vlan Bridges
           cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
           cw_diag -c ap-suppress                   --show suppressed APs
           cw_diag -c sta-deauth                    --de-authenticate an STA

Wenn ein FortiAP "crashed" kann folgender Befehl durchgeführt werden um an die crash Informationen zu kommen:

       # cw_diag kernel-panic 64000
       
       NOTE Der Wert 64000 gibt die Grösse an des zu auszugebenden Files!

Konfiguration

Für den Konfigurationspunkt "Security Mode" können welche Mode's konfiguriert werden?

Die üblichen Security Mode wie "WPA2-Enterprise" können über das Web Gui konfiguriert werden. Andere stehen nur über die CLI zur Verfügung dh.:

       # config wireless-controller wtp-profile
       # edit [Profile Name]
       # set security [captive-portal | open | wep128 | wep64 | wpa-enterprise | wpa-only-enterprise | wpa-only-personal | wpa-personal | wpa2-only-enterprise | wpa2_only-personal]

Was bedeutet der Konfigurationspunkt "Block Intra-SSID Traffic"?

Dieser Konfigurationspunkt auf der SSID bedeutet, dass die User untereinander nicht komunizieren können (Wird eingesetzt bei Hot-Spot's). Dieser Konfigurationspunkt verhindert auch eine "man-in-middle" Attacke von einem Device im selben Segment (SSID). Der zuständige Befehl auf der CLI der dies steuert wäre "intra-vap-privacy". Möchte man die Funktion aktivieren, dass die Clients über den Access Point komunizieren können ohne das der Traffic den Access Point verlässt, ist der zuständige Befehl "local-switching". Somit ergiebt sich auf der CLI folgendes:

       # config wireless-controller vaps
       # edit [Name der SSID]
       # set intra-vap-privacy [disable / enable]
       # set local-switching [disable / enable]

Was bedeutet der Konfigurationspunkt "Rogue AP’s"?

Rogue bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären Access Point Verbund/Netzwerk gehört. Dies bedeutet illegale betriebenen Access Points mit gleicher SSID wie über die regulären Access Points verbreitet werden. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Wenn diese nicht zum regulären Verbund/Netzwerk gehören können diese Unterdrückt werden (Susspressed). Ob diese Access Points zum regulären Verbund/Netzwerk gehören definiert der Wireless Controller indem die Mac Adressen mit den regulären Access Point's verglichen werden. Um diese nicht regulären Access Points (Fake AP) zu unterdrücken werden "deAuthentiation Frames" zu diesen Access Points gesendet um ein Verbinden der Clients zu diesem Access Point zu verhindern. Um Global den Wireless Controller für AP-Scan resp. On-Wire-Scan zu aktivieren führe auf der CLI folgendes aus (über WebGui "WiFi Controller > WiFi Network > Rogue AP Settings):

       # config wireless-controller setting
       # set ap-scan enable
       # set on-wire-scan enable
       # end

Global steht danach die Funktion zur Verfügung. Um nun zB einen dezidierten "Radio" für das Scanning resp. Monitoring zu benutzen muss in einem entsprechenden Profile folgendes konfiguriert werden (über WebGui "WiFi Controller > WiFi Network > Custom AP Profile):

       # config wireless-controller wtp-profile
       # edit [Name des Profils]
       # config radio-1
       # set ap-bgscan enable
       # set rogue-scan enable
       # set ap-bgscan-period 300
       # set ap-bgscan-intv 1
       # set ap-bgscan-duration 20
       # set ap-bgscan-idle 100
       # end
       # end

Es gibt einige Situationen indem folgendes zu berücksichtigen ist: Wenn ein Access Point auch als Router agiert sowie NAT (Network Address Translation) durchführt wird, wird die Suche nach irregulären Access Points über die Funktion "Rogue Scan" erschwert. Im normal Fall ist ein Interface eines Access Points im gleichen IP Range wie dessen MAC Adresse! Die "MAC adjacency rogue detection method" vergleicht LAN und WiFi Netzwerk MAC Adressen die sich in einer bestimmten "Nummerischen Abstand (Distance)" befinden. Per Standard gilt "MAC adjacency distance" 7. Wenn der Access Point für diese übereinstimmenden MAC-Adressen nicht in der FortiGate Gerätekonfiguration ermächtigt, wird der Access Point alse "On-Wire rogue" erachtet. Um den Standard Wert 7 anzupassen führe folgendes durch:

       # config wireless-controller global
       # set rogue-scan-mac-adjacency [Wert zB 8]
       # end
       
       NOTE "On-wire Rogue-Erkennung" hat einige Einschränkungen! Es muss mindestens ein WiFi Client vorhanden sein auf einem verdächtigen
            Access Point der kontinuierlich Daten sendet und Traffic produziert. Wenn es sich beim verdächtigen Access Point um einen Router 
            handelt, muss die WiFi MAC-Adresse des Access Point ähnlich zu dessen Ethernet-Port MAC-Adresse sein.

Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)?

"Automatic Radio Resource Provisioning" oder auch kurz ARRP (DARRP) steht im Zusammenhang mit den "Channels" (2.4 GHz Channel 1 bis 13 sowie 5 GHz Channel 36, 40, 44 und 48) mit denen der Access Point arbeitet dh. um zu verhindert das diese "Channesl" unter vers. Access Points kollidieren kann diese Position aktiviert werden. Wenn diese Position aktiviert ist sucht sich der FortiOS WiFi Controller den oder die besten "Channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "Channel" Benutzung wird alle 5 Minuten evaluiert und falls notwendig dem WiFi Client mitgeteilt damit dieser auf den neuen "Channel" wechseln kann. Es ist empfehlenswert diese Position zu aktivieren speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen im "Channel" Bereich zu verhindern.

       # config wireless-controller wtp-profile
       # edit [Profile Name]
       # get | grep darrp
       # config radio-[1 oder 2]
       # set darrp disable
       # end
       # end

Was bedeutet der Konfigurations Punkt "short guard intervall"?

"Guard Intervalle", auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt, um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen, gegen die digitale Daten in der Regel sehr anfällig sind. Die Länge des Guard Intervalls entscheidet dabei, wie störanfällig eine Übertragung ist. Je länger ein solches Intervall ist, desto besser schützt es gegen Störungen, desto geringer wird allerdings auch die Kanaleffektivität.

