FortiAP-Legacy:FAQ
FortiAP-Legacy:FAQ
Vorwort
Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x. Die hier zur Verfügung gestellten Informationen und Konfiguratinen betreffen nicht die FortiAP-S mit UTM Features. Wenn FortiAP-S ohne UTM Features betrieben werden können diese über einen FortGate Wireless Controller verwaltet werden!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:
http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)
Cookbook Supplementary Recipes FortiOS: Datei:Extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf (Extending the range of a wireless network by using mesh topology) Datei:Configuration of meshed WiFi network.pdf (Configuration of meshed WiFi network) Datei:Using-a-fortiap-in-bridge-mode-to-add-wireless-access.pdf (Using a FortAP in Bridge mode to add wireless access) Datei:Using-a-fortiap-in-tunnel-mode-to-add-wireless-access.pdf (Using a FortAP in Tunnel mode to add wireless access) Datei:Using-MAC-access-control-to-allow-access-to-the-wireless-network.pdf (Using MAC access control to allow access to the wireless network)
Datei:Secure WLAN Sales Presentation R1.pptx (The Fortinet Secure WLAN Presentation) Datei:Secure WLAN Sales Presentation R2.pptx (The Fortinet Secure WLAN Presentation) Datei:Secure WLAN Sales Presentation R3.pptx (The Fortinet Secure WLAN Presentation)
Datei:FortiAP Quick Sales Guide 2014.pdf (The Fortinet FortiAP Quick Sales Guide) Datei:Fortinet-Secure-Wireless-LAN-Solutions-Guide.pdf (The Fortinet Secure Wireless LAN Solutions Guide 2015)
Datei:FortiAP Technical FAQ - January 2014.pdf (Fortinet FortiAP Technical FAQ) Datei:Fortinet Secure WLAN FAQ.pdf (Fortniet Secure Wireless LAN (WLAN) Solution) Datei:Securing Wireless Networks for PCI.pdf (Fortinet Securing Wireless Networks for PCI Compliance) Datei:FortiAP 5-2-Update-Q1-2015.pptx (Fortinet FortiAP 5.2 WLAN Update Q1 2015) Datei:Wlc-ivo.pptx (Fortinet Secure Access Solution)
FortiOS 5.0
Datei:Fortigate-wireless-50.pdf (FortiOS 5.0 Handbook - Deploying Wireless Networks) Datei:FortiAP CLI 50.pdf (FortiOS 5.0 FortiAP Command Line Interface) Datei:Wirless-technical-training-FOS-5.0-update-v2.pptx (FortiOS 5.0 "Wireless Technical Training")
FortiOS 5.2
Datei:Fortigate-wireless-52.pdf (FortiOS 5.2 Handbook - Deploying Wireless Networks) Datei:FortiAP CLI 52.pdf (FortiOS 5.2 FortiAP Command Line Interface)
FortiOS 5.4
Datei:Fortigate-Wireless-54.pdf (FortiOS 5.4 Handbook - Deploying Wireless Networks) FortiAP-Upgradepath auf 5.4.x (FortiAP 5.4 Supported Upgrade Path)
FortiOS 5.6
- Datei:FortiAP-ReleaseNote-5.6.0.pdf
- Datei:FortiAP-ReleaseNote-5.6.1.pdf
- Datei:FortiAP-ReleaseNote-5.6.3.pdf
- Datei:FortiAP-ReleaseNote-5.6.4.pdf
- Datei:FortiAP-ReleaseNote-5.6.5.pdf
FortiOS 6.0
FortiAP Release Notes
- Datei:FortiAP-ReleaseNote-6.0.0.pdf
- Datei:FortiAP-ReleaseNote-6.0.1.pdf
- Datei:FortiAP-ReleaseNote-6.0.2.pdf
- Datei:FortiAP-ReleaseNote-6.0.2.pdf
- Datei:FortiAP-ReleaseNote-6.0.3.pdf
FortiAP-S und FortiAP-W Release Notes
FortiOS 6.2
FortiAP-S
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP-S Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP-S:
http://docs.fortinet.com/fortiap/admin-guides
FortiOS 5.4 Datei:Fortiap-s-release-notes-540.pdf Datei:Fortiap-s-release-notes-541.pdf Datei:Fortiap-s-release-notes-542.pdf Datei:Fortiap-s-release-notes-543.pdf Datei:Fortiap-s-release-notes-544.pdf FortiOS 5.6 Datei:Fortiap-s-release-notes-560.pdf Datei:Fortiap-s-release-notes-5.6.1.pdf
FortiOS 6.0 Datei:FortiAP-S-ReleaseNotes-6.0.1.pdf Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.2.pdf
Datei:FortiAP-S-Series-Deployment-Guide.pdf Datei:FortiCloud FAQ.pdf Datei:FortiOS-FortiAPS-IPS-AV-compatibility.pdf
Hardware
Was ist unter einem "Fortinet Smart Access Point" (FortiAP-S) zu verstehen und um was handelt es sich dabei?
Fortinet verfügt heute über drei Produkt Linien (exkl. Meru) betreffend Forti Access Point dh.:
Light Forti Access Point Thick Forti Access Point Smart Forti Access Point NOTE Weitere Informationen zu den Light/Thick Forti Access Points siehe auch folgender Artikel: FortiAP:FAQ#Welche_FortiAP_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F
Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:
Smart Forti Access Point oder kurz auf FortiAP-S verfügen über UTM Features "auf" den Access Point's und können mit den UTM Features "nur" über "FortiCloud Wireless Controller" verwaltet werden! Dabei sind folgende Informationen zu beachten:
- Forti Smart Access Point's ohne UTM Features können über einen FortiGate Wirlesss Controller betrieben werden! - Forti Smart Access Point's mit UTM Features können "nur" über FortiCloud Wireless Controller betrieben werden (Ab FortiCloud v2.0.0). - Forti Smart Access Point's werden gekennzeichnet als FAP-S Serie.
FortiAP-S wurden im Q3 2015 released und werden im ersten Schritt über folgenden UTM Features verfügen:
IPS Web Content Filtering Antivirus (Flow Based) Access Control List (Allow/Block) Application Control Botnet Protection
In einer zweiten Phase (Datum umbekannt wahrscheinlich Q4) werden die UTM Features erweitert mit folgenden Funktionen (Vorbehalt):
Application Rate-Limiting DSCP Value Changing Network Address Translation (NAT) User Group Based Policies (Firewall)
Welche Hardware/Device existieren für FortiAP-S und wie unterscheiden sich diese?
Die FortiAP's die momentan verfügbar sind, sind Indoor Access Point's:
Diese werden in zwei Kategorien eingeteilt dh. 311C und 313C mit einem Radio sowie 321C und 323C mit zwei Radio:
Details zu den einzelnen Devices siehe folgender Artikel:
Fortinet:ProduktInfo#FortiAP-S
Wie wird der Wireless Controller in der FortiCloud für den FortiAP-S Device lizensiert?
Die Linzenz für den FortiAP-S Device für den Wireless Controller in der FortiCloud ist in der Device SKU enthalten. Es muss keine seperate Lizenz erworben werden:
"Hardware SKU includes FortiCloud AP Management License"
Power Adapter
Wo finde ich eine Uebersicht ob ein FortiAP-S mit PowerAdapter geliefert wird oder PoE unterstützt?
Die FortiAP-S werden ohne PowerAdapter geliefert und unterstützen PoE folgendermassen: FortiAP S-Serie Netzteile:
16502894H 2692514 GPI-115 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000 16505067H 2700323 GPI-130 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W
Weitere Informationen betreffend PoE Injector siehe nachfolgende Artikel:
Fortinet:ProduktInfo#FortiAP_Gigabit_PoE_Injector_130 Fortinet:ProduktInfo#FortiAP_Gigabit_PoE_Injector_115
FortiCare/FortiGuard
Wieso benötige ich für einen FortiAP-S ein FortiCare/FortiGuard?
Um die UTM Features auf einem FortiAP-S zu benutzen, muss eine FortiGuard Subscription (Bundle) zum FortiAP-S erworben werden! Es steht auch explizit nur FortiCare 8 X 5 oder 24 X 7 zur Verfügung. Wenn jedoch ein FortiAP-S nur mit FortiCare ausgestattet wird stehen die verschiedenen UTM Features nicht zur Verfügung resp. können nicht konfiguriert werden:
FortiCloud FortiAP Enterprise Management License for FAP-S series FC-10-90APS-170-02-12 1 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-24 2 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-36 3 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-48 4 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-60 5 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
Antenna
Kann man die FortiAP-S mit externen Antenna's nach-/ausrüsten?
Grunsätzlich ist dies möglich dh. das FortiAP-S Modell entscheidet über den verfügbaren Anschluss und ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datasheet eruiert werden:
Fortinet:ProduktInfo#FortiAP-S
Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:
Fortinet:ProduktInfo#FortiAntenna
Was ist zu beachten wenn ein FortiAP-S mit einer externen Antenne ausgerüstet wird?
Eine externe Antenne "verteilt" das Signal nur dh. es verstärkt dieses nicht! Die Antennen "verteilen" das Signal in Ihrer speziellen Art und Weise. Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:
http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de
Welchen Anschluss benützt eine FortiAP-S für den externen Antennen Anschluss?
Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:
Fortinet:ProduktInfo#FortiAP-S
Gibt es von Fortinet eine "omnidirect" externe Antenne?
"Omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antennas gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:
Fortinet:ProduktInfo#FortiAntenna
Grundsetup
Wie nehme ich ein FortiAP-S in Betrieb und konfiguriere ich diesen?
Der nachfolgende Artikel zeigt wie ein FortiAP-S in Betrieb genommen wird. Dazu wird ein neuer FortiCloud Account erstellt und ein Device darin aktiviert sowie eine Grundkonfiguration durchgeführt!
Wie Registriere ich den Device und aktiviere den entsprechende Contract für den Device?
Als erster Schritt sollte der FortiAP-S sowie wie alle anderen Devices von Fortinet korrekt im Support Account anhand seiner Serien Nummer registriert werden. Weitere Informationen wie dies durchgeführt wird siehe nachfolgender Artikel:
Fortinet:DeviceRegistrierung#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F
Dieser Schritt ist "wichtig" denn wenn der FortiAP-S aktiviert wird wie in "Schritt 5" beschrieben, geht der Status des FortiAP-S in FortiCloud nur dann auf "up", wenn die Registrierung des Devices korrekt durchgeführt wurde!
NOTE Wenn die Registration abgeschlossen ist muss der Status überprüft werden dh. ein FortiAP-S - sofern FortiGuard resp. UTM Features genutzt werden möchten - muss über die entsprechende Lizenz verfügen ansonsten stehen die UTM Features nicht zur Verfügung. Bei einer NFR (Not For Resale) Version wird zwar wie hier in der Abbildung FortiGare 8 X 5 mitgeliefert jedoch nicht FortiGuard resp. die UTM Features. Somit muss für diesen FortiAP-S wie hier im Beispiel gezeigt ein zusätzliche FortiGuard Lizenz hinzugefügt werden um die UMT Features nutzen zu können. in unserem Beispiel für den FAP-S323C wäre dies: FortiCloud FortiAP Enterprise Management License for FAP-S series FC-10-90APS-170-02-12 1 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-24 2 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-36 3 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-48 4 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare FC-10-90APS-170-02-60 5 Year FortiCloud AP Enterprise Management License including: FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare Diese Lizenz muss ebenfalls über den "Device Registrierungs Vorgang" zum Device resp. zur Serien Nummer anhand des Registration Codes, der in der Lieferung der Lizenz (2te Seite PDF) enthalten ist, hinzugfügt werden: Danach ergiebt sich folgende Situation die bestätigt, dass die UTM Features nun zur Verfügung stehen:
Wie kann ich mich in die FortiCloud einloggen oder wie kann ich einen FortiCloud Account erstellen?
Wie schon erwähnt sind FortiAP-S nicht über FortiGate Wirelesser Controller verwaltbar wenn UTM Features auf den FortiAP-S eingesetzt werden sondern werden über den Wireless Controller in der FortiCloud verwaltet. Damit ein FortiAP-S über FortiCloud verwaltet werden können, muss ein entsprechender Account erstellt werden.
Wie kann ich einen Account in der FortiCloud eröffnen?
In die FortiCloud kann mann sich über folgende Links verbinden:
https://login.forticloud.com/
Direkt auf die Cloud von Europa verbinden:
https://europe.forticloud.com/
Logging Maske der FortiCloud |
Aktivieren (Deploy) eines FortiAP-S im FortiCloud Account?
Nach dem erfolgreichen Login muss der entsprechende Device dh. FortiAP-S anhand des FortiCloud-Key registriert werden Dieser FortiCloud-Key befindet sich als Aufkleber auf dem FortiAP-S und sieht als Beispiel folgendermassen aus:
MNSOTMTX NOTE Wenn ein FortiAP-S resp. ein Forti Access Point über keinen FortiCloud Key verfügt kann dieser dennoch registriert werden. Weitere Informationen dazu siehe nachfolgenden Artikel: FortiAP-S:FAQ#Wie_f.C3.BCge_ich_einen_Forti_Access_Point_zur_FortiCloud_hinzu_ohne_FortiCloud_Key.3F
Damit ein FortiAP-S aktiviert resp. ein "deploy" durchgeführt werden kann muss der FortiAP-S in ein Netzwerk Segmment integriert werden dh. geetartet sein! Wenn ein FortiAP-S mit einem Netzwerk Segement verbunden ist und gestartet wurde, sucht sich der FortiAP-s in diesem Segment ein DHCP Server. Dies bedeutet: In diesem Segment sendet der FortiAP-S DHCP Anfragen aus. Werden diese beantwortet erhält der FortiAP-S ein IP. Wenn der FortiAP-S mit einer statischen IP versehen werden soll kann dies über Kommandozeile sowie die Console durchgeführt werden. Weitere Informationen siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Wie_kann_ich_einen_FortiAP-S_auf_CLI_betreffend_Netzwerk_manuell_.22statisch.22_konfigurieren.3F
Damit der FortiAP-S im entsprechenden Account erscheint muss dieser so konfiguriert werden damit der FortiAP-S weiss mit welchen Account er sich verbinden muss. Dies wird über das lokale Mgmt. Interface durchgeführt oder über die Console resp. der Kommandozeile. Dies bedeutet folgendes:
NOTE Diese Konfiguration ist eigentlich nur dann durchzuführen wenn kein "FortiCloud Key" für den entsprechenden FortiAP-S
resp. Forti Access Point zur Verfügung steht. Dennoch empfehlen wir diese Konfiguration durchzuführen dh. auf dem
lokalen Web Mgmt. Interface "explizit" FortiCloud Funktion zu aktivieren mit der Angaben des entsprechenden FortiCloud
Accounts!
Ueber Web Mgmt. Interface des FortiAP-S Verbinde dich auf die IP die der FortiAP-S über DHCP zugewiesen wurde per http oder auf die IP die statisch gesetzt wurde dh.: http://[FortiAP-S IP vom DHCP Server oder statische Konfiguration] Danach wähle im Web Mgmt Interface des FortiAP-S folgendes: AC Discovery Type: [FortiCloud] FortiCloud Account: [Username dh. Email Adresse des entsprechenden FortiCloud Accounts] FortiCloud Password: [Passwort des entsprechenden FortiCloud Accounts]
Ueber Console des FortiAP-S # cfg -a AC_DISCOVERY_TYPE=[Setze die Option FortiCloud dh. "7"] # cfg -a AC_DISCOVERY_FCLD_ID=[Username dh. Email Adresse des entsprechenden FortiCloud Accounts] # cfg -a AC_DISCOVERY_FCLD_PASSWD_ENC=[Passwort des entsprechenden FortiCloud Accounts] # cfg -c
Desweiteren ist zu berücksichten, dass der FortiAP-S für dessen Komunikation in den FortiCloud folgende Destinationen, Protokolle sowie Ports benützt:
Destination 208.91.113.187 (apctrl1.fortinet.com) Protokolle HTTPS (TCP 443), DNS (UDP 53) Destination 208.91.113.118 Protokoll/Port: CAPWAP (UDP 5247, UDP 5246) Destination 208.91.113.117 (apau.forticloud.com) Protokoll/Port: HTTPS (TCP 443) Destination update.fortiguard.net Protokoll/Port: HTTP (TCP 80)
Sobald dies durchgeführt wurde logge dich im FortiCloud Account ein. Nun muss "initial" ein "AP Network" erstellt werde in dem die FortiAP-S danach aktiviert resp. "deployed" werden. Dazu wähle nach dem Login in den FortiCloud Account die Position:
Wireless Network of FortiAP: ◾If you want to manage your FortiAP using FortiCloud, please create an AP Network here. Once you have setup an AP network, you can deploy FortiAP from inventory. ◾You can add your FortiAP into inventory by inputting FortiCloud key or entering your FortiCloud credentials in FortiAP GUI. For additional information, please see NOTE Der hier vergebenen Name für "Netzwerk Name" wiederspiegelt den Namen des FortiAP-S Verbunds dh. es kann nur ein "Netzwerk Name" vergeben werden! Das Passwort ist das Passwort aller FortiAP-S im Verbund resp. für den "Netzwerk Name". Dieses Passwort muss verwendet werden um sich über Web Mgmt. Interface lokal auf den FortiAP-S anhand User "admin" einzuloggen. Das Passwort muss mind. 5 Zeichen lang sein jedoch nicht mehr als 8! Es ist somit nicht möglich für jeden FortiAP-S ein Passwort zu vergeben!