       802.11 Guard Interval
       Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
       fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
       "short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
       jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
       oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung 
       könnte entwickelt werden, um herauszufinden ob ein Short Guard Intervall von Vorteil wäre. Um die Komplexität
       zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall.


      # config wireless-controller wtp-profile
      # edit [Profile Name]
      # get | grep short-guard-interval
      # config radio-[1 oder 2]
      # set short-guard-interval disable
      # end
      # end

Was bedeutet der Konfigurations Punkt "channel-bonding"?

Die Funktion "channel-bonding" (20/40 MHz Kanal Breite) kann auf dem 5 GHz Frequenz aktiviert werden weil auf diesem Frequenz Band weniger überschneidende Kanäle vorhanden sind. Die 40 Mhz Option auf der 2.4 Ghz zerstückelt das Spektrum und da es in dieser Bandbreite mehr überschneidende Kanäle hat ist der Einsatz kontraproduktiv und störanfällig. Viele 11n-Geräte schalten daher je nach Umgebungsbedingungen zwischen 40- und 20-MHz-Kanälen hin und her oder lassen 40-MHz-Känale nur im 5-GHz-Band zu, auf dem weniger Funkverkehr herrscht. Aus diesem Grund ist "channel-bonding" nicht zu empfehlen im 2.4 Ghz Bereich! Da die einzelnen Kanäle breiter werden, aber insgesamt nicht mehr Kanäle als bisher verfügbar sind, erhöht sich die Gefahr, dass sich WLANs gegenseitig stören, wenn sie auf angrenzenden Kanälen funken.

Was bedeutet der Konfigurations Punkt "WIDS Profile"?

Siehe Artikel:

FortiAP:FAQ#Was_bedeutet_.22Wireless_IDS.22_und_wie_konfiguriere_ich_dieses.3F

Was bedeutet "fast-roaming" und wie konfiguriere ich dies?

Wenn User sich in einem Netzwerk befinden/verbunden sind -speziell zB mit Mobile Devices- kann die Situation entstehen, dass diese von Access Point zu Access Point wandern dh. ausser Reichweite des einten Access Point sind und in Reichweite zu einem anderen Access Point kommen! In solch einer Situation wird die Verbindung unterbrochen und auf dem neuen -sich in Reichweite befindenden- Access Point wieder verbunden. Dadurch wird eine nochmalige Authentifizierung ausgelöst. Möchte man diese abermalige Authentifikation verhindern so muss "fast-roaming" aktiviert werden. "fast-roaming" benützt 2 Unterschiedliche Techniken:

       • Pairwise Master Key (PMK) Caching
       Aktiviert eine Radius Authentifikation und zwar indem ein Master-Key im 
       Cache abgelegt wird der mit dem ersten AP mit dem sich der User zu Beginn 
       verbunden hat ausgehandelt wird. Dies aktiviert 802.11i und ist auch 
       bekannt als "fast roam back"!
       • Pre-authentication oder "fast-associate in advance"
       Aktiviert eine 802.11 Access Point der mit einem Client verbunden ist um
       den verbundenen Client auf "event." weiteren Access Points zu verbinden
       authentifizieren. Dies aktiviert PMK (Pairwise Master Key) auf möglichen
       weiteren Access Points auf dem sich der Client verbinden könnte dh. es
       veranlasst den Access Point auf dem der Client verbudnen ist diesen PMK 
       abzulegen um zukünftige Authentifizierung für den Client durchzuführen 
       ohne das dieser eine Authentifizierung selber/manuell abermals durchführen 
       muss.
       # config wireless-controller vap
       # edit [wtp-profile Name]
       # set fast-roaming enable
       # end

Was bedeutet "Wireless IDS" und wie konfiguriere ich dieses?

"Wireless IDS" ist ein Intrusion Detection System (ab FortiOS 5) und überwacht den Wireless Traffic betreffend "security threats". Es erkennt diese und kann diese ebenfalls Reporten. Wenn ein Angriff stattfindet wird dieser auf der FortiGate ins Log geschrieben. Für Wireless IDS können verschiedenen Profile erstellt werden um folgenden "threats" zu erkennen etc.

       • Unauthorized Device Detection
       • Rogue/Interfering AP Detection
       • Ad-hoc Network Detection and Containment
       • Wireless Bridge Detection
       • Misconfigured AP Detection
       • Weak WEP Detection
       • Multi Tenancy Protection
       • MAC OUI Checking

Per Standard existiert ein "default" Profil. Dieses Profile wird innerhalb eine Access Point Profils (WiFi Controller > Managed Access Points > Custom AP Profile), das erstellt wird um dieses einem bestimmten Access Points zuzuweisen, ausgewählt! Das "default" Profile enthält folgendes:

       NOTE Neu kann ein WIDS Profile über das WebGui konfiguriert werden (ab FortiOS 5.0.1). Die entsprechende Menüposition findet 
            man unter "WiFi Controller > WiFi Network > WIDS Profile".
       # config wireless-controller wids-profile
       # edit default
       # get
       name                : default
       comment             : default wids profile
       used-by             :
       wireless-bridge     : enable
       deauth-broadcast    : enable
       null-ssid-probe-resp: enable
       long-duration-attack: enable
       long-duration-thresh: 8200
       invalid-mac-oui     : enable
       weak-wep-iv         : enable
       auth-frame-flood    : enable
       auth-flood-time     : 10
       auth-flood-thresh   : 30
       assoc-frame-flood   : enable
       assoc-flood-time    : 10
       assoc-flood-thresh  : 30
       spoofed-deauth      : enable
       asleap-attack       : enable
       eapol-start-flood   : enable
       eapol-start-thresh  : 10
       eapol-start-intv    : 1
       eapol-logoff-flood  : enable
       eapol-logoff-thresh : 10
       eapol-logoff-intv   : 1
       eapol-succ-flood    : enable
       eapol-succ-thresh   : 10
       eapol-succ-intv     : 1
       eapol-fail-flood    : enable
       eapol-fail-thresh   : 10
       eapol-fail-intv     : 1
       eapol-pre-succ-flood: enable
       eapol-pre-succ-thresh: 10
       eapol-pre-succ-intv : 1
       eapol-pre-fail-flood: enable
       eapol-pre-fail-thresh: 10
       eapol-pre-fail-intv : 1

Um die Profile/Positionen zu konfigurieren stehen folgende Kommandos/Einstellungen zur Verfügung:

       Syntax
       config wireless-controller wids-profile
       edit <wids-profile_name>
       set comment <comment_str>
       set asleap-attack {enable | disable}
       set assoc-frame-flood {enable | disable}
       set auth-frame-flood {enable | disable}
       set deauth-br oadcast {enable | disable}
       set eapol-fail-flood {enable | disable}
       set eapol-fail-intv <int>
       set eapol-fail-thres <int>
       set eapol-logof f-flood {enable | disable}
       set eapol-logoff-intv <int>
       set eapol-logoff-thres <int>
       set eapol-pr e-fail-flood {enable | disable
       set eapol-pre-fail-intv <int>
       set eapol-pre-fail-thres <int>
       set eapol-pr e-succ-flood {enable | disable}
       set eapol-pre-succ-intv <int>
       set eapol-pre-succ-thres <int>
       set eapol-start-flood {enable | disable}
       set eapol-start-intv <int>
       set eapol-start-thres <int>
       set eapol-succ-flood {enable | disable}
       set eapol-succ-intv <int>
       set eapol-succ-thres <int>
       set i nvalid-mac-oui {enable | disable}
       set l ong-duration-attack {enable | disable}
       set long-duration-thresh <int>
       set null-ssid-probe-r esp {enable | disable}
       set spoofed-deauth {enable | disable}
       set weak-wep-iv {enable | disable}
       set wire less-bridge {enable | disable}
       end

Nachfolgende eine kurze Erklärung betreffend der Bedeutung der verschiedenen Positionen:

       Fortinet-361.jpg
       Fortinet-362.jpg

Was bedeutet "Client Load Balancing Access Point Hand-off" und wie konfiguriere ich diesen?

Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing" (ab FortiOS 5). Die Funktionsweise des "Access Point Hand-off" ist die folgende:

       Ein "Hand-off" wird durch den Access Point ausgelöst anhand des "threshold" (Standard 30). 
       Wenn der "Load" auf einem Access Point den gesetzten "thresold" übersteigt, wird der WiFi
       Client angewiesen auf den nächsten Access Point und/oder Radio zu wechseln. Für diesen
       Wechsel der "Hand-off" genannt wird ist die Signalstärke des Client entscheidend (RSSI 
       threshold). Dieser Wert erhält der Client vom zuständigen Access Point. Um zu verhindern
       das ein Zugriff auf den Client (durch Access Point) verhindert wird, werden wiederholende 
       Anfragen zum Access Point - durch den WiFi Client, auf dem Access Point auf dem der WiFi
       Client momentan verbunden ist- akzeptiert. Diese Funktion nennt man "soft-limit".
       
       Datei:Fortinet-340.jpg

Folgendes Kommando kann benutzt werden um das "hand-off" auf dem entsprechenden Profil ein- oder auszuschalten sowie den "threshold" zu setzen:

       # config wireless-controller wtp-profile
       # edit [Name des zu editieren Profil]
       # set handoff-sta-thresh [Client thresold]
       # config radio-1
       # set ap-handoff {disable | enable}
       # end
       # config radio-2
       # set ap-handoff {disable | enable}
       # end
       # end
       
       NOTE "handoff-sta-thresh" bedeutet der Durchschnitt (verbundene Clients) der erreicht werden soll auf einem Access Point
             bevor diese angewiesen werden sich auf dem nächsten Access Point zu verbinden!

Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-sta-thresh" zu konfigurieren muss die CLI benutzt werden!

Was bedeutet "Client Load Balancing Frequency Hand-off" und wie konfiguriere ich diesen?

Diese Funktion wird benutzt im Zusammenhang mit dem "WiFi Load Balancing". Die Funktionsweise des "Access Point Frequenzy Hand-off" (ab FortiOS 5) ist die folgende:

       Der Wireless Controller überprüft in gewissen Abständen die WiFi Client betreffend Ihrer
       Band-Fähigkeit (Frequenzen)! Ebenfalls wird durch den Wireless Controller betreffend dem
       WiFi Client die RSSI (Signal Stärke) überwacht und das auf den möglichen Frequenzen. Wenn
       ein neuer WiFi Client sich verbinden will, überprüft der Wireless Controller die MAC 
       Adresse des Client und schaut gleichzeitig in den "Tabellen" nach in denen die Informationen
       abgelegt sind betreffend Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann
       der Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht:
       
       Datei:Fortinet-341.jpg
       
       Wenn der WiFi Client über KEIN dual-band verfügt:
       
                    --> Wird erlaubt sich mit dem Access Point (2.4 GHz) zu verbinden
       
       Wenn der WiFi Client über dual-band verfügt mit "guter" Signal Stärke:
       
                    --> Antwortet der Wireless Controller nicht auf die Anfrage betreffend 2.4 GHz
                        sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den Access Point
                        zu verbinden. Um zu verhindern das ein Zugriff auf den Client verhindert wird, 
                        werden wiederholende Anfragen zum Access Point - durch den WiFi Client, auf 
                        dem Access Point auf dem sich der WiFi Client verbinden will - akzeptiert.
                        
                        NOTE Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients
                             unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden wird automatisch 
                             5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein 
                             Beispiel für so einen Device ist das IPad.

Folgende Kommandos können unter der CLI im entsprechenden Profil benutzt werden um das "frequency-off" zu konfigurieren sowie den "threshold":

       # config wireless-controller wtp-profile
       # edit [Name des zu editieren Profil]
       # set handoff-rssi [RSSI (Signalstärke) threshold]
       # config radio-1
       # set ap-handoff {disable | enable}
       # end
       # config radio-2
       # set ap-handoff {disable | enable}
       # end
       # end
       
       NOTE "handoff-rssi" bedeutet die Durchschnittliche Signalstärke die erreicht werden muss durch einen Client
             bevor der Client auf den 5 GHz Bereich verschoben wird!

Die Konfiguration kann ebenfalls im WebGui durchgeführt werden jedoch kann die Funktion nur aktiviert oder deaktiviert werden. Um die "handoff-rssi " zu konfigurieren muss die CLI benutzt werden!

Was bedeutet "TX Power" und wie konfiguriere ich diese Funktion?

Bei "TX Power" handelt es sich um die Stärke des Signals für ein Access Point! Nun diese Stärke ist/war unter FortiOS 4.3.x manuell einstellbar. Benützt wird diese Funktion wenn zwei Access Points zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern konnte manuell der "TX Power" herabgesetzt werden. Neu unter FortiOS 5 wurde dieser Vorgang -sofern gewünscht- automatisiert. Dies bedeutet

       --> Ist das Signal grösser als 70dBm wird der TX Power auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
       --> Ist das Signal kleiner als 70dBM wird der TX Power auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
       NOTE Die Informationen über die Signalstärke wird durch die Informationen verifiziert die die User durch Ihren Traffic auf den Access Points produzieren. 
            Bei "channel overlapping" kann diese Art der "TX Power" Anpassung solch ein "channel overlapping" verhindern!
            
            FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F

Dieser Konfigurationspunkt kann im entsprechenden Access Point Profil konfiguriert werden (WiFi Controller > Managed Access Points > Custom AP Profile")!

Was ist DFS (Dynamic Frequency Selection) Support und um was handelt es sich dabei?

Dynamic Frequency Selection (DFS) ist ein Mechanismus, der von der europäischen Regulierungsbehörde ETSI für den Betrieb von WLAN-Geräten im 5-GHz-Frequenzbereich eingeführt wurde. Im 2003 eingeführten 802.11h-Standard ist diese Funktion implementiert worden, so dass nun auch in der Schweiz der Betrieb von 5-GHz-WLAN-Geräten möglich ist. Mit DFS kann ein WLAN einen automatischen Kanalwechsel durchführen, falls auf dem verwendeten Kanal ein anderes Gerät erkannt wurde. Hierdurch soll insbesondere vermieden werden, dass die in diesem Frequenzbereich arbeitenden Wetterradarsysteme durch WLANs gestört werden. Um andere Systeme zu erkennen, muss der Kanal periodisch abgehört werden. Sobald ein fremder Sender erkannt wurde, muss unverzüglich ein Wechsel des Kanals initiiert werden. Die Auswahl des neuen Kanals erfolgt dabei zufällig und wird in der Regel vom Access Point durchgeführt und anschließend den anderen Netzwerkteilnehmern mitgeteilt. Diese Funktion DFS im 5 GHz Bereich wird ab FortiOS 5.0.4 unterstützt und zwar auf den folgenden FortiAP:

       FAP-221B/C
       Fortinet-843.jpg
       
       Datei:DFS Europe.pdf

Grundsätzlich gilt:

       Das 5GHz Spektrum ist in verschiedene Bänder eingeteilt:
       
       UNI1 : 4 Kanäle 
       UNI2 : 4 Kanäle 
       UNI2e: 7 Kanäle 
       UNI3 : 4 Kanäle 
       Für die Schweiz gilt:
       
       Indoor:  Für die Schweiz gilt UNI1 und UNI2 sprich Unteres 5 GHz Frequenzband (5.15 - 5.35 GHz)
                Channels: 36 40 44 48 52* 56* 60* 64*
                
                * Nur mit DFS Support!
       
       Outdoor: Für die Schweiz gilt UNI2e sprich Oberes 5 GHz Frequenzband (5.47 - 5.725 GHz) 
                Channels: 100* 104* 108* 112* 116* 120* 124* 128* 132* 136* 140*
                
                * Nur mit DFS Support! 
       NOTE Die Channel's "52 56 60 64" dürfen in der Schweiz nur aktiviert werden wenn das Gerät
            DFS unterstützt und nur im Indoor Bereich! Ebenso dürfen die Channels "100 - 140" nur dann
            aktiviert werden wenn der Access Point im Ausenbereich eingesetzt wird. DFS ist zwingend 
            für UNI2 und UNI2e!

Weitere technische Informationen zum DFS findet man unter folgenden Link:

       http://de.wikipedia.org/wiki/Dynamic_Frequency_Selection
       http://en.wikipedia.org/wiki/List_of_WLAN_channels
       
       http://www.bakom.admin.ch/themen/geraete/00568/01232/index.html?lang=de

Um was handelt es sich beim "802.11g Protection Mode" und wie aktiviere ich diesen?

Beim "802.11g Protection Mode" handelt es sich um die im IEEE Standard beschriebene "RTS/CTS" (Request-to-send/Clear-to-send) Funktion innerhalb eines Wireless Netzwerks! Bei RTS/CTS handelt es sich um ein Verfahren das Kollisionen im Wireless Netzwerk verringern kann/soll. Bei Wirless Netzerken hilft es auch das Problem des unsichtbaren Hosts zu lösen. Das ist der Fall wenn zwei Stationen einen Access Point nutzen, sich aber gegenseitig nicht hören können. Ebenfalls ist in der IEEE Spezifikation beschrieben, dass wenn ein 802.11g Gerät ein langsameres 802.11b Gerät erkennt, dieses 802.11g , bevor es das aktuelle Paket sendet. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Wireless Netzwerken, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden. Weitere Informationen zu "RTS/CTS" findet man unter folgenden Link:

       http://de.wikipedia.org/wiki/Carrier_Sense_Multiple_Access/Collision_Avoidance#RTS.2FCTS_Koordination

Ab FortiGate 5.0.6 sowie FortiAP 5.0.7 kann dieser "802.11g Protection Mode" manipuliert werden dh. dieser kann auf CTS only gesetzt werden oder RTS/CTS. Per Standard steht der Wert auf "disable":

       # config wireless-controller wtp-profile
       # edit [Name des Profiles]
       # config [Wähle den entsprechenden Radio im 5 GHz Bereich zB "radio-1"]
       # set protection-mode [ctsonly | disable | rtscts]
       # end
       # end
       # end
       
       NOTE Durch die Deaktivierung "disable" des Protection Mode kann nicht erreicht werden, dass
            sich 802.11a und/oder 802.11b Clienst verbinden können resp. ausgeschlossen werden!
       

Aus diesen Informtionen stellt sich die Frage "wann" dieser Mode eingeschaltet werden soll und wenn nicht. Die Antwort ist nicht generell zu beantworten jedoch kann man Grundsätzlich von Folgendem ausgehen:

       --> Wenn der Access Point sowie die Clients ausschliesslich 802.11g und/oder 802.11n benutzen kann der
           Protect Mode ausgeschaltet werden um die Performance zu erhöhen da der Overhead von RTS/CTS wegfällt.
           
       --> Wenn der Access Point sowie die Clients zu 802.11g und/oder 802.11n ebenfalls 802.11b benutzen sollte
           der Protect Mode RTS/CTS oder CTS aktiviert werden um eine Rückwärtskompatibilität gegenüber 802.11b
           zu gewährleisten und diese "vor" 802.11g und/oder 802.11n Uebermittlungen zu schützen.