Nach der Eingabe erscheint im FortiCloud Account folgendes:
Als nächster Schritt muss der FortiAP-S aktiviert resp. "deployed" werden. Aktiviere mit der "checkbox" den entsprechenden FortiAP-S und Wähle folgendes:
NOTE Wenn der FortiAP-S und/oder Forti Access Point ohne "FortiCloud Key" registriert wurde dh. anstelle dessen auf dem
FortiAP-S und/oder Forti Access Point über das lokale Web Mtm. Interface die Funktion des "FortiCloud" Accounts
aktiviert wurde mit dem entsprechenden FortiCloud Account Username und Passwort, erscheinen diese FortiAP-S und/oder
Forti Access Points innerhalb des Menüpunkt "Inventory" auf der Eingangsseite und müssen über diesen Punkt "Deployed"
werden!
Nachdem anhand "Deploy" bestätigt wird erscheint die Aufforderung den entsprechenden "FortiCloud Key" des FortiAP-S einzugeben:
Der FortiAP-S wurde erfolgreich "Deployed" und kann nun konfiguriert werden. Die erfolgreiche Aktivierung des FortiAP-S zeigt sich auch lokal auf dem FortiAP-S Web Mgmt. Interface dh. dort wird nun unter der Position "AC Discovery Status" folgendes angzeigt:
Discovered AC with FortiCloud Account: andrea.soliva@also.com
Die Aktivierung des FortiAP-S kann ebenfalls im FortiCloud Account kontrolliert werden und zwar unter folgender Position:
NOTE In diesem Beispiel zeigt der FortiAP-S unter der Position Status "up" dh. der Device wurde korrekt im Support Portal als Device registriert. Dies bedeutet: Wird ein FortiAP-S zum FortiCloud Account hinzugefügt jedoch nicht korrekt registriert im Support Portal zeigt der Status nicht "up" sondern "down" und der Device muss zuerst im entsprechende Support Portal korrekt registriert werden!
Durchführen der Grundkonfiguration für eine FortiAP-S im FortiCloud Account?
Der FortiAP-S ist nun korrekt Registriert, Ativiert und Betriebsbereit. Nachfolgend die Schritte die für eine Konfiguration durchgeführt werden sollten:
1. Konfigurieren zusätzlicher Administratoren FortiAP-S:FAQ#Kann_ich_zum_Standard_Administrator_.22admin.22_zus.C3.A4tzliche_Administratoren_konfigurieren_mit_unterschiedlichen_Rechte.3F 2. Konfiguration des "Country Code" FortiAP-S:FAQ#Wie_setze_ich_auf_einem_FortiAP-S_.C3.BCber_den_FortiCloud_Wireless_Controller_den_.22Country_Code.22.3F 3. Konfiguration der "Time Zone" FortiAP-S:FAQ#Wie_setze_ich_auf_einem_FortiAP-S_.C3.BCber_den_FortiCloud_Wireless_Controller_die_.22Time_Zone.22.3F 4. Durchführen eines FirmWare Upgrade FortiAP-S:FAQ#Wie_f.C3.BChre_ich_.C3.BCber_den_FortiCloud_Wireless_Controller_ein_Firmware_Upgrade_durch.3F 5. Konfigurieren einer SSID FortiAP-S:FAQ#Wie_konfiguriere_ich_eine_.22WPA2-Private.22_Authentifizierung_anhand_eines_.22Pre-Shared.22_Key.3F FortiAP-S:FAQ#Wie_konfiguriere_ich_eine_lokale_Gruppe_sowie_User_f.C3.BCr_eine_lokale_.22WPA2-Authentifizierung.22.3F FortiAP-S:FAQ#Wie_konfiguriere_ich_ein_.22Captive_Portal.22_im_FortiCloud_Account_basierend_auf_.22Guest_Provisioning.22.3F 6. Konfiguriere/Aktivieren von "Radio Scan" FortiAP-S:FAQ#Um_was_handelt_es_sich_beim_.22Radio_Scan.22_und_wie_soll_ich_diese_Funktion_konfigurieren.2Faktivieren.3F 7. Konfigurieren einer "Platform Profile" FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F 8. Monitoring / Logs FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Details_betreffend_User_Authentifizierung.3F FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Verbindungdetails_eines_Users.3F 9. Konfigurieren eines "Map and Plan Floor" FortiAP-S:FAQ#Wie_definiere_ich_einen_FortiAP-S_f.C3.BCr_die_Funktion_.22Map_and_Floor_Plan.22.3F FortiAP-S:FAQ#Kann_ich_einen_.22Map_and_Floor_Plan.22_heranziehen_um_festzustellen_ob_.22overlapping_channels.22_am_Standort_existiert.3F
Setup
Was ist die Default IP für einen FortiAP-S und wie kann ich mich auf diese IP verbinden?
Wenn ein FortiAP-S gestartet wird reagiert auf Netzwerkebene der FortiAP-S folgendermassen:
--> Der FortiAP-S sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface anhand dieser Informationen des DHCP Server konfiguriert! --> Beantwortet "Kein" DHCP Server die Anfrage des FortiAP-S so wird auf dem Netzwerk Interface folgende IP konfiguriert: 192.168.1.2/24 (Default Gateway 192.168.1.1)
Somit kann man sich auf einen FortiAP-S folgendermassen verbinden sofern der FortiAP-S betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):
1. Konfigruriere eine Workstation/Laptop mit folgender IP (Kein Default Gateway): 192.168.1.1 255.255.255.0 2. Verbinde den FortiAP-S mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt) 3. Starte den FortiAP-S und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort): http://192.168.1.2
Dieser Vorgang ist insofern Wichtig, dass über das Web Mgmt. Interface des FortiAP's zB "telnet" aktiviert werden kann wenn zB kein Console Kabel (RS232) zur Verfügung steht und man den FortiAP-S über CLI statisch konfigurieren möchte. Weitere Informationen welche Befehle auf der Kommandozeile zur Verfügung stehen sowie eine statische Konfiguration durchgeführt werden kann, siehe nachfolgende Artikel:
FortiAP-S:FAQ#Welche_Kommandos_stehen_auf_einem_FortiAP-S_auf_CLI_zur_Verf.C3.BCgung.3F FortiAP-S:FAQ#Wie_kann_ich_einen_FortiAP-S_auf_CLI_betreffend_Netzwerk_manuell_.22statisch.22_konfigurieren.3F
Wie sieht der Startvorgang eines FortiAP-S aus über Serial Console (RS232)?
Wenn ein FortiAP-S korrekt arbeitet sieht der Startvorgang über die Console folgendermassen aus:
--------------- RS232 output --------------- FortiAP-S323C (May 06 2015 - 21:38:56) DRAM: 1003 MiB NAND: 288 MiB *** Warning - bad CRC, using default environment Flash: 32 MiB Ver:04000002 Serial number: PS323C3U15000216 Region code: E In: serial Out: serial Err: serial Net: eth0 up eth0 speed 1000Mbps eth0 Hit any key to stop autoboot: 0 Device 1: nand1... is now current device Loading from nand1, offset 0x320000 Image Name: Linux-3.4.0 Image Type: ARM Linux Kernel Image (uncompressed) Data Size: 1727144 Bytes = 1.6 MiB Load Address: 41508000 Entry Point: 41508000 Automatic boot of image at addr 0x44000000 ... Image Name: Linux-3.4.0 Image Type: ARM Linux Kernel Image (uncompressed) Data Size: 1727144 Bytes = 1.6 MiB Load Address: 41508000 Entry Point: 41508000 Verifying Checksum ... OK Loading Kernel Image ... OK OK info: "mtdparts" not set Using machid 0x12ca from environment Starting kernel ... PS323C3U15000216 login: admin --------------- RS232 output ---------------
Um sich auf den FortiAP-S einzuloggen benütze User "admin" sowie "kein" Passwort!
Wie kann ich einen FortiAP-S auf CLI betreffend Netzwerk manuell "statisch" konfigurieren?
Nun Grundsätzlich kann ein FortiAP-S manuell konfiguriert werden dh. dazu steht das Kommando "cfg" zur Verfügung. Dabei ist zu berücksichtigen, dass die Konfiguration die durch "cfg" gesetzt wird erst mit "cfg -c" geschrieben wird. Für "cfg" stehen folgende Optionen zur Verfügung:
cfg -h - output this help cfg -r var - remove variables cfg -e - export variables cfg -s - list variables cfg -x - resetting to factory defaults cfg -c - commit the change to flash cfg -a var=value - add or change variables
Um alle Konfigurationspunkte die Konfigurierbar sind aufzulisten kann folgende Option benutzt werden:
# cfg -h cfg -h - output this help cfg -r var - remove variables cfg -e - export variables cfg -s - list variables cfg -x - resetting to factory defaults cfg -c - commit the change to flash cfg -a var=value - add or change variables Supported Variable Names: BAUD_RATE 9600, 19200, 38400, 57600, 115200 WTP_NAME WTP_LOCATION FIRMWARE_UPGRADE LOGIN_PASSWD ADMIN_TIMEOUT Telnet and GUI session admin timeout in minutes [0-480] ADDR_MODE DHCP, STATIC AP_IPADDR AP_NETMASK IPGW AP_MODE 0(Thin AP), 2(Site Survey) DNS_SERVER STP_MODE 0(disabled), 1(enabled), 2(disabled with blocked WAN port switch) AP_MGMT_VLAN_ID TELNET_ALLOW HTTP_ALLOW DDNS_ENABLE DDNS_PORT DDNS_SERVER 0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com) DDNS_UNIQUE_LOCATION AC_DISCOVERY_TYPE 0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud) AC_IPADDR_1 AC_IPADDR_2 AC_IPADDR_3 AC_HOSTNAME_1 AC_HOSTNAME_2 AC_HOSTNAME_3 AC_DISCOVERY_MC_ADDR AC_DISCOVERY_DHCP_OPTION_CODE AC_DISCOVERY_FCLD_APCTRL AC_DISCOVERY_FCLD_ID AC_DISCOVERY_FCLD_PASSWD AC_DISCOVERY_FCLD_PASSWD AC_CTL_PORT AC_DATA_CHAN_SEC 0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled) MESH_AP_TYPE 0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support) MESH_AP_SSID MESH_AP_BSSID MESH_AP_PASSWD MESH_AP_PASSWD MESH_ETH_BRIDGE Only take effect with MESH_AP_TYPE 1(mesh) AP MESH_MAX_HOPS MESH_SCORE_HOP_WEIGHT MESH_SCORE_CHAN_WEIGHT MESH_SCORE_RATE_WEIGHT MESH_SCORE_BAND_WEIGHT MESH_SCORE_RSSI_WEIGHT SURVEY_SSID SURVEY_TX_POWER SURVEY_CH_24 SURVEY_CH_50 SURVEY_BEACON_INTV
Um zu sehen "was" momentan konfiguriert ist kann folgendes benutzt werden:
# cfg -s BAUD_RATE:=9600 ADMIN_TIMEOUT:=5 ADDR_MODE:=DHCP AP_IPADDR:=192.168.1.2 AP_NETMASK:=255.255.255.0 IPGW:=192.168.1.1 AP_MODE:=0 DNS_SERVER:=208.91.112.53 STP_MODE:=0 AP_MGMT_VLAN_ID:=0 TELNET_ALLOW:=0 HTTP_ALLOW:=1 DDNS_ENABLE:=0 AC_DISCOVERY_TYPE:=0 AC_IPADDR_1:=192.168.1.1 AC_HOSTNAME_1:=_capwap-control._udp.example.com AC_DISCOVERY_MC_ADDR:=224.0.1.140 AC_DISCOVERY_DHCP_OPTION_CODE:=138 AC_DISCOVERY_FCLD_APCTRL:= AC_DISCOVERY_FCLD_ID:= AC_DISCOVERY_FCLD_PASSWD_ENC:= AC_CTL_PORT:=5246 AC_DATA_CHAN_SEC:=2 MESH_AP_TYPE:=0 MESH_MAX_HOPS:=4 MESH_SCORE_HOP_WEIGHT:=50 MESH_SCORE_CHAN_WEIGHT:=1 MESH_SCORE_RATE_WEIGHT:=1 MESH_SCORE_BAND_WEIGHT:=100 MESH_SCORE_RSSI_WEIGHT:=100
Um zB die Netzwerk Komponenten zu konfiguriere können folgende Befehle benutzt werden:
# cfg -a ADDR_MODE=STATIC
# cfg -a AP_IPADDR=[Gebe die entsprechende IP an zB 192.168.1.2]
# cfg -a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein zB 255.255.255.0]
# cfg -a IPGW=[Gebe den entsprechenden Gateway ein zB 192.168.1.1]
# cfg -a DNS_SERVER=[Gebe den entsprechenden DNS Server ein zB 208.91.112.53]
NOTE Jede Konfiguration die anhand "cfg -a" geschrieben wird ist nicht "persistent" dh. die ausgeführt Konfiguration
muss anhand folgenden Befehls "geschrieben" werden (commit to flash), ansonsten geht diese verloren. Die Konfiguration
wird es durch nachfolgenden Befehl aktiviert/geschrieben:
# cfg -c
Danach kann wiederum mit "cfg -s" die Konfiguration kontrolliert werden!
Wie kann ich einen FortiAP-S über CLI neu starten?
Um einen FortiAP-S über CLI neu zu starten gebe folgendes ein:
# reboot
Wie kann ich einen FortiAP-S auf "Factoryreset" setzen/zurückstellen?
Wenn ein FortiAP-S auf "Factoryreset" gesetzt werden soll dh. dadurch gehen sämtliche Konfigurationen verloren, kann über CLI folgendes durchgeführt werden:
# factoryreset This operation will reset the system to factory default! Do you want to continue? (y/n)y [ 2460.300812] Restarting system.
Ebenso steht folgendes Kommando zu Verfügung das ebenfalls im Hintergund einen "factoryreset" ausführt:
# cfg -x # reboot
Wo ändere ich im FortiCloud Account den Netzwerk Namen für den FortiAP-S Verbund/Devices?
Bei der initial Konfiguration des FortiCloud Account musst ein "Netzwerk Name" vergeben werden. Dieser stellt den FortiAP-S Verbund dar und kann unter folgender Position geändert werden:
Configure > Miscellaneous
NOTE Für einene FortiCloud Account kann betreffend FortiAP-S nur ein "Netzwerk Namen" vergeben werden!
Wo ändere ich im FortiCloud Account das Passwort für die lokalen FortiAP-S?
Bei der initialen Konfiguration dh. beim anlegen des "Netzwerk Namens" musste ein Passwort vergeben werden das benutzt wird um sich auf die lokalen FortiAP-S über Web Mgmt. Interface einzuloggen. Dieses kann unter folgender Position geändert werden:
Configure > Miscellaneous
NOTE Es ist nicht möglich mehrer Passwörter zu vergeben resp. für jeden FortiAP-S ein Passwort zu vergeben. Dies bedeutet: Das Passwort wird für den "Netzwerk Namen" vergeben in dem sich die FortiAP-S befindet somit gilt dieses für den ganzen Verbund!
Wie füge ich einen Forti Access Point zur FortiCloud hinzu ohne FortiCloud Key?
Wenn ein FortiAP-S ausgeliefert wird ist ein "FortiCloud Key" zur Registrierung des FortiAP-S auf dem FortiAP-S als "Aufkleber" vorhanden. Wenn dieser nicht vorhanden ist kann der FortiAP-S und auch andere Forti Access Point dennoch zur FortiCloud hinzugefügt werden. Dabei ist jedoch zu beachten, dass Standard Forti Access Points im Gegensatz zu FortiAP-S nicht mit den entsprechenden UTM Features versehen werden können da Standard Forti Access Points über keine UTM Features verfügen. Um einen FortiAP-S und/oder Forti Access Point zur FortiCloud - ohne FortiCloud Key - hinzu zu fügen muss über das Web Mgmt. Interface des Standard Forti Access Point und/oder FortiAP-S der entsprechende FortiCloud Funktion aktiviert sowie die Zugangs Informationen des entsprechenden FortiCloud Accounts konfiguriert werden. Um diesen Registrierungs Funktion - ohne FortiCloud Key - zu konfigurieren führe folgendes aus:
Ueber Web Mgmt. Interface des FortiAP-S Verbinde dich auf die IP die der FortiAP-S über DHCP zugewiesen wurde per http oder auf die IP die statisch gesetzt wurde dh.: http://[FortiAP-S IP vom DHCP Server oder statische Konfiguration] NOTE Wie man sich auf den FortiAP-S und/oder Forti Access Points lokal manuell auf das Web Mgmt. Interface verbinden kann siehe nachfolgenden Artikel: FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F Danach wähle im Web Mgmt Interface des FortiAP-S folgendes: AC Discovery Type: [FortiCloud] FortiCloud Account: [Username dh. Email Adresse des entsprechenden FortiCloud Accounts] FortiCloud Password: [Passwort des entsprechenden FortiCloud Accounts]
Ueber Console des FortiAP-S # cfg -a AC_DISCOVERY_TYPE=[Setze die Option FortiCloud dh. "7"] # cfg -a AC_DISCOVERY_FCLD_ID=[Username dh. Email Adresse des entsprechenden FortiCloud Accounts] # cfg -a AC_DISCOVERY_FCLD_PASSWD_ENC=[Passwort des entsprechenden FortiCloud Accounts] # cfg -c
Nach der Konfiguration erscheint der FortiAP-S resp. Forti Access Point im entsprechenden FortiCloud Account unter dem "Inventory" und kann über den Menüpunkt auf der Eingangsseite "Inventory" zum entsprechenden Netzwerk hinzugefügt werden (Deploy)!
Upgrade
Wie "stage" ich einen FortiAP-S von Grundauf neu mit einer entsprechenden Firmware?