Kurzgesagt gilt:

       protection-mode disabled             = Hoher Durchsatz für 802.11g und/oder 802.11n da der Overhead von RTS/CTS wegfällt
       protection-mode ctsonly oder rtscts  = Tiefer Durchsatz für 802.11g und/oder 802.11n da Overhead jedoch guter Durchsatz für 802.11a und/oder 802.11b

Channels

Welche Radio Channels existieren in den vers. Ländern?

Folgende Tabellen geben Aufschluss welche "Radio Channel" in den verschiedenen Ländern existieren:

       Datei:Fortinet-304.jpg
       
       NOTE Zu Berücksichtigen ist der DFS (Dynamic Frequency Selection) Support! Weitere Informationen
            siehe Artikel:
            
            FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
       Datei:Fortinet-305.jpg
       Datei:Fortinet-306.jpg

Was bedeutet "overlapping wifi channels"?

Wireless-Verbindungen funktionieren auf Frequenzbändern auch Kanäle genannt. Einer der Gründe, dass eine WiFi Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird und somit die Verbindung beeinträchtigt wird. Somit sollte man dieses "overlapping" möglichst verhindern. Nachfolgend eine Abbildung des "overlapping":

       Datei:Fortinet-330.jpg
       
       NOTE Um ein "overlapping" zu verhindern wähle möglichst Kanäle die mind 4 Kanäle auseinanderliegen sprich zB.
            1 und 6 und/oder 6 und 11.

Um herauszufinden welchen Kanal in der Umgebung verwendet wird, kann der Monitor auf dem FortiGate WiFi Controller benutzt werden. Dies bedeutet: man setzt einen "Radio" auf einem Access Point in den "Monitor" Modus (Dedicated Monitoring) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Alle Kanäle anzuwählen und "Radio Provisioning" zu aktivieren ist nicht empfohlen!

Wie kann ich herausfinden welche Channels ich benutzen soll auf meinen FAP's um overlapping zu verhindern?

Wenn FortiAccessPoints eigerichtet werden müssen die Channels (speziell im 2.4 GHz Bereich) definiert werden. Dazu stehen in der Schweiz (set country CH) 13 Channels zur Verfügung. Alle Kanäle zu selektieren sowie DARRP wäre die falsche Vorgehensweise da es so gezwungenermassen zu einem "ovelrapping wifi channels" kommt. Weitere Informationen zu den Länderspezifischen Channels sowie DARRP siehe folgende Artikel:

       FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F
       FortiAP:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22.3F
       FortiAP:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F

Eine Variante ist die Channels über die "Dedicated Monitoring" zu erkennen und zu analysieren. Eine weitere wäre die Umgebung mit einem Tool zu analysieren wie zB SSIDer. Weitere Informationen zu Tools wie SSIDer siehe folgender Artikel:

       FortiAP:FAQ#Wie_kann_vorgegangen_werden_wenn_Performance_Problem_auf_den_FortiAP_auftreten.3F

Auf der Kommandozeile gibt es noch eine weitere Variante die einem Weiterhilft dh. wenn das nachfolgende Kommando ausgeführt ist werden "pro" FortiAccessPoint die zur Verfügung stehenden Kanälen zB im 2.4 GHz aufgelistet und die "overlapping channels" unter der Spalte "overlap-ap" augezeigt. Ebenfalls werden die dazugehörigen Informationen wie "rssi-total" für diese Channels aufgeführt. Aus diesen Informationen können dann die freien Channels ausgewählt werden im Profile:

       NOTE Die empfohlene Vorgehensweise um die Channels zu wählen ist immer zwischen den verschiedenen Channels
            mind 4 freizulassen sofern möglich also im nachfolgenden Beispiel zB 2/7/12:
       # get wireless-controller rf-analysis
       WTP: FAP14C3X13000543  0-193.193.135.70:5246
            channel    rssi-total   rf-score     overlap-ap   interfere-ap
                 1      90           7            6            11
                 2      45           10           0            11
                 3      127          4            2            11
                 4      33           10           0            11
                 5      38           10           3            16
                 6      19           10           0            10
                 7      23           10           0            10
                 8      45           10           0            8
                 9      192          1            5            16
                10      57           9            0            13
                11      46           10           0            13
                12      63           9            0            13
                13      231          1            8            13
                14      53           10           0            8
       
       WTP: FAP22B3U11011877  0-192.168.3.3:5246
            channel    rssi-total   rf-score     overlap-ap   interfere-ap
                 1      153          2            6            12
                 2      91           7            0            12
                 3      270          1            3            12
                 4      76           8            0            12
                 5      76           8            3            17
                 6      33           10           0            11
                 7      33           10           0            11
                 8      50           10           0            8
                 9      214          1            5            16
                10      68           8            0            13
                11      62           9            0            13
                12      89           7            0            13
                13      329          1            8            13
                14      79           7            0            8
                40      216          1            9            9
                44      30           10           4            4
                48      70           8            2            2
       
       Controller: FGT60D4613048017-0
            channel    rssi_total
                 1      243
                 2      136
                 3      397
                 4      109
                 5      114
                 6      52
                 7      56
                 8      95
                 9      406
                10      125
                11      108
                12      152
                13      560
                14      132
                40      216
                44      30
                48      70

Es kann auch anhand der wtp-id nur ein spezifischer FAP aufgelistet werden:

       # get wireless-controller rf-analysis FAP22B3U11011877
       
       WTP: FAP22B3U11011877  0-192.168.3.3:5246
            channel    rssi-total   rf-score     overlap-ap   interfere-ap
                 1      153          2            6            12
                 2      91           7            0            12
                 3      270          1            3            12
                 4      76           8            0            12
                 5      76           8            3            17
                 6      33           10           0            11
                 7      33           10           0            11
                 8      50           10           0            8
                 9      214          1            5            16
                10      68           8            0            13
                11      62           9            0            13
                12      89           7            0            13
                13      329          1            8            13
                14      79           7            0            8
                40      216          1            9            9
                44      30           10           4            4
                48      70           8            2            2

Desweiteren kann mit folgenden Befehl alle Access Points augelistet werden die durch den Scan erkannt werden:

       # get wireless-controller scan
       CMWF VF  SSID                BSSID              CHAN RATE SIGNAL NOISE  INT CAPS ACT LIVE  AGE WIRED
                                                                (dBm)  (dBm)
       UNNN 0                       00:09:0f:95:30:f0    8   11M  -91    -95   100 ESs   N  336613 52253   ?    WME VEN VEN ATH
       UNNN 0                       12:09:0f:95:30:f0    8   11M  -92    -95   100 ESs   N  336639 52253   ?    WME VEN VEN ATH
       UNNN 0                       22:09:0f:95:30:f0    8   11M  -92    -95   100 ESs   N  336639 52253   ?    WME VEN VEN ATH
       UNNN 0                       32:09:0f:95:30:f0    8   11M  -91    -95   100 ESs   N  336763 52252   ?    WME VEN VEN ATH
       UNNN 0                       42:09:0f:95:30:f0    8   11M  -90    -95   100 ESs   N  336618 52253   ?    WME VEN VEN ATH
       UNNN 0   4ourguests          58:97:1e:b3:4c:70    9  216M  -45    -95   102 ESs   Y  343847  203    ?    WME VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:71    9  216M  -57    -95   102 ESs   N  343847 1146    ?    WME VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:72    9   54M  -57    -95   102 EPSs  N  343847 1144    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:74    9   54M  -42    -95   102 EPSs  Y  343847  548    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:75    9   54M  -59    -95   102 EPSs  Y  343847  544    ?    RSN VEN VEN VEN VEN
       UNNN 0   only4also           58:97:1e:b3:4c:76    9  216M  -44    -95   102 EPSs  Y  343847  203    ?    RSN WPA WME VEN VEN VEN
       UNNN 0   only4also           58:97:1e:b3:4c:79   48  450M  -60    -95   102 EP    Y  343830  811    ?    RSN WPA WME VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7a   48   54M  -60    -95   102 EP    N  342030 9211    ?    RSN VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7b   48   54M  -60    -95   102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7d   48   54M  -59    -95   102 EP    N  343830 1411    ?    RSN WPA VEN VEN VEN VEN
       UNNN 0                       58:97:1e:b3:4c:7e   48  450M  -59    -95   102 E     Y  340230  811    ?    WME VEN VEN VEN VEN

Gibt es über das Gui eine Uebersicht ob mit irgendwelche fremden AP's ein Overlapping stattfindet (Interfering AP's)?

Wenn Access Points -speziell im 2.4 GHz Bereich- installiert werden muss darauf geachtet werden -bei der Bestimmung der "channels"- dass kein "overlapping" (Interferenzen) mit fremdnen Access Points stattfindet. Dies kann über Kommandozeile und/oder über den "Rogue AP Monitor" eruiert werden. Siehe auch nachfolgende Artikel für Details:

       FortiAP:FAQ#Wie_kann_ich_herausfinden_welche_Channels_ich_benutzen_soll_auf_meinen_FAP.27s_um_overlapping_zu_verhindern.3F_2

Um die Konfiguration nachträglich zu kontrollieren gibt es über folgende Position die Möglichkeit event. "overlapping's" resp. Interferenzen zu eruieren:

       WiFi Controller > Monitor > Wireless Health > Top Wireless Interferences (2.4 GHz Band oder 5 GHz Band)

Diese Widget zeigen auf ob der Controller durch die "Radio Resource Provisioning" Funktion event. "overlapping's" resp. Interferenze bestehen. Dies wird in den "Widget" unter der folgender Position aufgeführt:

       Fortinet-1090.jpg
       Fortinet-1091.jpg

Wenn solche aufgeführt werden kann die entsprechende Position angewählt werden um nähere Informationen zu erhalten:

       Fortinet-1092.jpg
       Wird ein entsprechende Position unter "Interfering AP's" angewählt sieht man die Details wie
       "MAC Adresse des fremden AP's, SSID, benutzter Channel und Signalstärke":
       
       Fortinet-1093.jpg
       
       NOTE Es ist -je nach Anzahl fremder AP's- nicht immer möglich "overlapping's" resp. Interferenzen im 2.4 GHz
            Bereich zu verhindern. Oft muss ein Kompromiss eingegangen werden. Sofern die Clients den 5 GHz Bereich
            unterstützen sollte der 2.4 GHz Bereich gemieden werden!

FortiPlanner

Gibt es ein Tool mit dem ich eine Wireless Umgebung betreffend Abdeckung planen kann?

Ja, das gibt es dh. der FortiPlanner ermöglicht es über diesen ein Grundriss plan einer Umgebung einzulesen und nachträglich die Dimensionen zu defineren/deklarieren sowie vers. Access Points abzubilden mit deren Abedeckung in dieser erstellten Umgebung. Der FortiPlanner kann über folgenden Link runtergeladen werden:

        http://www.fortinet.com/resource_center/product_downloads.html
        
        NOTE Die Grundversion ist frei zu Nutzen (bis 50 Access Points). Darüber muss eine "pro license" erworben werden (unlimited).
             Die "pro license" ermöglicht "dynamic heatmaps" resp. der FortiPlaner kann Informationen aus dem FortiGate Controller 
             auslesen. Diese Komunikation zwischen FortiPlaner und FortiGate basiert auf einem SSH Tunnel. Zusätzlich zu den "heatmaps"
             kann zB folgenders ausgelesen werden:
                                                      Momentane Clients auf den Access Points
                                                      Momentan benutzte Channels auf den Access Points
                                                      Momentaner TX Power 
                                                      Failed Devices
        
        Quick Start Guide Datei:FortiPlanner Quick Start Guide 4.0 MR3.pdf
        User Guide Guide  Datei:FortiPlanner User Guide 4.0 MR3.pdf

Site Survey

Gibt es eine Möglichkeit -ohne FortiGate- die Wireless Abdeckung anhand eines FortiAP's zu testen?