Die Modelle FAP-S311/3 sowie FAP-S321/3 kommen mit einen Console Port. Wie bei einer FortiGate ist es möglich über TFTP Server den FAP-S von Grundauf neu zu stagen. Der Start Vorgang muss wie bei einer FortiGate zu Beginn des Neustarts abgebrochen werden (5 Sekunden Zeit) um in das Bios zu kommen. Die IP des TFTP Servers sowie die lokale IP kann beim Vorgang "Get OS image from TFTP server" kann "on the fly definiert" werden. Nachfolgend ein kurzes Beispiel wie dieser Vorgang durchzuführen ist:
_____________________________ | RS232 Verbindung | Consolen Port | | ___________|___ | RS232 Anschluss | | ____|_______________ | FortiAP-s | 192.168.1.1/24 | | |_______________| _____| LapTop/Workstation | --> SolarWindsTFTP Server starten | | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root WAN | | |_____________________|
NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
Oeffne über Putty eine Serielle rs232 Verbindung (Console). Schalte den FortiAP-S ein und breche den Startprozess ab wenn folgendes erscheint: Hit any key to stop autoboot: --------------- RS232 output --------------- FortiAP-S323C (May 06 2015 - 21:38:56) DRAM: 1003 MiB NAND: 288 MiB Flash: 32 MiB Ver:04000002 Serial number: PS323C3U15000216 Region code: E In: serial Out: serial Err: serial Net: eth0 up eth0 speed 1000Mbps eth0 Hit any key to stop autoboot: 5 [G]: Get OS image from TFTP server. [Q]: Quit menu and continue to boot with default OS. [H]: Display this list of options. Enter G,Q,or H: G Please connect TFTP server to Ethernet port WAN. Enter TFTP server address [192.168.1.10]: 192.168.1.10 Enter local address [192.168.1.1]: 192.168.1.1 Enter firmware image file name [image.out]: image.out Using eth0 device TFTP from server 192.168.1.10; our IP address is 192.168.1.1 Filename 'image.out'. Load address: 0x42000000 Loading: --------------- RS232 output ---------------
Danach wird das Image installiert und der FortiAP-S gestartet! Um sich auf der CLI einzloggen benütze User "admin" sowie "kein" Passwort.
Wie führe ich lokal für einen FortiAP-S ein Firmware Upgrade durch?
Ausgehend davon, dass man für einen FortiAP-S ein lokales Firmware Upgrade durchführen will, kann dies über einen lokalen TFTP Server durchgeführt werden oder über das lokale Web Mgmt. Interface des FortiAP-S:
Firmware Upgrade über CLI und TFTP Server
# restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
NOTE Um das Kommando eingeben zu können muss mit RS232 Console verbunden werden. Es ist jedoch auch möglich "telnet"
über Web Mgmt. Interface zu aktivieren (Per Standard deaktiviert) und über "telnet" diesen Befehl einzugeben.
Firmware Upgrade über Mgmt. Interface Auf dem Web Mgmt Interface des FortiAP-S steht eine entsprechende Position zur Verfügung über die ein Firmware Upgrade durchgeführt werden kann: Firmware Version: Update Um auf das FortiAP-S Web Mgmt. Interface zu gelangen (Standard IP des FortiAP-S) siehe nachfolgender Artikel: FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
Wie führe ich über den FortiCloud Wireless Controller ein Firmware Upgrade durch?
Ein Firmware Upgrade lässt sich über verschiedenen Varianten durchführen dh. wenn ein Firmware Upgrade lokal dh. nicht über die FortiCloud durchgeführt werden soll, siehe nachfolgenden Link:
FortiAP-S:FAQ#Wie_.22stage.22_ich_einen_FortiAP-S_von_Grundauf_neu_mit_einer_entsprechenden_Firmware.3F FortiAP-S:FAQ#Wie_f.C3.BChre_ich_lokal_f.C3.BCr_einen_FortiAP-S_ein_Firmware_Upgrade_durch.3F
Diese Vorher erwähnten Varianten bedürfen einer lokalen Intervention um ein Firmware Upgrade durchzuführen. Die Firmeware kann jedoch auch über den FortiCloud Account durchgegführt werden, sofern die FortiAP-S korrekt registriert und aktiviert wurden. Um dies durchzuführen wähle:
Access Points > AP List
Aktiviere den entsprechenden "FortiAP-S anhand der "checkbox" und wähle "Upgrade":
NOTE In diesem Beispiel zeigt die "current" Version der Firmeware sowie "upgrade to" die gleiche Version da zu diesem Zeitpunkt der Dokumentation keine neue Firmware zur Verfügung stand!
Backup
Wie erstelle ich für einen FortiAP-S für dessen Konfiguration ein Backup?
Ein Backup der Konfiguration eines FortiAP-S kann über Web Mgmt. Interface durchgeführt werden sowie über CLI. Bei einem Backup über Web Mgmt. Interface wird im Hintergrund folgender Befehl ausgeführt:
Backup der Forti Access Point Konfiguration über CLI # cfg -e BAUD_RATE=9600 ADMIN_TIMEOUT=5 AP_IPADDR=192.168.1.2 AP_NETMASK=255.255.255.0 IPGW=192.168.1.1 AP_MODE=0 DNS_SERVER=208.91.112.53 AP_MGMT_VLAN_ID=0 ADDR_MODE=DHCP STP_MODE=0 TELNET_ALLOW=1 HTTP_ALLOW=1 AC_DISCOVERY_TYPE=0 AC_IPADDR_1=192.168.1.1 AC_HOSTNAME_1=_capwap-control._udp.example.com AC_CTL_PORT=5246 AC_DISCOVERY_MC_ADDR=224.0.1.140 AC_DISCOVERY_DHCP_OPTION_CODE=138 AC_DATA_CHAN_SEC=2 MESH_AP_TYPE=0 MESH_AP_SSID=fortinet.mesh.root MESH_AP_BSSID= MESH_AP_PASSWD=fortinet.mesh.root MESH_ETH_BRIDGE=0 MESH_MAX_HOPS=4 MESH_SCORE_HOP_WEIGHT=50 MESH_SCORE_CHAN_WEIGHT=1 MESH_SCORE_RATE_WEIGHT=1 MESH_SCORE_BAND_WEIGHT=100 MESH_SCORE_RSSI_WEIGHT=100
Backup der Forti Access Point Konfiguration über Web Mgmt. Interface Das Web Mgmt. Interface einer FortiGate ist -sofern dies die Firewall Policy Rule erlaubt wird- per Standard über dessen IP zugänglich. NOTE Wenn das Backup des Forti Access Point lokal über seine Standard IP durchgeführt werden soll siehe nachfolgenden Artikel: FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F Danach kann ein manuelles Backup unter folgender Position ausgeführt werden: Status > System Configuration > Last Backup Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". BAUD_RATE=9600 ADMIN_TIMEOUT=5 AP_IPADDR=192.168.1.2 AP_NETMASK=255.255.255.0 IPGW=192.168.1.1 AP_MODE=0 DNS_SERVER=208.91.112.53 AP_MGMT_VLAN_ID=0 ADDR_MODE=DHCP STP_MODE=0 TELNET_ALLOW=0 HTTP_ALLOW=1 DDNS_ENABLE=0 DDNS_PORT=443 DDNS_SERVER=0 DDNS_UNIQUE_LOCATION=FortiAP AC_DISCOVERY_TYPE=0 AC_IPADDR_1=192.168.1.1 AC_HOSTNAME_1=_capwap-control._udp.example.com AC_CTL_PORT=5246 AC_DISCOVERY_MC_ADDR=224.0.1.140 AC_DISCOVERY_DHCP_OPTION_CODE=138 AC_DISCOVERY_FCLD_APCTRL= AC_DISCOVERY_FCLD_ID= AC_DISCOVERY_FCLD_PASSWD_ENC= AC_DATA_CHAN_SEC=2 MESH_AP_TYPE=0 MESH_AP_SSID=fortinet.mesh.root MESH_AP_BSSID= MESH_AP_PASSWD_ENC=MjAyMDIwMjAyMDIwMjAyMDBlMmUyNDIzM2Y2ZjIyNGYyZDM1 MESH_ETH_BRIDGE=0 MESH_MAX_HOPS=4 MESH_SCORE_HOP_WEIGHT=50 MESH_SCORE_CHAN_WEIGHT=1 MESH_SCORE_RATE_WEIGHT=1 MESH_SCORE_BAND_WEIGHT=100 MESH_SCORE_RSSI_WEIGHT=100 SURVEY_SSID=FAP_SURVEY SURVEY_TX_POWER=30 SURVEY_CH_24=6 SURVEY_CH_50=36 SURVEY_BEACON_INTV=100
NOTE Das Backup File kann herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und
dieses als Restore wieder einzuspielen.
Management / Wireless Controller
Welche Destinationen (IP / FQND), Protokolle sowie Ports benutzt der FortiAP-S für die Komunikation in die FortiCloud?
Wenn ein FortiAP-S mit dem FortiCloud Wirless Controller komuniziert inkl. UTM Features werden folgende Destinationen (IP / FQDN) sowie Protokolle und Ports benützt:
Destination: 208.91.113.187 (apctrl1.fortinet.com) Protokolle: HTTPS (TCP 443), DNS (UDP 53) Destination: 208.91.113.118 Protokoll/Port: CAPWAP (UDP 5247, UDP 5246) Destination: 208.91.113.117 (apau.forticloud.com) Protokoll/Port: HTTPS (TCP 443) Destination: update.fortiguard.net Protokoll/Port: HTTP (TCP 80)
Diese Services sind alle "outbound" zu verstehen. Es wird kein "inbound" Traffic initiert aus der FortiCloud mit einer Ausnahme: Wird für die FortiCloud Authentifizierung ein "Eigener Radius Server" konfiguriert muss dieser anhand eines "Destination NAT" auf der Firewall von aussen freigegeben werden. Dabei wird folgende Source IP aus der FortiCloud benutzt:
208.91.113.117 (apau.forticloud.com)
Diese Informationen stamme aus einer Analyse in den Logs und stammen nicht von Fortinet selber. Nachfolgendes Diagramm zeigt offiziell die Open Ports für FortiAP-S. Dieses Diagramm stammt aus dem Handbook FortiOS 5.4:
Weitere Auskunft gibt ebenfalls nachfolgendes Dokument von Fortinet:
Datei:Fortigate-Open-Ports-54.pdf
Welches Protokoll sowie Verschlüsselung wird benutzt vom FortiAP-S zum FortiCloud Wireless Controller?
Die Komunikation des FortiAP-S beschränkt sich als "outbound" Komunikation dh. Der FortiAP-S bekommt seine Konfiguration durch Anfragen zum FortiCloud Wireless Controller. Somit wird keine "inbound" Komunikation vom FortiCloud Wireless Controller aufgebaut um die Konfiguration zum FortiAP-S zu senden mit einer Ausnahme: Wenn ein "Eigener Radius Server" konfiguriert wird im FortiCloud Account muss dieser auf der entsprechenden Firewall als Destination NAT für den FortiCloud Account freigegeben werden damit die "inbound" Komunikation für die Authentifizierung über diesen "Eigenen Radius Server" funktioniert. Weitere Informationen dazu wie ein "Eigener Radius Server" konfiguriert wird siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Authentication_im_FortiCloud_Account_meinen_.22Eigenen_Radius_Server.22.3F
Der "outbound" Traffic eines FortiAP-S ist analog eines FortiAP zum FortiGate Wireless Controller dh. dieser ist "CAPWAP" basierend. Die Daten die dabei zum FortiCloud Wireless Controller gesendet werden sind minimal:
--> Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden --> Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten
Bei CAPWAP handelt es sich um einen Standard (RFC 5415, RFC 5416, RFC 5417) der auch durch andere Hersteller eingesetzt wird um Access Points zu steuern und zu kontrollieren. Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:
http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol
Die Ports die benutzt werden für CAPWAP sind per Standard:
UDP 5246 und 5247
Zusätzlich da es sich um einen "Remote Access Point" Einbindung handelt wird der Traffic innerhalb des CAPWAP durch DTLS geschützt. DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic - der vom FortiAP-S Interface zum FortiCloud Wireless Controller - zu übermitteln. Der "Data Channel" wird "Enkapsuliert" (Encapsulated) im CAPWAP zum FortiCloud Wireless Controller übermittelt. Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen das "beide" Seiten dh. der FortiCloud Wireless Controller und der FortiAP-S gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert ansonsten kommt keine Verbindung zu stande. Per Standard ist "clear-text" sowie "dtls" auf den FortiAP-S aktiviert und DTLS wird automatisch durch den FortiCloud Wireless Controller aktiviert. Aus diesem Grund ist keine Intervention seitens FortiAP-S nötig sofern die Konfiguration - die per Standard auf den FortiAP-S existiert - belassen wird. Diese Konfiguration wird auch auf den FortiAP-S bestätigt und ist ersichtlich über das Menü System Information:
Weitere Informaitonen mit welchen IP's, FQDN, Ports usw. der FortiAP-S zur FortiCloud komuniziert siehe nachfolgender Artikel:
FortiAP-S:FAQ#Welche_Destinationen_.28IP_.2F_FQND.29.2C_Protokolle_sowie_Ports_benutzt_der_FortiAP-S_f.C3.BCr_die_Komunikation_in_die_FortiCloud.3F
Administrator
Kann ich die E-Mail Adresse für den Zugang zum FortiCloud Accounts ändern?
Ja dies ist möglich und basiert auf einen Adminstrator. Dies bedeutet: Ein FortiCloud Account basiert auf der E-Mail Adresse die bei der Registration eines FortiCloud Accounts benutzt wurde. Nun zB ausgehend davon das dies zB andrea.soliva@also.com ist loggt man sich auf dem FortiCloud Account ein anhand dieser E-Mail Adresse. Danach muss ein zusätzlicher Administrator mit vollen Rechten erstellt werden. Wie dies durchgeführt wird siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Kann_ich_zum_Standard_Administrator_.22admin.22_zus.C3.A4tzliche_Administratoren_konfigurieren_mit_unterschiedlichen_Rechte.3F
Nachdem dieser zusätzliche Administrator mit "Admin" Rechten erstellt wurde, muss darauf geachtet werden das dieser über den entsprechenden Link der in der E-Mail Nachrichten enthalten ist aktiviert wird. Danach kann mit dem neuen Administrator eingloggt werden und der bestehende Account, der für die Registration des FortiCloud Account benutzt wurde, gelöscht werden. Somit basiert der bestehende FortiCloud Account neu auf der neuen E-Mail Adresse des Administrators der neu erstellt wurde.
Kann ich zum Standard Administrator "admin" zusätzliche Administratoren konfigurieren mit unterschiedlichen Rechte?
Grundsätzlich kann im FortiCloud Account zum standard Administrator "admin" zusätzliche Administratoren konfiguriert werden. Dabei ist jedoch zu unterscheiden zwischen:
Admin [Volle Read/Write Rechte analog User "admin"] Regular [Administrator für "Read-Only"] Guest Manager [Guest Management Administrator]
Ein zusätzliche Administrator wird unter folgendem Menü konfiguriert:
My Account
Wähle nun "+ Add User":
Definiere den neuen Adminstrator und die entsprechende Rolle (Role):
Wenn ein zusätzlicher Administrator konfiguriert wird so werden die Details dem neuen Administrator über die entsprechend definierte E-Mail Adresse zugesendet. Nachfolgend ein Beispiel:
--------------- Confirmation E-Mail FortiCloud -------------- Von: noreply@forticloud.com Gesendet: Mittwoch, 21. Oktober 2015 14:06 An: Pirmin Roos Betreff: New User Confirmation at FortiCloud Thank you for using FortiCloud. To activate your account, please click on this link: https://www.forticloud.com/activate?key=DVfET%2B31cycgRAz10wofCmhoMU8j2nKqsfTly%2BpKDNHwaCS6fHN8j3KqoUIBK8fK8mq2WYQNc61P5KASaMcvPF%2Bve2AunxeWhNk%2B709sg08%3D Thanks, FortiCloud Admin --------------- Confirmation E-Mail FortiCloud --------------
Der neue Administrator hat 24 Stunden Zeit die Registration zu vollenden. Solange dies nicht durchgeführt wird bleibt der neue Administrator auf Status "Pending" und kann nicht benützt werden dh. kein Login ist möglich bevor die Registration nicht ordnungsgemäss durchgeführt wurde:
Auf diesen Umstand wird mit folgender Meldung hingewiesen:
Können die Aenderungen die ein Administratoren konfiguriert/durchführt nachvollzogen/protokolliert werden?
Ab FortiCloud 2.5 ist dies möglich dh. jede Aenderung die ein Administrator durchführt werden in den Logs protokolliert sowie können eingesehen werden. Dazu steht folgendes Log sowie History zur Verfügung:
Configure > Change History
In diesem Log werden alle Aenderungen die durch die Administratoren durchgeführt werden aufgeführt. Markiert man eine Zeile erscheint Rechts Aussen unter der Spalte "New Value vs Old Value" ein Symbole in dem die Details dieser Aenderung aufgeführt sind:
Die Aenderungen werden "gelb" markiert hervorgehoben. In diesem Beispiel sieht man das ein "Platform Profile" mit dem Namen "alsochlu-demo-room" betreffend "channels" modifiziert wurde dh. die Aenderungen umfassen 40 MHz auf 80 MHZ sowie die "channels" selber. Es besteht jedoch keine Möglichkeit wie in einer "Revision" diese Aenderungen Rückgängig zu machen!
Country Code / Time Zone
Wie setze ich auf einem FortiAP-S über den FortiCloud Wireless Controller den "Country Code"?