Ja diese Möglichkeit exisitert dh. es ist möglich einen FortiAP Vorort einzusetzen um die Abdeckung zu testen. Dabei kann -ohne eine FortiGate einzusetzen- ein FortiAP so konfiguriert werden, dass dieser eine SSID aussendet mit der die Abeckung Vorort getestet werden kann. Um dies auf einem FortiAP zu konfigurieren führe folgendes durch:

       NOTE Dieser Vorgang kann mit jedem FortiAP durchgeführt werden!
       1. Verbinde den FortiAP mit einer Workstation über die Ethernet Interface's; Konfiguriere auf der Ethernet Schnittstelle der Workstation
          folgende IP:
          
          192.168.1.1/24 (Kein Gateway, Kein DNS)
          
       2. Starte den FortiAP; Da dieser keinen DHCP Server findet wird statisch auf dessen Ethernet Interface folgende IP konfiguriert:
          
          192.168.1.2/24
       
       3. Verbinde dich per Telnet auf die FortiAP anhand der IP Adresse:
          
          telnet 192.168.1.2
       
       4. Aktiviere den entsprechenden Mode auf dem AP anhand folgenden Befehls:
          
          # cfg –a AP_MODE=2
          # cfg -c
          
          NOTE AP_MODE=2 bedeutet 2(Site Survey). Per Standard ist konfiguriert 0(Thin AP)! Weitere Informationen
               findet man ebenfalls unter folgenden Artikel:
               
               FortiAP:FAQ#Welche_Kommandos_k.C3.B6nnen_auf_einem_FortiAP_.C3.BCber_die_CLI_eingegeben_werden.3F                     
       
       5. Sobald die Konfiguration AP_MODE durchgeführt wurde wird ein Neustart des FortiAP durchgeführt!
       
       6. Nachdem Neustart sendet der AP eine SSID aus mit dem Namen "FAP_SURVEY"! Anhand dieser kann nun die Abedeckung überprüft werden!
       
       7. Soll die SSID oder andere Werte für die SSID im Survey Mode angepasst werden stehen folgende Einstellungen zur Verfügung:
          
          • SURVEY_SSID='FAP_SURVEY'         --> Diese Option vergibt den Namen für die SSID im Survey Mode.
          • SURVEY_TX_POWER=30               --> Diese Option setzt den TX Power. Per Standard gilt 30dBm (Maximum). Fuer einige FortiAP's gilt ein Maximum von 17dBm.
          • SURVEY_CH_24=6                   --> Diese Option setzt den TX Channel auf dem 2.4 GHz Band. Per Standard gilt Channel 6.
          • SURVEY_CH_50=36                  --> Diese Option setzt den TX Channel auf dem 5 GHz Band. Per Standard gilt Channel 36.
          • SURVEY_BEACON_INTV               --> Diese Option setzt den Beacon Interval. Per Standard gilt 100ms.
          
          NOTE Gesetzt werden die Werte folgendermassen:
               
               # cfg -a [Entsprechende Option mit deren Wert]
               # cfg -c
               
               Soll der FortiAP wieder auf Factory Default gesetzt werden führe aus:
               
               # cfg -x
          NOTE Betreffend Factory Reset siehe auch folgender Artikel:
               
               FortiAP:FAQ#Wie_kann_ich_die_Konfiguration_eines_Access_Point_manuell_auf_Factory_Defaults_setzen.3F

802.11

Wo finde ich weitere Informationen über "IEEE 802.11" Standard?

Folgender Link gibt Auskunft über Standard und enthält weitere nützliche Links:

       http://en.wikipedia.org/wiki/802.11

Wann kommt der 802.11ac Standard und um was handelt es sich dabei?

Fortinet hat ein Dokument veröffentlich indem der neue 802.11ac Standard beschrieben ist wie zB:

       Do I need to buy new APs to support 802.11ac?
       Yes. 802.11ac will require a new physical radio design, which means that new hardware will be required.
       It will not be physically possible to upgrade existing 802.11n radios to support the new 802.11ac standard.
       Datei:802.11ac Wireless LAN FAQ - July 2013.pdf
       Datei:802.11ac Wireless LAN FAQ - Januar 2014.pdf
       Datei:802.11ac Wireless LAN FAQ - Februar 2014.pdf
       
       NOTE Im Dokument FAQ vom Februar 2014 kommuniziert Fortinet, dass für die neuesn "C" Modelle
            für FortiOS 5.0.6 sowie FortiManager 5.0.6 ein "special build" zur Verfügung gestellt wird!
            
            Dieser neue "Special Support Build" wurde nun unter folgenden Link für FGT/FWF zur Verfügung gestellt:
            
            ftp://support.fortinet.com/FortiGate/v5.00/Feature_Support/fg_5-0_wifi_11ac/
            
            NOTE Dieser Link ist nur zugänglich wenn vorgängig in den entsprechenden Support
                 Account eingeloggt wird!
            
            Nur mit diesem "Special Support Build" werden FAP-320C und/oder FAP-221C unterstützt!
            
            NOTE Der Upgrade Path dieses "Feature_Support" ist gemäss "offiziellen" Upgrade Path dh.
                 ausgehend davon folgendes Beispiel:
                 
                 - Installierte Version 5.0.x
                 - Upgrade gemäss Upgrade Path auf 5.0.6 (Datei:FortiOS-Upgradepath.pdf)
                 - Einspielen des "Feature_Support" Build
                 
                 Der "special" Build der von Fortinet betreffend OpenSSL Vulnerability "heartbleed"
                 herausgegeben wurde (28CVE-2014-0160) darf nicht angewandt werden. Fortinet wird für
                 den "Feature_Support" eine neue Version zur Verfügung stellen der dem (28CVE-2014-0160)
                 Rechnung trägt. Am 22. April 2014 hat Fortinet den "special" Build der den OpenSSL
                 Vulnerability "heartbleed" Rechnung trägt release unter 5.0.7 Build 4457.

Was ist mit 802.11AC MU-MiMo gemeint?

Unter "802.11AC MU-MiMo" (MI steht somit für zwei oder mehrere Sendeantennen und MO für zwei oder mehrere Empfangsantennen) versteht man eine Technik zur Verbesserung des Datendurchsatzes. 802.11AC MU-MiMo nennt sich "Multi-User-Multiple-In-Multiple-Out". Dahinter verbirgt sich im Prinzip ein cleveres Antennen-Management. So kann der Router seine Antennen gezielt aufteilen, wenn er mehrere Gegenstellen zu bedienen hat und damit jedem Konterpart eine besonders stabile und starke Verbindung garantieren:

       Datei:Fortinet-326.jpg               oder               Datei:Fortinet-331.jpg

Um die vers. Streams zu steuern wird der sogenannte MCS Index benutzt. Dieser steuert für diese Streams die Modulation sowie die Codierung. Je nach eingesetzten MCS Index ergiebt sich daraus wiederum die max. mögliche Durchsatzrate. Nachfolgende Tabelle gibt Auskunft über die möglichken Modulationen sowie Codierungen (ergiebt MCS Index) und deren max. möglichen Durchsatzraten:

       Datei:Fortinet-718.jpg

Wenn diese Technology für "802.11AC MU-MiMo" - die auch für den FAP-320B/C - benutzt wird eingesetzt werden soll so muss ebenfalls die Client Seite berücksichtigt werden! Dies bedeutet der Client selber - sei es zB Workstation und/oder Server etc - müssen diese Technology durch den implementierten Chip sowie Treiber unterstützten. Wenn ein Client (zB IPad) "HT20" unterstützt so ist das 1x1:1 resp. ein Stream max 65 Mbps. Diesem Umstand ist Rechnung zu tragen wenn diese Technology eingesetzt werden möchte.


CLI

Welche Kommandos können auf einem FortiAP über die CLI eingegeben werden?

Unter FortiOS 5.0.5 stehen folgende Kommandos zur Verfügung:

       Datei:Fortinet-342.jpg
       Datei:Fortinet-343.jpg
       Datei:Fortinet-344.jpg
       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOGIN_PASSWD
           ADMIN_TIMEOUT
               Telnet and GUI session admin timeout in minutes
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
           AP_MGMT_VLAN_ID
           TELNET_ALLOW
           HTTP_ALLOW
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV

Neu können unter FortiOS 5.x auch Linux basierende Kommandos benützt werden. Weitere Informationen dazu sehe Artikel:

       FortiAP:FAQ#Welche_Befehle_k.C3.B6nnen_auf_einem_FortiAP_OS_ben.C3.BCtzt_werden.3F

Divers

Wie kann ich auf eine einfache Art bei Performance Problemen Messungen durchführen?

Um in einem Netzwerk sei es WiFi oder Ethernet ist es ratsam eine kleine Client -> Server Lösung zu benützen die Messungen im TCP sowie im UDP Bereich durchführt. Ein kleines unkompliziertes Tool wäre NetIO:

       http://www.ars.de/ars/ars.nsf/docs/netio

Das Tool funktioniert auf Client to Server Basis dh. auf dem Server wird mit -s der Server gestartet und auf dem Client mit dem entsprecheneden Befehl (-t hostname/IP) der Client. Der Client setzt in vers. Packetgrössen (können auch definiert werden mit -b) Anfragen ab die danach ausgewertet werden. Ein Scenario wäre zB:

       Windows Client --> Windows Server
       
       Windows Server:
       Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
       Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
       
       C:\netio131>win32-i386.exe -s
       
       Der NetIO Server wird gestartet und läuft per Standard auf Port 18767. Ist dieser Port bereits belegt kann mit Option -p ein anderer Port definiert werden.
       
       Windows Client:
       Entpacke das .zip File und öffne eine Dos Box (cmd.exe). Danach wechsle ins Verzeichnis indem das .zip Fiel entpackt wurde.
       Gebe im Verzeichnis \bin über die Dos Box folgenden Befehl ein (startet den Server):
       
       C:\netio131>win32-i386.exe -t [Hostname oder IP des Windows Server]
       
       Die Option -t bedeutet TCP dh. möchte man UDP Anfragen absetzen dann benutze die Option -u. Die Packetgrösse kann ebenfalls 
       angegeben werden mit -b. Weitere Optionen sind:
       
       Usage: netio [options] [<server>]
       
         -s            run server side of benchmark (o
         -b <size>[k]  use this block size (otherwise
         -B -K -M -G   force number formatting to Byte
       
         -t            use TCP protocol for benchmark
         -u            use UDP protocol for benchmark
         -h <addr>     bind TCP and UDP servers to thi
                       (default is to bind to all loca
         -p <port>     bind TCP and UDP servers to thi
       
         <server>      If the client side of the bench
                       a server name or address is req
       
       The server side can run either TCP (-t) or UDP
       (default, if neither -t or -u is specified). Th
       these protocols only (must specify -t or -u).
       Windows Client --> Linux Server
       
       Die Anwendung für ein Linux Server ist dieselbe wie beim Windows Server nur nimmt man ein anderes Binary dh. zB "linux-i386".
       Die Optionen und die Schalter sind dieselben. Bei der Installation des .zip Files ist zu beachten, dass auf das auszuführende
       File dh. "linux-i386" der chmod 777 gesetzt wird ansonsten wird das Binary nicht ausgeführt. Ein Beispiel Output eines Tests
       zwischen einem Linux Server und einem Windows Client sieht folgendermassen aus:
       
       #./linux-i386 -s
       
       NETIO - Network Throughput Benchmark, Version 1.30
       (C) 1997-2008 Kai Uwe Rommel
       
       UDP server listening.
       TCP server listening.
       TCP connection established ... 
       Receiving from client, packet size  1k ...  1364.51 KByte/s
       Sending to client, packet size  1k ...  803.63 KByte/s
       Receiving from client, packet size  2k ...  1473.31 KByte/s
       Sending to client, packet size  2k ...  645.55 KByte/s
       Receiving from client, packet size  4k ...  1452.13 KByte/s
       Sending to client, packet size  4k ...  640.69 KByte/s
       Receiving from client, packet size  8k ...  1120.63 KByte/s
       Sending to client, packet size  8k ...  716.57 KByte/s
       Receiving from client, packet size 16k ...  1506.04 KByte/s
       Sending to client, packet size 16k ...  658.24 KByte/s
       Receiving from client, packet size 32k ...  1433.88 KByte/s
       Sending to client, packet size 32k ...  855.72 KByte/s
       Done.
       TCP server listening.
       
       C:\netio131>win32-i386.exe -t [Linux Server / IP]
       
       NETIO - Network Throughput Benchmark, Version 1.31
       (C) 1997-2010 Kai Uwe Rommel
       
       TCP connection established.
       Packet size  1k bytes:  1381.22 KByte/s Tx,  780.68 KByte/s Rx.
       Packet size  2k bytes:  1486.13 KByte/s Tx,  567.92 KByte/s Rx.
       Packet size  4k bytes:  1466.74 KByte/s Tx,  612.15 KByte/s Rx.
       Packet size  8k bytes:  1129.70 KByte/s Tx,  702.39 KByte/s Rx.
       Packet size 16k bytes:  1541.18 KByte/s Tx,  617.14 KByte/s Rx.
       Packet size 32k bytes:  1472.19 KByte/s Tx,  796.44 KByte/s Rx.
       Done.