Der "Country Code" eines FortiAP-S steht per Standard auf "US" dh. dieser "Country Code" muss korrekt gesetzt werden, da dieser die Basis darstellt für die "Platform Profile". Dies bedeutet: In jedem Land gibt es Vorschriften welche "channels" benützt werden dürfen und welche nur unter gewissen Umständen etc. Dazu siehe auch folgender Artikel:
FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F NOTE Die neuen FortiAP-S dh. 311/3 sowie 312/3 verfügen nicht über den DFS Support!
Somit kommt dem "Country Code" eine wichtige Rolle zu und muss korrekt gesetzt werden, damit später die zur Verfügung stehenden "Platform Profils" die korrekte Konfiguration zur Verfügung stellen. Um den "Country Code" zu setzen wähle folgendes im FortiCloud Account:
Wähle danach:
Configure > Platform Profile
Markiere die entsprechenden Eintrag für das "Platform Profile". Danach erscheint Rechts Aussen ein Symbole um dieses zu editieren:
Wähle den entsprechende "Country Code":
Nach dem Bestätigen wird der korrekte "Country Code" für das "Platform Profile" angezeigt:
Wenn man sich über den FortiAP-S auf das lokale Web Mgmt. Interface einloggt und man den "Country Code" nicht gesetzt hat wird über das Register "Wireless Information" der "Country Code" Rot angezeigt da "US" nicht der Zeitzone des FortiAP-S entspricht. Sobald der "Country Code" über den FortiCloud Wireless Controller korrekt gesetzt ist wiederspielt sich die Konfiguration ebenfalls unter dem Register "Wireless Information" auf dem FortiAP-S, denn nun wird dort "Country" CH angezeigt sowie "Country Code" 756. Auf dem lokalen FortiAP-S wird ebenfalls der "Region Code" angezeigt dh. dieser ist nicht zu verwechseln mit dem "Country Code" dh. der "Region Code" E (Europe) wiederspiegelt den Device dh. -E für Europe.
Wie setze ich auf einem FortiAP-S über den FortiCloud Wireless Controller die "Time Zone"?
Auch der "Time Zone" kommt eine wichtige Rolle zu dh. wenn ein Firmware Upgrade durchgeführt wird, so wird der "schedule" ebenfalls für die entsprechende "Time Zone" angzeigt. Ebenso die Logs sowie UTM Features sind angewiesen, dass die korrekte "Time Zone" gesetzt ist. Um die "Time Zone" zu setzen wähle:
Configure > Miscellaneous
NOTE In einem FortiCloud Wireless Controller kann die "Time Zone" nur Global gesetzt werden dh. es gibt keine Möglichkeit die "Time Zone" auf die "FortiAP-S" zu setzen!
SSID
Wie erstelle ich auf dem FortiCloud Wireless Controller einen "AP Tag" und um was handelt es sich dabei?
Ein "AP Tag" ist ein Verweis von einer SSID auf einen FortiAP-S. Dies bedeutet: Wenn in der SSID auf der Position "Availability" die Standard Konfiguration belassen wird dh. "Available in all AP's" so wird die SSID "allen" FortiAP-S automatisch zugewiesen. Die SSID kann nicht wie auf einem herkömmlichen FortiAccess Point im Profile (Platform Profile) hinzugefügt werden. Anstelle wird der "AP Tag" dem FortiAP-S zugewiesen und der SSID ein "AP Tag". Somit sind diese "AP Tag's" organisatorischer Natur dh. "AP Tag's" können Gruppen von User darstellen die einen bestimmten "AP Tag" darstellen und verschiedene SSID's sind diesem "AP Tag" zugewiesen somit kann ein "AP Tag" über mehrere SSID's verfügen. Um einen "AP Tag" zu konfigurieren wähle
Configure > AP Tag
Nun wähle "+ AP Tag" und vergebe einen entsprechenden Namen:
Bestätige die Konfiguration und der ensprechende "AP Tag" wird aufgeführt jedoch ohne SSID:
Danach kann eine SSID konfiguriert und der "AP Tag" dieser SSID hinzugefügt werden. Als Letzteres wird der "AP Tag" dem FortiAP-S hinzugefügt und somit ebenfalls die entsprechende SSID/s für den "AP Tag". Weitere Informationen wie dies durchgeführt wird siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F
Was bedeutet auf dem FortiCloud Wireless Controller innerhalb einer "SSID" die Position "Bridge"?
Wenn eine SSID konfiguriert wird dh. in der Menüposition "Access Control" unter "IP Assignment" kann dort eine SSID auf "Bridge" gesetzt werden. Dies ist die Standard Einstellung und wird in den meisten Fällen benutzt und bedeutet nichts anderes als folgendes:
Wird eine SSID auf "Bridge" gesetzt wird auf dem Interface des "FortiAP-S" die "SSID" in den "Bridge" Mode gesetzt. Somit wenn ein User sich an diese "SSID" korrekt Authentifiziert wird für diesen User über die "SSID" auf dem FortiAP-S in das "Netzwerk Segment" - in dem sich der FortiAP-S befindet - ein DHCP Anfrage gesendet. Wenn die DHCP Anfrage durch den FortiAP-S, durch einen DHCP Server/Relay in diesem Netzwerk Segment beantwortet wird, so wird dem User der sich korrekt Authentifiziert hat diese IP resp. DHCP Informationen zugewiesen!
Somit wenn eine "SSID" als "Bridge" definiert wird muss sich in dem Netzwerk Segment des FortiAP-S ein DHCP Server/Relay befindet damit den authentifizierten Usern eine IP zugewiesen wird. Zusätzlich ist es möglich dieser "SSID" die sich im "Bridge" Mode befindet ein VLAN Nr. zu vergeben.
Was bedeutet auf dem FortiCloud Wireless Controller innerhalb einer "SSID" die Position "NAT"?
Wenn eine SSID konfiguriert wird dh. in der Menüposition "Access Control" unter "IP Assignment" kann dort eine SSID auf "NAT" gesetzt werden. Durch dieses "NAT" kann ein IPv4 Adresse mit Subnet definiert werden dh. auf dem FortiAP-S Interface wird eine Network Address Translation durchgeführt betreffend der Source des Traffic der User. Dabei ist jedoch folgendes zu berücksichtigen das als Limitation gilt unter FortiCloud 3.0:
Das definierte IPv4 Subnet wird direkt nur dem 2.4 GHz Bereich zugewiesen und dem 5 GHz Bereich wird das gleiche IPv4 Subnet zugewiesen jedoch 17 Octects höher. Folgendes Beispiel: Es wird "10.10.10.1/24" definiert und somit wird diese Definition direkt dem 2.4 GHz zugewiesen. Daraus resultierend wird dem 5 GHz Bereich ein 17 Octet höheres IPv4 Subnet zugewiesen dh. also "10.10.17.1/24"!
Wie erstelle ich auf dem FortiCloud Wireless Controller eine "SSID" und weise einen "AP Tag" hinzu?
Wenn im FortiCloud Wireless Controller eine SSID konfiguriert ist steht diese per Standard "allen" FortiAP-S zur Verfügung. Dies wird in der SSID mit der Position "Availability" konfiguriert/indiziert dh. per Standard steht diese auf "Available in all AP's". Dies kann zwar so konfiguriert werden jedoch um eine Granularität und mehr Kontrolle zu erreichen, wird empfohlen mit sogenannten "AP Tag" zu arbeiten dh. diese "AP Tag" verweisen eine bestimmte SSID auf einen FortiAP-S. Die SSID selber kann nicht im Profile des FortiAP-S konfiguriert werden sondern wird über den "AP Tag" die SSID's beinhaltet dem FortiAP-S Device zugewiesen. Als Beispiel erfassen wir eine SSID "fortiap-s4intern" und verweisen mit einem "AP Tag" (ffortiap-s4intern) auf diese SSID. Um einen "AP Tag" zu konfigurieren siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F
Nun erstelle eine entpsrechende SSID. In unserem Beispiel eine SSID basierend auf "WPA2-Personal" mit einem "Pre-Shared Key". In der Definition der SSID weisen wir unseren vorhergehenden "AP Tag" hinzu damit dieses SSID nur für FortiAP-S gilt, die über den entsprechenden "AP Tag" verfügen. Wenn dies nicht durchgeführt wird, so gilt eine SSID ohne entsprechenden "AP Tag" für "alle" FortiAP-S. Wähle für die Konfiguration im Menü folgendes:
Configure > SSID
NOTE Um nachträglich eine neue SSID zu erstellen wähle die Position "+ SSID"!
NOTE Die UTM Features werden innerhalb der SSID konfiguriert und können zu einem späteren Zeitpunkt aktiviert werden!
NOTE In dieser Position wird nun der SSID den vorhergehenden "AP Tag" hinzugewiesen. In einem späteren Zeitpunkt wird dieser "AP Tag" der diese SSID beinhaltet dem FortiAP-S zugewiesen!
Um nun die neue "SSID" resp. den "AP Tag" dem FortiAP-S zu zuweisen, wähle folgendes:
Access Points > [Aktiviere den entsprechenden FortiAP-S mit der "checkbox] > Change AP Tags
Definiere nun den entsprechenden "AP Tag" und achte auf die Position "Overwrite existing AP Tags" dh. wenn ein "AP Tag" hinzugefügt werden soll muss die Position "Add to existing AP Tag" gewählt werden:
Danach wird der "AP Tag" für den entsprechenden FortiAP-S augelistet:
Die Konfiguration wird über das lokale Web Mgmt. Interface auf dem FortiAP-S über as Menü "Wireless Information" ebenfalls angezeigt!
UTM Features
Wo konfiguriere ich für einen FortiAP-S die UTM Features?
UTM Features - sofern die entsprechende Lizenz vorhanden ist (FortiGuard Bundle) - können innerhalb der SSID im Menüpunkt "Security" aktiviert sowie konfiguriert werden. Somit wählt man über das folgende Menü die entsprechende SSID und aktiviert im Menüt "Security" die UTM Features:
Bei den "Security" Features können nur "unverschlüsselte" Protokolle Inspected werden (keine Deep-Inspection). Weitere Informationen zu den einzelnen UTM Features siehe nachfolgende Artikel:
FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Antivirus.22.3F FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Intrusion_Prevention.22.3F FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Block_Botnet.22.3F FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Web_Access.22.3F FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Application_Control.22.3F
Wie konfiguriere ich das UTM Feature "Antivirus"?
Unter FortiCloud v2.5 kann das UTM Feature "Antivirus" nur Aktiviert sowie Deaktiviert werden. Es stehen keine zusätzlichen Optionen zur Verfügung. Verschlüsselter Traffic wird nicht Inspected dh. Deep-Inspection ist nicht möglich. Test haben gezeigt das für "HTTP" und "FTP" Antivirus eindwandfrei funktioniert. Kommt es zu einem Event dh. wird im Browser folgendes angezeigt:
Weitere Informationen betreffend Grösse der Files, Art der Files sowie weitere Unterstützte Protokolle sind momentan noch nicht vorhanden! Die Meldung dh. die Art und Weise sowie das Aussehen können unter FortiCloud 2.5 nicht verändert werden!
Wie konfiguriere ich das UTM Feature "Intrusion Prevention"?
Unter FortiCloud v2.5 kann das UTM Feature "Intrusion Prevention" nur Aktiviert sowie Deaktiviert werden. Weitere Informationen "was" in diesem Kontext als "Intrusion Prevention" zu verstehen ist sind momentan nicht vorhanden.
Wie konfiguriere ich das UTM Feature "Block Botnet"?
Wenn das UTM Feature "Block Botnet" aktiviert wird, erkennt und blockt der FortiAP-S Anfragen zu Botnet Servern. Um was es sich genau handelt bei "Botnet Servern" kann im nachfolgenden Artikel im Allgemeinen nachgelesen werden:
Fortinet:ProduktInfo#Fortinet_Anatomy_of_a_Botnet
Wenn diese Position aktiviert wird, fragt man sich ob dies auch getestet werden kann? Dies ist möglich dh. man kann Anfragen von einer SSID zu bestimmten Botnet Server/IP durchführen und über den FortiCloud Account (Logs) kontrollieren ob diese Anfragen geblockt wurden. Folgender Link gibt Auskunft über die momentanen bekannten Botnet Server/IP:
https://zeustracker.abuse.ch/blocklist.php NOTE Man muss berücksichtigen, dass diese Server/IP immerwährend einem Wandel unterzogen sind dh. Server und deren IP's werden oft gewechselt. Speziell folgender Link zeigt die aktuelle IP Liste der Server: https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist Um somit die Funktion zu testen, muss von einer SSID ein Request zu einer der IP's durchgeführt werden. Dieser Request muss bei aktivierter Funktion "Block Botnet" in einer entsprechenden SSID und von dieser SSID durchgeführt werden. Um den Test durchzufüren kann einfach über "telnet" eine Anfrage abgesetzt werden zu einer Botnet Server IP.
Wie konfiguriere ich das UTM Feature "Web Access"?
Das UTM Feature "Web Access" stellt den WebFilter dar. Die Funktion kann nur für HTTP benutzt werden. Eine Zertifikats Inspection analog einer FortiGate ist nicht möglich. Dieser kann auf verschiedene Arten konfiguriert werden dh. anhand der vordefinierten "Kategorie" Konfiguration:
Der Nachteil wenn vordefinierte "Kategorien" benutzt werden ist das diese "nicht" geändert werden können. Wir empfehlen eine "Advanced Configuration" da diese die höchste Flexibilität bietet. Dazu wähle "Advanced Configuration". Danach kann jede Kategorie markiert werden. Wenn dies durchgeführt wird erscheinen "Rechts Aussen" Symbole für:
Allow | Block | Monitor
Dabei ist zu berücksichtigen wenn der Traffic betreffend "Web Access" Funktion in die Logs geschrieben werden soll "Monitor" gewählt werden sollte. Nachfolgend ein Beispiel einer Konfiguration:
NOTE Die Positionen "Block Invalid URLS" sowie "HTTP POST Action" sollten auf Standard belassen werden!
Im momentanen Stand existieren keine "Local Categories" über die zB eine URL für "whitelisting" konfiguriert werden kann. Nichts desto trotz kann jede URL über die Funktion des "URL Filters" für eine whitelisting, blacklisting usw. konfiguriert werden. Dazu wähle im unteren Bereich "Rechts Aussen" das Symbole "+":
Für die Defintion der URL kann zwischen "Regular Expression", "Wildcard" sowie "Simple" gewählt werden:
Nachdem die Konfiguration resp. die URL hinzugefügt wurde erscheint diese in der Liste des "URL Filters":
Wenn die "Web Access" Funktion konfiguriert wurde kann diese nachträglich getestet werden und eine entsprechende Seite/URL dessen Kategorie auf "Block" steht wird im Browser folgendermassen angzeigt:
Die Meldung dh. die Art und Weise sowie das Aussehen können unter FortiCloud 2.5 nicht verändert werden!
Wie konfiguriere ich das UTM Feature "Application Control"?
Die Funktion "Application Control" basiert auf den Applikations Informationen in den TCP Headern. Es kann nur "unverschlüsselter" Traffic Inspected werden im Zusammenhang mit "Application Control". Wie beim "Web Access" ist zu berücksichtigen das "Allow" keine Logs schreibt. Dies bedeutet: Möchte man den gesamten Traffic Analysieren müssen sämtliche Positionen von "Application Control" auf "Monitor" gesetzt werden. Dazu steht zu Beginn die Position "Monitor All" zur Verfügung.
Möchte man einzelne Applikationen zB "YouTube" auf "Block" setzen können diese im unteren Bereich hinzugefügt werden dh. diese Konfiguration überschreibt die Konfiguration in den verschiedenen Kategorien. Um eine Applikation hinzu zu fügen wähle "Rechts Ausse" das entsprechende Symbole "+"::
NOTE Berücksichtige immer das diese Funktion keine "Deep Inspection" durchführt dh. wenn "YouTube" auf HTTP angewendet würde
und "YouTube" auf "Block" konfiguriert wurde wird die Applikation geblockt. Wechselt jedoch der User auf HTTPS kann keine
Inspection mehr durchgeführt werden und der Traffic für "YouTube" über HTTPS wird erlaubt!
Danach kann im "Search" Feld die entsprechene Applikation gesucht sowie hinzugefügt werden:
Danach werden die einzelnen Zeilen aufgelistet die vorhergehend selektiert wurden:
Wenn die einzelnen Zeilen markiert werden, erscheinen "Rechts Aussen" verschiedene Symbole um für die einzelne Zeile die es ermöglichen für jede Zeile eine andere Aktion festzulegen. Die entsprechende Aktion wird auf dem Symbole der Applikation wieder gegeben:
Platform Profile
Wie benütze/konfiguriere ich die "Platform Profile" auf dem FortiCloud Wireless Controller?
Die "Platform Profile's" sind eigentlich Templates für einen entsprechenden FortiAP-S Device Modell. Dh. diese stellen die Funktionen zur Verfügung für einen Device. Per Standard wird jedem FortiAP-S ein "Platform Profile" zugewiesen sobald dieser registriert wird. Somit kann dieses "Platform Profile" für alle Devices des selben Type benutzt werden. Es empfiehlt sich jedoch in einer grösseren Installation für die Umgebung anhand der "Platform Profile" logische Unterteilungen zu konfigurieren. Beispiel: Existiert ein Gebäude mit 3 Stockwerken und man würde alle FortiAP-S über ein "Platform Profile" konfigurieren, ist dies unter Umständen nicht zu empfehlen speziell dann wenn die FortiAP-S sich untereinander sehen. Dies bedeutet wiederum: Wenn in diesem Gebäude 1 "Platform Profile" benutzt wird mit Channel 1/6/13 und aus irgendeinem Grund der "channel" für einen FortiAP-S gewechselt werden muss so wechselt jeder FortiAP-S den Channel da alle auf dem gleichen "Platform Profile" basieren. Die bessere Variante ist zB für jedes Stockwerk ein "Platform Profile" anzulegen und das entsprechende "Platform Profile" den FortiAP-S Device je nach Lokation im Gebäude zu zuweisen. Um ein "Platform Profile" zu erstellen gehe folgendermassen vor: Wähle im Menü folgendes:
Configure > Platform Profile > + Platform Profile
NOTE Damit für den Device dh. in unsere Beispiel FAP-S323C das korrekt Template zur Verfügung gestellt wird muss unter "Platform"
der entsprechende Device gewählt werden dh. FAPS33C. Die weiteren zu konfigurierenden Positionen siehe nachfolgende Artikel: FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_AP_Handoff.22.3F FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_Frequency_Handoff.22.3F FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Automatic_TX_Power_Control.22.3F FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22short_guard_intervall.22.3F FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F FortiAP-S:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_.28Interferences.29.3F
NOTE Die Positionen "AP Handoff" sowie "Frequency Handoff" im Zusammenhang mit "Client Load Balancing" stehen ab FortiCloud 2.5
nicht mehr zur Verfügung. Dabei ist Unklar was der Hintergrund ist!
Nachdem das entsprechende "Platform Profile" erstellt wurde, kann dieses dem entsprechenden FortiAP-S Device zugewiesen werden. Dazu wähle folgendes:
Access Point > AP List > [Wähle den entsprechenden FortiAP-S anhand der "checkbox"] > Change Platform Profile
Gehe nun auf "Change Platform Profile" und wähle das neu erstellte "Platform Profile" das wir im vorhergehenden Schritt erstellt haben:
NOTE Wenn auf dem FortiAP-S Device bereits "AP Tag's" resp. SSID's existieren, werden diese durch eine neue Zuweisung eines "Platform Profiles" nicht gelöscht. Zur Kontrolle kann dies über "Set AP Tag" für den entsprechenden Device Kontrolliert werden.
Nicht mehr benötigte "Platform Profile" können über folgendes Menü gelöscht werden sofern diese nicht in Verwendung sind:
Configure > Platform Profile
Wähle das entsprechende "Platform Profile" und danach erscheint Rechts Aussen ein entsprechendes Symbole um das "Platform Profile" zu löschen.
Radio Scan
Um was handelt es sich beim "Radio Scan" und wie soll ich diese Funktion konfigurieren/aktivieren?
Die Position "Radio Scan" im FortiCloud Wireless Controller steht im Zusammenhang mit "Background Scan", "Radiou Resource Provisioning" (DRRP) sowie "Auto TX Power". Dies bedeutet: Wird einer dieser Funktionen benutzt wird "Background Scan" im Hintergrund automatisch aktiviert. Dies wird mit folgenden Hinweis indiziert:
"The above setting will be used when Automatic TX Power Control or Radio Resource Provision or Rogue AP Scan is enabled"
Dies bedeutet wiederum: Speziell die Funktion "DRRP" resp. "Radio Resource Provisioning" ist unabdingbar und muss aktiviert werden. Aus diesem Grund wird "Background Scan" immer benutzt. Wenn es zu Problemen kommt, sollte die Position "Disable Background Scan during Specified Time" dementsprechend Konfiguriert werden dh. zB kein "Background Scan" während den Bürozeiten. Es kann auch der "Background Scan" Intervall heraufgesetzt werden. Dabei ist jedoch zu berücksichtigen das der "Background Scan" über Radio-1/2 des FortiAP-S wichtige Informationen sammelt im Hintergrund. Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's". Es wird empfohlen - als Ausgangslage - die Standard Konfiguration zu belassen dh. Wähle im Menü folgendes:
Configure > Miscellaneous
Die Einstellung sind Global und können nicht für jeden FortiAP-S durchgeführt werden. Wenn ein "Disable Background Scan during Specified Time" durchgeführt werden möchte, kann dies dementsprechend anhand eines "schedules" durchgeführt werden:
Authentication
Welche Authentication steht mir auf einem FortiCloud Wireless Controller zur Verfügung?
Ueber die FortiCloud resp. über den FortiCloud Wireless Controller stehen folgende Authentifizierungsmethoden zur Verfügung:
WPA2-Enterprise basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication" Für WPA2-Enterprse basierende Authentifizierung kann entweder ein eigener bestehender Radius Server konfiguriert werden oder ein zur Verfügung stehenden Radius Server (FortiCloud Authentication) auf dem FortiCloud Wireless Controller. Der eigene Radius Server muss mit den Standard Informationen wie "IP Adresse", "Port" sowie "Pre-Shared Key" eingebunden werden! Dabei ist zu beachten das der spezifizierte Port zB Radius 1812 für den Zugriff von aussen geöffnet werden muss.
WPA2-Personal basierend auf "Pre-shared Key" Diese Authentifizierungsmethode basiert auf einem "Pre-shared Key" der auf dem FortiCloud Wireless Controller definiert wird.
FortiCloud Captive Portal basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication" Wenn das "FortiCloud Captive Portal" definiert wird so wird das "Captive Portal" der FortiCloud Wireless Controller benützt. Zur Authentifizierung kann ein eigener Radius Server definiert werden oder einen Radius Server in der FortiCloud resp. einen "FortiCloud Authentication". Das Captive Portal auf dem FortiCloud Wireless Controller kann betreffend Text, Aussehen sowie Logo auf dem FortiCloud Wireless Controller konfiguriert resp. modifiziert werden!
"Eigenes Captive Portal" basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication" Wenn das eigene Captive Portal benutzt wird so muss im Environment ein eigenes Captive Portal zur Verfügung gestellt werden. Dies bedeutet: Anhand eines WebServers etc. wird ein eigenes Captive Portal im Environment zur Verfügung gestellt sowie über HTML die vers. API's konfiguriert und somit eingebunden. Dabei steht folgende Hilfe zur Verfügung:
Open Durch "Open" wird keine Authentifizierung durchgeführt dh. wenn ein User versucht eine Verbindung herzustellen mit einer SSID die auf "Open" gesetzt ist, wird diesem User ohne Authentifizierung eine IP zugewiesen!
Wie funktioniert die Roaming Funktion für Captive Portal auf einem FortiCloud Wireless Controller?
Ab FortiOS 5.4.1 im Zusammenhang mit FortiCloud Wireless Controller 3.0 tauschen FortiAP-S die sich im gleichen Subnet befinden Authentifizierungs Informationen aus! Der Austausch der Authentifizierungs Informationen zwischen den FortiAP-S wird Verschlüsselt durchgeführt anhand eines "32 bytes encrypt key) der vom FortiCloud Wireless Controller zu den FortiAP-S übermittelt wird. Dieser "encrypt key" wird "randomly" erstellt und zwischen den FortiAP-S die sich im gleichen Segment befindet ausgetauscht. Dies bedeutet ebenfalls speziell für das Captive Portal folgendes: Wenn ein User über das FortiCloud Captive Portal eine Authentifizierung durchführt basierend auf 802.1X oder PSK, muss sich der User durch den Austausch der Authentifizierungs Informationen der FortiAP-S im gleichen Subnet nicht abermals Authentifizieren, wenn er den FortiAP-S wechselt (fast roaming).
Welches Timeout gilt für User die sich an einer SSID Authentifizieren und wie kann ich dieses konfigurieren?
Wenn ein User sich an einer SSID Authentifiziert wird im Hintergrund ein Timeout definiert. Dies bedeutet: Ist ein User nach einer Authentifizierung zB WPA2-Privat "idle" (Timeout) muss dieser User nach dieser Zeit wiederum Authentifizieren (Standard Wert 5 Minuten). Dieser Wert des Timeouts wird über folgender Menüpunkt konfiguriert:
NOTE Die Position "Captive Portal User Authentication Timeout" definiert den Zeitraum wielange für einen User eine Authentifizierung gültig ist nach dem dieser sich über ein Captive Portal authentifiziert hat. Weitere Informationen siehe nachfolgender Artikel: FortiAP-S:FAQ#Kann_ich_ein_Timout_f.C3.BCr_das_Captive_Portal_betreffend_der_User_Autentifizierung_konfigurieren.3F
Wenn eine SSID Konfiguration erstellt wird muss berücksichtigt werden, dass eine SSID nicht direkt in den "Platform Profiles" definiert wird sondern eine SSID wird eine "AP Tag" hinzugefügt und dieser "AP Tag" dem Device. Wenn in der SSID auf der Position "Availability" die Standard Konfiguration belassen wird dh. "Available in all AP's" so wird die SSID "allen" FortiAP-S automatisch zugewiesen. Weitere Informationen über "AP Tag's" sowie "SSID" siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F
Für eine "WPA2-Privat" Authentifizierung erstellen wir im ersten Schritt einen entsprechenden "AP Tag" ("fortiap-s4intern"):
Configure > AP Tag
Nun wähle "+ AP Tag" und vergebe einen entsprechenden Namen:
Bestätige die Konfiguration und der ensprechende "AP Tag" wird aufgeführt jedoch ohne SSID:
Danach kann eine SSID konfiguriert und der "AP Tag" dieser SSID hinzugefügt werden:
Configure > SSID
NOTE Die UTM Features werden innerhalb der SSID konfiguriert und können zu einem späteren Zeitpunkt aktiviert werden!
NOTE In dieser Position wird nun der SSID den vorhergehenden "AP Tag" hinzugewiesen. In einem späteren Zeitpunkt wird dieser "AP Tag" der diese SSID beinhaltet dem FortiAP-S zugewiesen!
Um nun die neue "SSID" resp. den "AP Tag" dem FortiAP-S zu zuweisen, wähle folgendes:
Access Points > [Aktiviere den entsprechenden FortiAP-S mit der "checkbox] > Change AP Tags
Definiere nun den entsprechenden "AP Tag" und achte auf die Position "Overwrite existing AP Tags" dh. wenn ein "AP Tag" hinzugefügt werden soll muss die Position "Add to existing AP Tag" gewählt werden:
Danach wird der "AP Tag" für den entsprechenden FortiAP-S augelistet:
Nach dem Abschluss der Konfiguration kann getestet werden wobei zu berücksichtigen ist das dem FortiAP-S zur Aktualisierung der Konfiguration ca. 2 - 3 Minuten zugestanden werden sollte. Es stehen vers. Logs sowie Monitor Funktionien zur Verfügung um die Authentifizierung und die Verbindungsdetails zu kontrollieren. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Details_betreffend_User_Authentifizierung.3F [[FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Verbindungdetails_eines_Users.3F]
Wie konfiguriere ich eine lokale Gruppe sowie User für eine lokale "WPA2-Authentifizierung"?
Die Authentifizierungs Methode wird in der SSID definiert. Dabei können verschiedenen Authentifizierungs Methoden gewählt werden. Wichtig dabei ist das eine SSID nicht direkt in einem "Platform Profile" definiert werden kann sondern über einen "AP Tag" direkt auf dem entsprechenden Device. Somit beinhaltet ein "AP Tag" eine "SSID2 und dieser "AP Tag" wird dem Device zugewiesen. Weitere Informationen dazu siehe nachfolgende Artikel:
FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F
In unserem Beispiel gehen wird davon aus, dass wir eine "WPA2-Enterprise" Authentifizierung auf einer SSID konfigurieren möchten die für die Authentifizierung "FortiCloud User/Group" benutzt. Dieser "FortiCloud User/Group" basiert auf einem lokalen Radius Server. Als Grundlage für die Konfiguration muss eine Gruppe sowie User lokal erstellt werden. Wähle folgendes um eine lokale Gruppe zu erstellen:
Configure > FortiCloud User/Group > Group > + Group
Konfiguriere nun einen lokalen User und definiere diesen für die Gruppe die wir vorgängig erstellt haben ("group-local"):
Configure > FortiCloud User/Group > User > + User
NOTE Sobald der User erfasst wurde wird diesem über die definierte E-Mail Adresse eine Bestätigung versendet. Dem User ist es möglich über den entsprechenden Link der im E-Mail enthalten ist sein eigenes Passowort zu setzen. Dabei ist zu berücksichtigen das dieser Link nach dem versenden 1 Stunde gültig ist. Danach ist es dem User nicht möglich sein Passwort über den Link zu ändern. Nachfolgend ein Beispiel dieses E-Mails: --------------- Output confirmation E-Mail User --------------- Von: noreply@forticloud.com Gesendet: Donnerstag, 22. Oktober 2015 13:26 An: Andrea Soliva Betreff: Wifi access Hi Andrea Soliva, Here is your access to wireless network (SSID is not specified). User ID: solivaan Password: only4soliva To change password, please go to link https://www.forticloud.com/com.fortinet.gwt.Main/reset_ap_password_input.jsp?locale=&key=kj%2BSaQ4txsFnG8Vtq1waCVqyS9A3v3AM. The link will expire after one hour. FortiCloud --------------- Output confirmation E-Mail User ---------------
Als nächsten Schritt erstellen wir für unsere "WPA2-Enterprise" Authentifizierung einen "AP Tag":
Configure > AP Tags > + AP Tag
Nun konfigurieren wir eine SSID basierend auf "WPA2-Enterprise" und weisen den entsprechenden "AP Tag" hinzu sowie die erstellte Gruppe "group-local":
Configure > SSIDs > [Filter All] > + SSID
Definiere die entsprechende SSID für "WPA2-Enterprise" sowie die Authentifizierungs Methode "WPA2-Enterprise" sowie weise der Authentifizierungs Methode "FortiCloud User/Group" hinzu was den lokalen "Radius Server" darstellt. Zur Definition "FortiCloud User/Group" füge unsere erstellte "group-local" hinzu:
UTM Features können jeder Zeit nachträglich aktiviert und konfiguriert werden:
Nun muss die SSID zum "AP Tag" hinzugefügt werden:
Als Letzten Schritt muss nur der "AP Tag" dem entsprechenden Device zugewiesen werden damit der entsprechende Device durch den "AP Tag" die SSID beinhaltet:
Access Points > AP List > [Aktiviere den entsprechende Device anhand der "checkbox"] > Change AP Tags
Die Konfiguration der "AP Tag's" wird bestätigt unter der Position "AP Tag":
Die Konfiguration wurde abgeschlossen und kann nun getestet werden! Dabei ist jedoch zu berücksichtigen 2 - 3 Minuten vergehen zu lassen bevor man testet da zuerst die Konfig vom FortiAP-S vom FortiCloud Wireless Controller aktiviert werden muss! Eine erfolgreiche Authentifizierung resp. auch Error Meldungen können über das entsprechende Log kontrolliert werden in dem man im Log auf den entsprechenden Eintrag einen Mausklick ausführt um die Details einzusehen:
Logs > Wireless Logs
Um die Details des User der verbunden ist einzusehen kann der Monitor benutzt werden:
Monitor > Client > [Setze die entsprechende SSID]
Wie konfiguriere ich für ein Authentication im FortiCloud Account meinen "Eigenen Radius Server"?
Im FortiCloud Account ist es möglich seinen "Eigenen Radius Server" zu konfiurieren. Dieser wird über folgende Position und mit folgenden Informationen konfiguriert:
Configure > My RADIUS Server > + My RADIUS Server
NOTE Durch die Konfiguration/Erstellung des Radius Server wird keine Komunikation "zum" Radius Server ausgelöst um zB das "Server Secret" zu überprüfen. Der "Eigene Radius Server" kann jedoch bei der Konfiguration der SSID getestet werden zB Bei der Konfiguration eines "Captive Portal" anhand der Position "Test the Radius Server": NOTE Bei der Konfiguration auf dem Radius Server für den Eintrag des "Radius Client" ist zu beachten, dass als "EAP" Type "PEAP" gewählt wird ansonsten kommt es beim Testen mit dem entsprechenden User zu einer FehlerMeldung betreffend Authentifizierung!
Auf der entsprechenden Firewall die den Radius Server schützt muss ein Destination NAT konfiguriert werden damit der interne Radius Server für den FortiCloud Account erreichbar ist. Dabei ist als Source die IP zu konfigurieren für den FortiCloud Wireless Controller der die RADIUS Anfragen zum Radius Server sendet sowie im Radius Server den "Radius Server Client" der den "FortiCloud Account" darstellt mit dessen "Pre-Shared Key":
208.91.113.117 (apau.forticloud.com)
Weitere Informationen betreffend dieser IP und Komunikation zum FortiCloud Account siehe nachfolgender Artikel:
FortiAP-S:FAQ#Welche_Destinationen_.28IP_.2F_FQND.29.2C_Protokolle_sowie_Ports_benutzt_der_FortiAP-S_f.C3.BCr_die_Komunikation_in_die_FortiCloud.3F
Captive Portal
Kann ich ein Timout für das Captive Portal betreffend der User Autentifizierung konfigurieren?
Der FortiCloud bietet im Zusammenhang mit eine SSID die Möglichkeit ein Captive Portal zu konfigurieren. Für dieses kann im FortiCloud Account ein Timeout für die User definiert werden. Dies bedeutet: Dieses Timeout definiert wielange die Authentifizierung eines User gültig ist bevor dieser sich wiederum Authentifizieren muss. Der Standard Wert liegt bei 12 Stunden. Die Definition kann nicht Per SSID und Captive Portal definiert werden sondern nur auf globaler Ebene. Das Timeout wird über folgende Position definiert:
Configure > Miscellaneous > Timeout
NOTE Das "Client Idle Timeout" definiert das Timeout für einen User in einer nicht Captive Portal basierten Authentifizierung!
Gibt es die Funktion eines "Guest Provisioning im FortiCloud Account?
Im FortiCloud Account kann ein "Captive Portal" betrieben werden anhand einer lokalen User und Gruppe dh. anhand des lokalen Radius Server (FortiCloud User/Group) der im FortiCloud Account zur Verfügung gestellt wird. Zusätzlich bietet der FortiCloud Account ebenfalls die Funktion "Guest Provisioning" dies bedeutet: Anhand einer Gruppe die für "Guest" definiert wird und die einem "Captive Portal" zugewiesen wird, kann ein Administrator definiert werden der für diese Gruppe "Tickets" erstellen kann (Guest Provisioning) anhand dieser im "Captive Portal" zB für "Guests" eingeloggt werden kann. Die Basis damit eine Gruppe sowie ein Administrator für das "Guest Provisioning" konfiguriert werden kann ist eine "SSID" die entsprechend für "Guest" resp. "Captive Portal" konfiguriert wird. Wenn dies nicht durchgeführt wird steht diese Funktion nicht zur Verfügung. Um ein "Captive Portal" basierend auf "Guest Provisioning" zu konfigurieren siehe nachfolgender Artikel der Schritt für Schritt durch diese Konfiguration führt:
FortiAP-S:FAQ#Wie_konfiguriere_ich_ein_.22Captive_Portal.22_im_FortiCloud_Account_basierend_auf_.22Guest_Provisioning.22.3F
Kann ich im FortiCloud Account für "Guest Provisioning" die Informationen betreffend Ticket über E-Mail/SMS versenden?
Ja dies ist möglich jedoch nur basierend auf der "Guest Provisioning" Konfiguration in Zusammenhang mit einem "Captive Portal". Wie dieses zu konfigurieren ist siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_konfiguriere_ich_ein_.22Captive_Portal.22_im_FortiCloud_Account_basierend_auf_.22Guest_Provisioning.22.3F
Wenn ein "Guest Provisioning" anhand eines "Captive Portal" konfiguriert wurde so kann der Standard Administrator für den FortiCloud Account sowie zusätzlich definiert "Guest Manager" Administratoren "Tickets" für das "Captive Portal" erstellen. Diese Tickets werden für einen Standard Administrator über folgenden Menüpunkt erstellt:
Configure > FortiCloud User/Group > Guest > + Guest
Dabei ist zu unterscheiden zwischen "Multiple Guests" Funktion und einzelner "Guest" Erfassung:
Multiple Guests" NOTE Wenn "Multiple Guests" definiert wird kann die Anzahl der zu generierenden "Tickets" definiert werden. In unserem Beispiel "2". Zusätzlich kann ein "Präfix" definiert werden der dazu benützt wird um den "Usernamen" zu definieren. Ebenso, sofern gewünscht kann eine entpsrechende E-Mail Adresse definiert werden. Wird diese E-Mail Adresse definiert werden die Details der "Tickets" dieser E-Mail Adresse nach Bestätigung übermittlet. Nachfolgend ein Beispiel: --------------- Output confirmation E-Mail --------------- Von: noreply@forticloud.com Gesendet: Freitag, 23. Oktober 2015 09:08 An: Andrea Soliva Betreff: Wifi access Guest access to wireless network (SSID: fortiap-s4guest) has been generated. User ID - Password: gast-_Q38UP2 - PELKDDD8 gast-_9NIXEQ - J4GIEBVG --------------- Output confirmation E-Mail --------------- Die Dauer der "Tickets" unter "Expire after" bedeutet folgendes: Die Dauere eines Tickets wird definiert über den ersten Gebrauch für eine Authentifizierung dh. sobald eine Authentifizierung durchgeführt wird anhand eines "Tickets" ist dieses gemäss Definion "Expire after" solange gültig. Nachträglich nach dem die "Multiple Guests" Ticket definiert wurden sind diese unter folgenden Punkt ersichtlich: Configure > FortiCloud User/Group > Guests Nachträglich können diese Ticket gewählt werden und modifziert werden in Dauer (Expire after) oder an eine anderen E-Mail Adresse versenden, ein entsprechender Name setzen sowie das Passwort verändern: Ebenso ist es nachträglich möglich diese Ticket anzuwählen und diese per SMS zu versenden: Das SMS wird ca. in 5 Sekunden übermittelt und sieht folgendermassen aus: --------------- Output Absender "BulkSMS" +41 28 557 67 --------------- Guest access to wireless network (SSID: fortiap-s4guest). User ID: gast-_9NIXEQ Password: XFSTLCMC --------------- Output Absender "BulkSMS" +41 28 557 67 ---------------
Einzelne Guests" Alle die Vorgängig beschriebenen Funktionen dh. wie das "Ticket" über eine definierte E-Mail Adresse zu versenden oder über SMS usw. stehen für ein einzelnes "Ticket" direkt zur Verfügung und können nachträglich ebenfalls modifziert werden.:
Führt ein zusätzlich definierter Administrator als "Guest Manager" ein Login durch auf dem FortiCloud Account, steht diesem "nur" das "Guest Provisioning" zur Verfügung. Der "Guest Manager" sieht jedoch ebenfalls "alle" Tickets die in der Gruppe "guest" erstellt wurden durch andere Administratoren und kann diese ebenfalls modifzieren. Selbstverständlich kann dieser definierte "Guest Manager" selber neue "Tickets" erstellen:
Wie konfiguriere ich ein "Captive Portal" im FortiCloud Account basierend auf "Guest Provisioning"?
In den nachfolgenden Schritten wird gezeigt wie im FortiCloud Wireless Controller ein "Captive Portal" basierend auf "Guest Provisioning" konfiguriert wird. Um was es sich bei der Funktion "Guest Provisioning" handelt siehe nachfolgender Artikel:
FortiAP-S:FAQ#Gibt_es_die_Funktion_eines_.22Guest_Provisioning_im_FortiCloud_Account.3F
Als Erstes muss eine entsprechende "SSID" konfiguriert werden da diese die Basis darstellt für ein "Guest Provisioning". Ohne diese "SSID" basierend auf "Captive Portal" steht die Funktion "Guest Provisioning" nicht zur Verfügung. An erster Stelle bevor die "SSID" für "Captive Portal" konfiguriert wird muss ein "AP Tag" erstellt werden. Weitere Informationen zu "AP Tag's" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F
Wähle für die Erstellung des "AP Tag" folgendes:
Configure > AP Tags > + AP Tag
Nun kann die "SSID" Konfiguriert werden:
Configure > SSIDs > [Wähle "All" im Filter > + SSID
Wähle als Authentifizierungs Methode "Open". Definiere ein "Captive Portal" sowie als "Sign on Method" die Gruppe "Guest" die per Standard im FortiCloud zur Verfügung steht und die direkt mit dem "Guest Provisioning" in Zusammenhang steht:
NOTE Die Position "Redirect URL" hat zwei Funktionen dh. Wenn der User - da die Authentifizierung auf "Open" steht - ohne Interaktion, wenn er sich mit der SSID "fortiap-s4guest" verbindet eine IP vom zuständigen DHCP Server zugewiesen bekommt, ist es dem User möglich bereits eine URL zu öffnen. Wird dies durchgeführt so wird diese URL anhand der Konfgiuration "Orginal Request" zischen- gesepeichert und da "keine" Authentifizierung stattgefunden hat das "Captive Portal" angezeigt. Authentifiziert sich der User korrekt am "Captive Portal" wird der "Orginal Request" des Users resp. die URL ausgeführt. Anhand der Konfiguration "Specify URL" kann konfiguriert werden, dass anstelle der "Original Request" URL eine spezifizierte Seite angezeigt wird. Der "Orginal Request" des Users resp. der URL des Users geht bei dieser Konfiguration verloren. Ueber die Position "Walled Garden" kann eine IP sowie FQDN definiert werden für die es "keine" Authentifizierung benötigt. Dies bedeutet: Wird ein Domain Name zB also.com definiert und der User öffnet nach Zuweisung der IP über den DHCP Server den Browser und versucht "also.com" anzugehen wird "keine" Authentifizierung anhand des "Captive Portals" durchgeführt sondern die Anfrage wird erlaubt da im "Walled Garden" definiert. Auf diese Funktion wird mit folgen Hinweis hingewiesen: * IP address, domain name and sub-network address/mask are allowed. * To enter more than one value, separate the values with a comma.
NOTE Die entsprechenden UTM Features können jederzeit nachträglich aktiviert werden!
Im nächsten Schritt wird dieser neuen SSID den vorgängig erstellten "AP Tag" zugewiesen. Um die Sicherheit des "Guest" Zugang zu erhöhen kann über die Funktion "Schedule" der Zugang der SSID über eine zeitliche Definition eingeschränkt werden. Möchte man dies nicht durchführen und der "Guest" Zugang anhand dieser SSID soll jederzeit zur Verfügung stehen kann die Funktion "Schedule" von "Custome" auf "Allways" umgestellt werden:
Im nächsten Schritt kann das Aussehen, Inhalt sowie das Logo des "Captive Portal" definiert werden:
Nun muss für die "Guest Provisioning" Gruppe "guest" ein entsprechender Administrator erstellt werden. Wähle dazu folgenden Menüpunkt:
My Account > + Add User
Sobald der zusätzliche Administrator erfasst wurde, wird diesem ein E-Mail über die definierte E-Mail Adresse zugesendet. Nachfolgend ein Beispiel:
--------------- Confirmation E-Mail FortiCloud -------------- Von: noreply@forticloud.com Gesendet: Mittwoch, 21. Oktober 2015 14:06 An: Pirmin Roos Betreff: New User Confirmation at FortiCloud Thank you for using FortiCloud. To activate your account, please click on this link: https://www.forticloud.com/activate?key=DVfET%2B31cycgRAz10wofCmhoMU8j2nKqsfTly%2BpKDNHwaCS6fHN8j3KqoUIBK8fK8mq2WYQNc61P5KASaMcvPF%2Bve2AunxeWhNk%2B709sg08%3D Thanks, FortiCloud Admin --------------- Confirmation E-Mail FortiCloud --------------
Der neue Administrator hat 24 Stunden Zeit die Registration zu vollenden. Solange dies nicht durchgeführt wird bleibt der neue Administrator auf Status "Pending" und kann nicht benützt werden dh. kein Login ist möglich bevor die Registration nicht ordnungsgemäss durchgeführt wurde. Nach der Aktivierung des Accounts anhand des Links im zugestellten E-Mail kann der Administrator benützt werden und der Status des Administrators geht auf "Active":
Als letzten Schritt muss die SSID für das "Captive Portal" resp. für das "Guest Provisionig" dem entsprechenden Device anhand des "AP Tag's" hinzugewiesen werden:
Access Points > AP List > [Aktiviere die "checkbox" des entsprechenden Devices] > Change AP Tags
Die Konfiguration wird danach bestätigt mit der zusätzlichen konfigurierten SSID:
Damit die Konfiguration getestet werden kann muss ein entsprechendes "Ticket" (Guest Provisioning Funktion) erstellt werden anhand des definierte "Administrators" für "Guest Manager". Der Standard Administrator des FortiCloud Account hat diese Rechte ebenfalls und kann diese Tickets über folgende Position erstellen:
Configure > FortiCloud User/Group > Guest > + Guest
Dabei ist zu unterscheiden zwischen "Multiple Guests" Funktion und einzelner "Guest" Erfassung:
Multiple Guests" NOTE Wenn "Multiple Guests" definiert wird kann die Anzahl der zu generierenden "Tickets" definiert werden. In unserem Beispiel "2". Zusätzlich kann ein "Präfix" definiert werden der dazu benützt wird um den "Usernamen" zu definieren. Ebenso, sofern gewünscht kann eine entpsrechende E-Mail Adresse definiert werden. Wird diese E-Mail Adresse definiert werden die Details der "Tickets" dieser E-Mail Adresse nach Bestätigung übermittlet. Nachfolgend ein Beispiel: --------------- Output confirmation E-Mail --------------- Von: noreply@forticloud.com Gesendet: Freitag, 23. Oktober 2015 09:08 An: Andrea Soliva Betreff: Wifi access Guest access to wireless network (SSID: fortiap-s4guest) has been generated. User ID - Password: gast-_Q38UP2 - PELKDDD8 gast-_9NIXEQ - J4GIEBVG --------------- Output confirmation E-Mail --------------- Die Dauer der "Tickets" unter "Expire after" bedeutet folgendes: Die Dauere eines Tickets wird definiert über den ersten Gebrauch für eine Authentifizierung dh. sobald eine Authentifizierung durchgeführt wird anhand eines "Tickets" ist dieses gemäss Definion "Expire after" solange gültig. Nachträglich nach dem die "Multiple Guests" Ticket definiert wurden sind diese unter folgenden Punkt ersichtlich: Configure > FortiCloud User/Group > Guests Nachträglich können diese Ticket gewählt werden und modifziert werden in Dauer (Expire after) oder an eine anderen E-Mail Adresse versenden, ein entsprechender Name setzen sowie das Passwort verändern: Ebenso ist es nachträglich möglich diese Ticket anzuwählen und diese per SMS zu versenden: Das SMS wird ca. in 5 Sekunden übermittelt und sieht folgendermassen aus: --------------- Output Absender "BulkSMS" +41 28 557 67 --------------- Guest access to wireless network (SSID: fortiap-s4guest). User ID: gast-_9NIXEQ Password: XFSTLCMC --------------- Output Absender "BulkSMS" +41 28 557 67 ---------------
Einzelne Guests" Alle die Vorgängig beschriebenen Funktionen dh. wie das "Ticket" über eine definierte E-Mail Adresse zu versenden oder über SMS usw. stehen für ein einzelnes "Ticket" direkt zur Verfügung und können nachträglich ebenfalls modifziert werden.:
Führt ein zusätzlich definierter Administrator als "Guest Manager" ein Login durch auf dem FortiCloud Account, steht diesem "nur" das "Guest Provisioning" zur Verfügung. Der "Guest Manager" sieht jedoch ebenfalls "alle" Tickets die in der Gruppe "guest" erstellt wurden durch andere Administratoren und kann diese ebenfalls modifzieren. Selbstverständlich kann dieser definierte "Guest Manager" selber neue "Tickets" erstellen:
Nun kann die Konfiguration des "Guest Provisioning" getestet werden anhand der entsprechenden SSID sowie den entsprechenden "Tickets". Beachte dabei die Logs die eine Authentifizierung aufzeichnen sowie Verbindungsdetails der "Guest" User. Dazu siehe nachfolgende Artikel:
FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Details_betreffend_User_Authentifizierung.3F FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Verbindungdetails_eines_Users.3F
Wie kann ich ein Selfregistrations Portal für ein Gast WLAN Netz in der FortiCloud konfigurieren?
Es ist möglich ein Gast Netz zu konfigurieren, in welchen sich der User selbst registrieren kann. Um dies zu konfigurieren, muss eine SSID mit einer offenen Registration erfasst werden. Dabei wird über ein CaptivePortal die Sign on Method auf Self-Registerd-Guest eingestellt. Der Gast User, der sich mit dem WLAN verbinden will muss sich so zuerst selber registrieren. Sobald die Registration abgeschlossen ist, wird im per SMS ein Passwort zugesendet mit welchem er sich verbinden kann. Folgendermassen wird so ein Selfregistrationsportal über die FortiCloud konfiguriert:
Konfigurieren des guest-customer WLAN über die FortiCloud | |
---|---|
In der FortiCloud über das Menu AP Network auf Configure dann auf Add SSID gehen um die gast-customer SSID zu erstellen. | |
| |
Falls die entsprechende Lizenz vorhanden ist, können die UTM Features wunschgemäss konfiguriert werden:
wenn kein Profil konfiguriert werden soll kann dieser Schritt mit Next übersprungen werden. | |
| |
Mit der Option Schedule wird definiert, in welchem Zeitraum die GAST-SSID aktiv ist. Folgende Optionen stehen zu Verfügung:
Mit Next bestätigen und zum nächsten Konfigurations Punkt gelangen. | |
Die Login Seite kann nach eigenen Bedürfnisse noch angepasst werden. Es kann ein Logo hochgeladen werden. Die Textfarbe und die Hintergrundfarbe angepasst werden. | |
Der Titelbereich kann mit einer eigenen Hintergrundfarbe angezeigt werden. Diese Farbe wird über das Feld Color konfiguriert. Die Textfarbe des Titels wird im Feld Text Color definiert. | |
Im Tab Self-Registered kann die Eingabe Maske noch mit einem Disclaimer im Textfeld ergänzt werden.
| |
Es wird eine Zusammenfassung der Konfiguration angezeigt. Sobald mit apply bestätigt wird, ist die Konfiguration abgeschlossen. Es wird die neu erfasste SSID (in unserem Fall guest-customer) mit den Parametern angezeigt. Die Konfiguration der SSID wird auf die entsprechenden FortiAP deploeyed und ist aktiv. | |
Map
Wie definiere ich einen FortiAP-S für die Funktion "Map and Floor Plan"?
In der FortiCloud steht eine Funktion zur Verfügung die sich "Map and Floor Plan" nennt. Diese Funktion ist absolut Optional und visualisiert einen FortiAP-S verbund anhand einer Geografischen Karte sowie über Stockwerke. Um einen FortiAP-S grundsätzlich zur "Map" hinzu zu fügen wähle folgendes:
Access Points > Map and Floor Plans > Set APs Position
Wähle nun den FortiAP-S (not defined) anhand eines Mausklicks oder wähle das Symbole (in Form eines Hauses) um die entsprechende Adresse zu editieren:
Nun gebe die vollständige Adresse ein für den Standord des Access Points:
Nach dem Bestätigen des Standorts resp. der Adresse für den FortiAP-S wird dieser in der "Map" gemäss der Adresse dargestellt:
Eine andere Variante ist den FortiAP-S über eine Stockwerkplan in der MAP darzustellen. Dazu muss das Gebäude sowie der Stockwerkplan definiert werden. Dieser wird dann später wiederum in der "Map verwendet. Somit wird mit Stockwerkplan und Gebäude gearbeitet muss die Information betreffend dem FortiAP-S in der "Map" gelösch werden. Definiert ein entsprechendes Gebäude und Stockwerkplan. Wähle folgender Menüpunkt:
Access Points > Map and Floor Plans > Set APs Position
Vergewissere dich das der FortiAP-S nicht definiert ist/wurde und wenn dies der Fall ist markiere diesen und löschen die Informatione mit dem entsprechenden Symbole (X):
Danach wähle die folgende Position:
Access Points > Map and Floor Plans > Edit Floor Plan
In der "Toolbar" wähle "New":
Nun definiere den Stockwerkplan sowie die Informationen des Gebäudes:
NOTE Als Stockwerkplan kann ein .jpg, .gif usw. verwendet werden!
Nach dem Bestägigen wir der Stockwerkplan anhand der Adresse in die "Map" eingefügt. Diese "Map" kann anhand der "Toolbar" vergrössert, verkleinert usw. verändert werden. Wenn die Modifikationen in Grösse, Transparenz etc. durchgeführt wurde bestätige mit "Apply":
Nun gehe wieder zurück zur Position "Set APs Position" und platziere den FortiAP-S anhand des Symbols (Kleines Häuschen) in den vorhandenen Stockwerkplan:
Access Points > Map and Floor Plans > Set APs Position
Sobald die Konfiguration abgeschlossen ist kann die "Map" mit dem Stockwerkplan eingesehen werden resp. den FortiAP-S angewählt werden:
Access Points > Map and Floor Plans
Kann ich einen "Map and Floor Plan" heranziehen um festzustellen ob "overlapping channels" am Standort existiert?
Ausgehend davon das eine korrekte Konfiguration durchgeführt wurde für "Map and Floor Plan" kann diese Konfiguration die ein FortiAP-S auf einen Standort visualisiert herangezogen werden ob ein "overlapping channel" am Standort existiert (Interferences). Weiter Informationen dazu wie "Map and Floor Plan" konfiguriert wird siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_definiere_ich_einen_FortiAP-S_f.C3.BCr_die_Funktion_.22Map_and_Floor_Plan.22.3F
Voraussetzung, dass "overlapping channels" dh. Interferences angezeigt werden, ist das die "Rogue AP" Funktion, "Radio Resource Provisioning" sowie "Automatic TX Power Control" aktiviert ist dh. diese Funktionen stehen im Zusammenhang mit "Radio Scan". Dies bedeutet: "Radio Scan" wird nur dann genutzt wenn einer der Funktionen aktiviert ist. Damit "overlapping channels" verhindert werden können resp. damit der FortiAP-S den "channel" automatisch wechseln kann muss "Radio Resource Provisioning" aktiviert werden. Zusätzlich sollte "Rogue AP" Funktion aktiviert werden um nicht authorisierte Access Points zu erkennen die mit der gleichen SSID wie unsere FortiAP-S konfiguriert sind. "Automatic TX Power Control" steht ebenfalls im direkten Zusammenhang mit "Radio Scan" jedoch nur in dem Konsenz - dass durch diese Funktion verhindert wird - dass sich zwei FortiAP-S im gleichen Verbund sich durch ihre "channels" selber stören (Interferences). Somit ist "Automatic TX Power Control" nur dann zu aktivieren wenn sich zwei FortiAP-S mit dessen Signal überlappen und sich somit gegenseitig stören. Weitere Informationen zu den Funktionen siehe nachfolgende Artikel:
FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F FortiAP-S:FAQ#Um_was_handelt_es_sich_beim_.22Radio_Scan.22_und_wie_soll_ich_diese_Funktion_konfigurieren.2Faktivieren.3F FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
Alle diese Funktionen werden im "Platform Profile" konfiguriert das einem entsprechenden FortiAP-S Device zugewiesen wird. Weitere Informationen wie ein "Platform Profile" konfiguriert wird siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
Wenn alle diese Voraussetzung gegeben sind und die Funktionen aktiviert resp. konfiguriert wurden sieht man die "overlapping channels" resp. die Interferences unter folgender Position in der Funktion "Map and Floor Plan":
Access Points > Channel Planning
In diesem Beispiel wird aufgezeigt das 3 Devices eine Interference schaffen. Um festzustellen "welche" Access Point diese Interferences produziert kann die Funktion "Rogue AP" Monitor benutzt werden um festzustellen welcher Access Point diese Interferences produziert sowie welche "channels" bereits benutzt werden und welche zu selektieren sind im "Profile Platform" das diese nicht benutzt werden. Dies gilt vorallem im 2.4 GHz Bereich da in diesem Bereich das Risiko von Interferences hoch ist. Weitere Information über diesen Monitor siehe nachfolgender Artikel:
FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F
Eine weitere Möglichkeit ist der "Dedicated Monitor" der auf "Radio-1/2" aktiviert werden kann um an die nötigen Informationen zu komen. Weitere Information zu den "overlapping channels" resp. Interferences siehe auch nachfolgender Artikel:
FortiAP-S:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_.28Interferences.29.3F
Logs / Monitor
Im welchem Log im FortiCloud Account sehe ich die Details betreffend User Authentifizierung?
Die Details einer User Authentifizierung sieht man in der nachfolgende Position. Wenn ein Log Eintrag mit einem Mausklick markiert wird werden die Details für den Log Eintrag ersichtlich:
Im welchem Log im FortiCloud Account sehe ich die Verbindungdetails eines Users?
Wenn ein User korrekt Authentifiziert sieht man die Details wie Singalstärke, 2.4 GHz oder 5 GHz, IP, MAC Adresse usw. im folgenden Monitor:
NOTE Die entsprechenden Einträage sind nur dann ersichtlich wenn eine Verbindung existiert dh. dieser Monitor ist ein "Real-Time" Monitor und enthält keine History!
Reports
Wo kann ich Reports konfigurieren sowie diese Automatisch per E-Mail zustellen?
Grundsätzlich steht die Report Funktion unter folgender Position zur Verfügung:
Report > Summary Report
Diese Reports stehen per Standard zur Verfügung und können anhand der Filter "realtime" aufbereitet werden:
Wird in diesem Filter "Specify" gewählt kann anhand eines Kalenders Start Datum/Zeit sowie End Datum/Zeit gewählt werden für einen Report:
Unter der Position "Generated Reports" muss unterschieden werden zwischen "All History" Report und einem "Scheduled" Report. Der "Scheduled" Report stellt den Report dar der auf dieser Seite als "Summary Report" dargestellt wird mit allen Details:
Dies bedeutet auch: Möchte man den "Summary Report" über eine E-Mail Adresse zugestellt bekommen und/oder Täglich, Wöchentlich sowie Monatlich ausführen, muss dies über "Scheduled" Menüposition konfiguriert werden:
Somit möchte man zB zwar Täglich, Wöchentlich sowie Monatlich einen Report generieren jedoch nur den "Wöchentlichen" über E-Mail zustellen kann folgendes konfiguriert werden:
NOTE Wenn ein Administrator konfiguriert wurde damit dieser über "E-Mail" Reports erhält, hat dieser Administrator die Möglichkeit über den zugestellten Report diesen abzubestellen (unsuscribe). Dazu steht in jedem dieser zugestellten "E-Mails" mit den konfigurierten Reports ein entsprechender Link zur Verfügung: "If you no longer want to receive this report via e-mail, please unsubscribe."
Alle erstellen Reports werden unter "History Reports" abgelegt und können dort eingesehen, per E-Mail versendet, runtergeladen sowie gelöscht werden. Wenn eine Zeile markiert wird, stehen diese Funktionen als Symbole Rechts Aussen zur Verfügung:
Generated Reports > All History Reports
Um wieder zur Ausgangslage im Menü zurück zu geladen benütze die Menüposition Rechts Aussen "Current Report". Nachfolgend ein Beispiel eines Standard Reports als PDF:
Datei:Summary-Report-alsochlu-fap-s-2015-10-23-00 00-2015-10-24-00 00.pdf
Kann ich die Reports die im FortiCloud per Standard existieren abändern?
Die Reports die im FortiCloud per Standard existiren können modifiziert werden jedoch nur in einigen belangen. Dies bedeutet unter der folgenden Position steht der Standard Report zur Verfügung:
Report > Summary Report
Diese Reports sind aufgeteilt in "Report Block". Dies bedeutet: Wählt man "New Report Block" wird ein neuer "Report Block" oberhalb des bestehenden erstellt:
Danach kann dieser "Report Block" mit "Chart's" abgefüllt werden:
Wähle zB "Security Summary":
Nun können im "Chart" verschiedenen Einstellungen resp. Filter hinzugefügt werden:
Um die Konfiguration zu bestätigen klicke auf "Run". Danach wird das neue "Chart" mit den Daten angezeigt:
NOTE Jedes bestehende und neue "Chart" kann so modifiziert werden dh. in jedem "Report Block" resp. "Chart" stehen sobald diese markiert werden vers. Symbole zur Verfügung die es erlauben den Inhalt der "Chart's" zu modifzieren betreffend verschiedener Aspekte wie zB benutzte SSID, FortiAP-S usw.
Um oberhalb des neuen "Report Block" einen Text resp. Ueberschrift hinzu zufügen wähle im "Report Block" Rechts das Symbole und danach "New Section Title":
Vergebe eine "Section Tile" und bestätige mit "Save":
Wenn in "einem" der "Report Block's" Rechts Aussen unter dem Symbole "Reset Report" gewählt wird gehen "sämtliche" neuen Konfigurationen verloren und der Standard Report wird zurückgestellt auf die Ausgangslage!
Was bedeutet die Position "PCI Report" unter dem Menüpunkt "Reports"?
Unter dem Menüpunkt "Report" existiert ein Menüpunkt "PCI Report". Unter diesem Menüpunkt findet man folgende Beschreibung:
"It will check your AP network settings for compliance with PCI DSS 3.0"
Dies bedeutet: PCI DSS (PCI Security Standards Council) ist ein internationales, offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten. Die Aufgabe des PCI Security Standards Council ist es, durch Information, Weiterbildung und Aufklärung über die PCI Security Standards die Sicherheit von Zahlungs- und Kontodaten zu erhöhen. Die Organisation wurde von American Express, Discover Financial Services, JCB International, MasterCard und Visa, Inc. gegründet. Weitere Informationen dazu siehe nachfolenden Link:
https://de.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php
Kurz gesagt es geht hier wie ähnlich bei den ISO Normen um Einhaltung von gewissen Grundlagen. Im FortiCloud stellt Fortinet so ein Report zur Verfügung. Damit dieser erstellt werden kann müssen einige Fragen beantwortet werden wie zB "Werden Accounts oder Passwörter geteilt" usw. Durch diesen Fragen wird nachträglich ein Report ersteltl der wiederum Auskunft gibt ob der PCI DSS 3.0 Standard eingehalten wird und auf welchen Position dieser nicht eingehalten wird oder mit Vorbehalt:
Entsprechend der Abbildung sieht dann ein entsprechender Report folgendermassen aus:
Datei:61967-1445865458205.pdf
Konfiguration
Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)?
ARRP "Automatic Radio Resource Provisioning" oder DRRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "Channels" für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet nichts anderes als: Wenn diese Position aktiviert ist sucht sich der FortiCloud Wireless Controller den oder die besten "channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird im Hintergrund durch die Funktion "Radio Resource Provisioning" evaluiert und falls notwendig dem FortiAP-S mitgeteilt damit dieser auf den neuen -sofern nötig- "channel" wechseln kann. Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung das man sich im klaren ist, welche "channel's" in der Umgebung benutzt werden. Dies kann über die "Rogue AP" und dessen Funktion eruiert werden! Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen unter den "channel's" zu verhindern. DARRP (Radio Resource Provisioning")wird im entsprechenden "Platform Profile" (Radio-1/2) konfiguriert. Betreffend der Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
Was bedeutet der Konfigurationspunkt "Rogue AP’s"?
"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären FortiAccessPoint/FortiAP-S Verbund/Netzwerk gehört. Dies "kann" zB bedeuten: illegale betriebenen Access Points mit gleicher SSID wie für die regulären FortiAP-S konfiguriert wurde oder fremde Access Point's die durch deren SSID Broadcast erkannt werden. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Diese Funktion liefert ebenfalls Informationen welche "channels" in der Umgebung bereits benutzt werden und welche "channels" für den FortiAP-S speziell im 2.4 GHz Bereich gewählt werden sollten. Um den FortiAP-S für "AP-Scan" zu aktivieren muss im "Platform Profile" die entsprechende Position "Rogue AP Scan" auf den Radio-1/2 aktiviert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
Wenn die Funktion aktiviert wurde im "Platform Profile" sowie dieses einem FortiAP-S zugewiesen wurde, kann über folgende Position die "Rogue AP" Daten eingesehen werden:
Monitor > Rogue AP
Was bedeutet der Konfigurationspunkt "Client Load Balancing AP Handoff"?
Die Funktionsweise des "Forti Access Point Handoff" ist die folgende: Ein "Handoff" wird durch den FortiAP-S ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem FortiAP-S den gesetzten "threshold" übersteigt, wird der WiFi Client angewiesen auf den nächsten FortiAP-S und/oder Radio zu wechseln. Für diesen Wechsel - der "Hand-off" genannt wird - ist die Signalstärke des Client entscheidend (RSSI threshold). Dieser Wert erhält der Client vom zuständigen FortiAP-S. Um zu verhindern das ein Zugriff auf den Client (durch FortiAP-S) verhindert wird, werden wiederholende Anfragen zum FortiAP-S - durch den WiFi Client auf dem FortiAP-S auf dem der WiFi Client momentan verbunden ist - akzeptiert. Diese Funktion nennt man "soft-limit". Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Handoff"?
Diese Funktion wird benutzt im Zusammenhang mit dem "Client Load Balancing". Die Funktionsweise des "Client Load Balancing Frequency Handoff" ist die Folgende: Der FortiCloud Wireless Controller überprüft in gewissen Abständen die WiFi Client's betreffend Ihrer Band-Fähigkeit (Frequenzen 2.4 GHz / 5 GHz)! Ebenfalls wird durch den FortiCloud Wireless Controller betreffend dem WiFi Client die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer WiFi Client sich verbinden will, überprüft der FortiCloud Wireless Controller die MAC Adresse des Client und schaut gleichzeitig in den "Tabellen" nach, in denen die verschiedenen Informationen abgelegt sind wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiCloud Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht dh. 2.4 GHz und/oder 5 GHz:
• Wenn der WiFi Client über "kein" Dual-Band verfügt: Wird dem WiFi Client erlaubt sich mit dem FortiAP-S(2.4 GHz) zu verbinden! • Wenn der WiFi Client über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiCloud Wireless Controller nicht auf die Anfrage betreffend 2.4 GHz sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den FortiAP-S zu verbinden. Um zu verhindern, dass ein Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum FortiAP-S durch den WiFi Client auf dem FortiAP-S auf dem sich der WiFi Client verbinden will akzeptiert.
NOTE Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden
wird automatisch 5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices.
Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
Was bedeutet der Konfigurationspunkt "Automatic TX Power Control"?
Bei "Automatic TX Power Control" handelt es sich um die Stärke des Signals für ein FortiAP-S! Benützt werden kann diese Funktion, wenn zwei FortiAP-S zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Automatic TX Power Control" herabgesetzt werden oder automatisiert werden. Dies bedeutet folgendes:
• Ist das Signal grösser als 70dBm wird der "Automatic TX Power Control" auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt! • Ist das Signal kleiner als 70dBM wird der "Automatic TX Power Control" auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
NOTE Die Informationen über die Signalstärke wird durch den FortiCloud Wireless Controller über die FortiAP-S gesammelt und ausgewertet.
Aus diesem Grund erkennt der FortiCloud Wireless Controller ein "channel overlapping" innerhalb der FortiAP-S Verbund. Desweiteren
ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das
wenn 50% TX Power benützt wird folgendes gilt:
50% of 100mW = 50mW was wiederum 17dBm entspricht
0 dBm = 1 mW
3 dBm = 2 mW
6 dBm = 4 mW
9 dBm = 7.9 mW
12 dBm = 15.8 mW
15 dBm = 31.6 mW
18 dBm = 61.1 mW
21 dBm = 125.9 mW
24 dBm = 251.2 mW
Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
Was bedeutet der Konfigurationspunkt "short guard intervall"?
"Guard Intervalle", auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt, um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen, gegen die digitale Daten, die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei, wie störanfällig eine Übertragung ist. Je länger ein solches Intervall ist, desto besser schützt es gegen Störungen, desto geringer wird allerdings auch die Kanaleffektivität (Performance).
802.11 Guard Interval Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen, fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines "short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und / oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung könnte entwickelt werden, um herauszufinden ob ein Short Guard Intervall von Vorteil wäre. Um die Komplexität zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance zu erhöhen.
NOTE Wie erklärt dient dieser Konfigurtionspunkt der Performance resp. um diese zu erhöhen. Jedoch kann dieser
Konfigurationspunkt auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser
Konfigurationspunkt in der ersten Phase nicht zu benutzen resp. zu deaktivieren!
Was bedeutet "overlapping wifi channels" (Interferences)?
Wireless-Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channels) genannt. Einer der Gründe, dass eine WiFi Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird und somit die Verbindung beeinträchtigt wird (Interferences). Somit sollte man dieses "overlapping" möglichst verhindern. Nachfolgend eine Abbildung für den 2.4 sowie 5 GHz Bereich des "overlapping":
Datei:Fortinet-330.jpg
Um herauszufinden welchen Kanal in der Umgebung verwendet wird, kann die "Dedicated Monitor" Funktion im entsprechenden "Platform Profile" benutzt werden. Dies bedeutet: man setzt einen "Radio" auf einem Access Point in den "Monitor" Modus (Dedicated Monitor) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Wir die in einem entsprechenden "Platform Profile" für ein FortiAP-S aktiviert kann nach einigen Minuten die Informationen im Log ausgelesen werden. Dazu muss jedoch die entsprechende Spalte (Column Settings) für den "Channel" eingeblendet werden:
Logs > Wireless Logs
Danach kann die beste Variante speziell im 2.4 GHz Bereich gewählt werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Alle Kanäle anzuwählen und "Radio Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar die "Radio Resource Provisioning" Funktion zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zu "Radio Resource Provisioning" siehe nachfolgender Artikel:
FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F NOTE Für den 2.4 GHz Bereich sind meistens Kompromisse einzugehen dh. in einer Stadt sind Interferencen fast unumgänglich dh. man lässt zB nur 3 Kanäle frei zwischen den gewählten Kanälen. Wichtig ist in allen Bereichen einen Kanal zu wählen dh. im unteren, mittleren und oberen Segment. Ebenso kann durch die Funktion "Frequency Handoff" verhindert werden das der 2.4 GHz Bereich überhaupt benutzt wird denn diese Funktion erkennt ob der WiFi Client über 5 GHz Möglichkeiten verfügt und weist den WiFi Client an von 2.4 GHz auf 5 GHz zu wechseln da der 5 GHz Bereich über massiv weniger durch "Interferences" beinträchtigt wird. Weitere Informationen dazu siehe nachfolgender Artikel: FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_Frequency_Handoff.22.3F
CLI
Welche Kommandos stehen auf einem FortiAP-S auf CLI zur Verfügung?
Wie bei den FortiAP steht auch auf den FortiAP-S über CLI verschiedenen Kommandos (BusyBox v1.19.4) zur Verfügung. Nachfolgend die wichtigsten Kommandos im Ueberblick:
# help help Display this text ? Synonym for 'help' exit Exit brctl cfg dmesg cw_debug cw_diag cw_test_led cw_test_radio diag_console_debug diag_debug_crashlog factoryreset fap-get-status fap-set-hostname get radartool reboot restore tftp utm_diag kp cw_diag kernel-panic ut cw_diag uptime bd cw_diag baudrate sta cw_diag ksta dv cat /proc/net/dvlan/debug klog cw_diag repeat 1000000 1 "dmesg -c" ton cw_diag --tlog on toff cw_diag --tlog off con cw_diag --clog on coff cw_diag --clog off fon cw_diag --flog 16 foff cw_diag --flog 0 don cw_debug app cwWtpd 0x7fff doff cw_debug app cwWtpd 0 wcfg cw_diag -c wtp-cfg rcfg cw_diag -c radio-cfg vcfg cw_diag -c vap-cfg perf cw_diag sys-performance scanclr cw_diag -c scan-clr-all apscan cw_diag -c ap-scan stascan cw_diag -c sta-scan txq0 iwpriv wifi0 get_txq_dump;dmesg txq1 iwpriv wifi1 get_txq_dump;dmesg crash diag_debug_crashlog read br brctl show brm brctl showmacs nt cw_diag -c net-topo cld cw_diag -c fcld-cfg cldc rm /tmp/wtp.cldc.*; rm /etc/ftnt/wtp.cldc.* kv ft_dbg_kvar -g ka ft_dbg_kvar -s
# [fap-get-status | get system status] Version: FortiAP-S323C v5.4,build0121,150722 (GA) Serial-Number: PS323C3U15000216 BIOS version: 04000002 System Part-Number: P17651-03 Regcode: E Base MAC: 08:5b:0e:eb:bb:54 Hostname: PS323C3U15000216 Branch point: 121 Release Version Information: GA
# fap-set-hostname Usage: fap-set-hostname <new hostname>
# get ? Usage: get system status get current info get cfg all|VAR_NAME
# get current info S_RADIO_MODE_0: AP S_RADIO_BAND_0: invalid S_RADIO_TXPOWER_0: 31 S_RADIO_OPER_CHAN_0: 0 S_RADIO_MODE_1: AP S_RADIO_BAND_1: invalid S_RADIO_TXPOWER_1: 31 S_RADIO_OPER_CHAN_1: 0 S_IP_ADDR: 0.0.0.0 S_NETMASK: 0.0.0.0 S_GATEWAY: 0.0.0.0 S_CURR_STATE: 0 S_AC_IP: 0.0.0.0 S_DNS_IP: 208.91.112.53 # get current info S_RADIO_MODE_0: AP S_RADIO_BAND_0: invalid S_RADIO_TXPOWER_0: 31 S_RADIO_OPER_CHAN_0: 0 S_RADIO_MODE_1: AP S_RADIO_BAND_1: invalid S_RADIO_TXPOWER_1: 31 S_RADIO_OPER_CHAN_1: 0 S_IP_ADDR: 0.0.0.0 S_NETMASK: 0.0.0.0 S_GATEWAY: 0.0.0.0 S_CURR_STATE: 0 S_AC_IP: 0.0.0.0 S_DNS_IP: 208.91.112.53
# get cfg all BAUD_RATE: 9600 ADMIN_TIMEOUT: 5 ADDR_MODE: DHCP AP_IPADDR: 192.168.1.2 AP_NETMASK: 255.255.255.0 IPGW: 192.168.1.1 AP_MODE: 0 DNS_SERVER: 208.91.112.53 STP_MODE: 0 AP_MGMT_VLAN_ID: 0 TELNET_ALLOW: 0 HTTP_ALLOW: 1 DDNS_ENABLE: 0 DDNS_PORT: 443 DDNS_SERVER: 0 DDNS_UNIQUE_LOCATION: FortiAP AC_DISCOVERY_TYPE: 0 AC_IPADDR_1: 192.168.1.1 AC_HOSTNAME_1: _capwap-control._udp.example.com AC_DISCOVERY_MC_ADDR: 224.0.1.140 AC_DISCOVERY_DHCP_OPTION_CODE: 138 AC_DISCOVERY_FCLD_APCTRL: AC_DISCOVERY_FCLD_ID: AC_DISCOVERY_FCLD_PASSWD_ENC: AC_CTL_PORT: 5246 AC_DATA_CHAN_SEC: 2 MESH_AP_TYPE: 0 MESH_AP_SSID: fortinet.mesh.root MESH_AP_BSSID: MESH_AP_PASSWD_ENC: MjAyMDIwMjAyMDIwMjAyMDBlMmUyNDIzM2Y2ZjIyNGYyZDM1 MESH_ETH_BRIDGE: 0 MESH_MAX_HOPS: 4 MESH_SCORE_HOP_WEIGHT: 50 MESH_SCORE_CHAN_WEIGHT: 1 MESH_SCORE_RATE_WEIGHT: 1 MESH_SCORE_BAND_WEIGHT: 100 MESH_SCORE_RSSI_WEIGHT: 100 SURVEY_SSID: FAP_SURVEY SURVEY_TX_POWER: 30 SURVEY_CH_24: 6 SURVEY_CH_50: 36 SURVEY_BEACON_INTV: 100 QUICK_SETUP_MODE: 0
# cw_test_radio -h /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
# diag_console_debug -h Usage: diag_console_debug <on|off> --turn on/off console log message
# diag_debug_crashlog Usage: diag_debug_crashlog clear --clear crash log diag_debug_crashlog read --read crash log and print
# cfg -h cfg -h - output this help cfg -r var - remove variables cfg -e - export variables cfg -s - list variables cfg -x - resetting to factory defaults cfg -c - commit the change to flash cfg -a var=value - add or change variables Supported Variable Names: BAUD_RATE 9600, 19200, 38400, 57600, 115200 WTP_NAME WTP_LOCATION FIRMWARE_UPGRADE LOGIN_PASSWD ADMIN_TIMEOUT Telnet and GUI session admin timeout in minutes [0-480] ADDR_MODE DHCP, STATIC AP_IPADDR AP_NETMASK IPGW AP_MODE 0(Thin AP), 2(Site Survey) DNS_SERVER STP_MODE 0(disabled), 1(enabled), 2(disabled with blocked WAN port switch) AP_MGMT_VLAN_ID TELNET_ALLOW HTTP_ALLOW DDNS_ENABLE DDNS_PORT DDNS_SERVER 0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com) DDNS_UNIQUE_LOCATION AC_DISCOVERY_TYPE 0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud) AC_IPADDR_1 AC_IPADDR_2 AC_IPADDR_3 AC_HOSTNAME_1 AC_HOSTNAME_2 AC_HOSTNAME_3 AC_DISCOVERY_MC_ADDR AC_DISCOVERY_DHCP_OPTION_CODE AC_DISCOVERY_FCLD_APCTRL AC_DISCOVERY_FCLD_ID AC_DISCOVERY_FCLD_PASSWD AC_DISCOVERY_FCLD_PASSWD AC_CTL_PORT AC_DATA_CHAN_SEC 0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled) MESH_AP_TYPE 0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support) MESH_AP_SSID MESH_AP_BSSID MESH_AP_PASSWD MESH_AP_PASSWD MESH_ETH_BRIDGE Only take effect with MESH_AP_TYPE 1(mesh) AP MESH_MAX_HOPS MESH_SCORE_HOP_WEIGHT MESH_SCORE_CHAN_WEIGHT MESH_SCORE_RATE_WEIGHT MESH_SCORE_BAND_WEIGHT MESH_SCORE_RSSI_WEIGHT SURVEY_SSID SURVEY_TX_POWER SURVEY_CH_24 SURVEY_CH_50 SURVEY_BEACON_INTV
# cw_diag help cw_diag usage: cw_diag help --show this usage cw_diag uptime --show daemon uptime cw_diag --tlog <on|off> --turn on/off telnet log message. cw_diag --clog <on|off> --turn on/off console log message. cw_diag --flog <size in MB> --turn on/off log message to /tmp/var_log_wtpd. cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200] cw_diag kernel-panic [size [ID]] --show saved kernel panic log fromflash cw_diag kernel-panic clear --clear saved kernel panic log from flash cw_diag k-dvlan-debug [0-15] --enable/disable kernel dynamic vlan debug cw_diag plain-ctl [[0|1] | clear] --show, set or clear current plain control setting cw_diag sniff-cfg [[ip port] | clear] --show, set or clear sniff server ip and port cw_diag sniff [intf [0|1|2] | clear] --show, set or clear sniff setting on intf cw_diag stats wl_intf --show wl_intf status cw_diag deauth wl_intf sta-mac --deauthenticate the sta from wl_intf cw_diag disassoc wl_intf sta-mac --disassociate the sta from wl_intf cw_diag ksta [HHHH] --show clients on the FortiAP cw_diag wl-log --get wlan's beacon/probe related info cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width cw_diag pkt-pattern [rId] --show traffic packet length info. cw_diag repeat cnt intv cmd --run cnt times of cmd at intv interval cw_diag sys-performance --show CPU load and memory usage cw_diag clear debug --clear all debug settings cw_diag show debug --show all debug settings cw_diag show control --show all -c settings cw_diag show all --show all debug and -c settings cw_diag -c wtp-cfg --show current wtp config params in control plane cw_diag -c fcld-cfg --show current forticloud client config cw_diag -c radio-cfg --show current radio config params in control plane cw_diag -c ssid --show current configrued SSIDs cw_diag -c vap-cfg --show current vaps in control plane cw_diag -c ap-rogue --show rogue APs pushed by AC for on-wire scan cw_diag -c sta-rogue --show rogue STAs pushed by AC for on-wire scan cw_diag -c arp-req --show scanned arp requests cw_diag -c ap-scan --show scanned APs cw_diag -c sta-scan --show scanned STAs cw_diag -c sta-cap --show scanned STA capabilities cw_diag -c sta-locate --show scanned STA locate data cw_diag -c sta-locate-reset [level] --reset scanned STA locate data cw_diag -c wids --show scanned WIDS detections cw_diag -c mesh --show mesh status cw_diag -c mesh-veth-acinfo --show mesh veth ac info, and mesh ether type cw_diag -c mesh-veth-vap --show mesh veth vap cw_diag -c mesh-veth-host --show mesh veth host cw_diag -c mesh-ap --show mesh ap candidates cw_diag -c vlan --show current vlan info in daemon cw_diag -c sta --show current station info in daemon cw_diag -c sys-vbr --show WTP Vlan Bridges cw_diag -c net-topo --show interface topology cw_diag -c wev --show queued wireless events to report cw_diag -c k-vap --show WTP Kernel local-bridge VAPs cw_diag -c k-host --show WTP Kernel local-bridge Hosts cw_diag -c k-wlvl --show WTP Kernel local-bridge Wlan Vlans cw_diag -c k-vbr --show WTP Kernel local-bridge Vlan Bridges cw_diag -c scan-clr-all --flush all scanned AP/STA/ARPs cw_diag -c ap-suppress --show suppressed APs cw_diag -c sta-deauth --de-authenticate an STA
Welche Linux Kommandos stehen auf einem FortiAP-S auf CLI zur Verfügung?
Ein FortiAP-S basiert auf einem "GNU/Linux"! Wenn ein User sich über CLI auf einem Forti Access Point einloggt übernimmt dieser "root" Rechte dh. die "shell" steht sofort zur Verfügung. Auf einem FortiAP-s muss der User nach erfolgreichem Login folgenden Befehl ausführen das die "shell" des User "root" geladen wird:
> shell BusyBox v1.19.4 (2016-02-09 14:02:48 PST) built-in shell (ash) Enter 'help' for a list of built-in commands. #
Danach kann der User übliche Linux Kommandos absetzen wie zB "ifconfig -a" um die aktuelle Konfiguration der Interfaces anzuschauen. Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse anzuschauen:
/bin /sbin
# ls -la /bin --------------- output /bin --------------- drwxr-xr-x 1 admin root 0 Jan 1 1970 . drwxr-xr-x 1 admin root 0 Jan 1 1970 .. lrwxrwxrwx 1 admin root 7 Feb 9 22:25 addgroup -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 adduser -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 ash -> busybox -rwxr-xr-x 1 admin root 388328 Feb 9 22:03 busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 cat -> busybox lrwxrwxrwx 1 admin root 13 Jan 1 1970 cfg -> /sbin/cgiMain lrwxrwxrwx 1 admin root 7 Feb 9 22:25 chgrp -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 chmod -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 chown -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 cp -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 date -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 dd -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 delgroup -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 deluser -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 df -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 dmesg -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 echo -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 egrep -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 factoryreset -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 false -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 fgrep -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 fsync -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 grep -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 gunzip -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 gzip -> busybox -rwxr-xr-x 1 admin root 1382 Mar 7 2015 ipcalc.sh lrwxrwxrwx 1 admin root 7 Feb 9 22:25 kill -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 ln -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 lock -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 login -> busybox -rwxr-xr-x 1 admin root 424 Mar 7 2015 login.sh lrwxrwxrwx 1 admin root 7 Feb 9 22:25 ls -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 mkdir -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 mknod -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 mktemp -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 mount -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 mpstat -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 mv -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 netmsg -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 netstat -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 nice -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 pidof -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 ping -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 ping6 -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 ps -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 pwd -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 rm -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 rmdir -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 sed -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 sh -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 sleep -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 sync -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 tar -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 touch -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 true -> busybox -rwxr-xr-x 1 admin root 6580 Feb 9 21:59 ubus lrwxrwxrwx 1 admin root 7 Feb 9 22:25 umount -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 uname -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 vi -> busybox lrwxrwxrwx 1 admin root 7 Feb 9 22:25 zcat -> busybox --------------- output /bin ---------------
# ls -la /sbin --------------- output /sbin --------------- drwxr-xr-x 2 admin root 1688 Feb 9 22:27 . drwxr-xr-x 1 admin root 0 Jan 1 1970 .. -rwxr-xr-x 1 admin root 12844 Feb 9 22:10 80211stats -rwxr-xr-x 1 admin root 9358 Feb 9 22:10 activateVAP -rwxr-xr-x 1 admin root 8456 Feb 9 22:10 apcfg -rwxr-xr-x 1 admin root 330 Feb 9 22:10 apdown -rwxr-xr-x 1 admin root 18607 Feb 9 22:27 apstart -rwxr-xr-x 1 admin root 23804 Feb 9 22:10 apstats -rwxr-xr-x 1 admin root 22171 Feb 9 22:10 apup lrwxrwxrwx 1 admin root 14 Feb 9 22:25 arp -> ../bin/busybox -rwxr-xr-x 1 admin root 5824 Feb 9 22:10 athadhoc -rwxr-xr-x 1 admin root 22428 Feb 9 22:10 athstats -rwxr-xr-x 1 admin root 2876 Feb 9 22:10 athstatsclr -rwxr-xr-x 1 admin root 59652 Feb 9 22:10 cgiMain -rwxr-xr-x 1 admin root 5714 Mar 7 2015 cpuutil -rwxr-xr-x 1 admin root 2119786 Feb 9 22:27 cwWtpd lrwxrwxrwx 1 admin root 6 Feb 9 22:27 cwWtpd_cldc -> cwWtpd lrwxrwxrwx 1 admin root 6 Feb 9 22:27 cwWtpd_serv -> cwWtpd -rwxr-xr-x 1 admin root 58948 Feb 9 22:26 cw_debug lrwxrwxrwx 1 admin root 6 Feb 9 22:27 cw_diag -> cwWtpd -rwxr-xr-x 1 admin root 5940 Feb 9 22:26 cw_test_led -rwxr-xr-x 1 admin root 3754 Feb 9 22:26 cw_test_radio -rwxr-xr-x 1 admin root 200 Mar 7 2015 devstatus -rwxr-xr-x 1 admin root 505000 Feb 9 22:26 dhcpd -rwxr-xr-x 1 admin root 56530 Feb 9 22:26 diag_console_debug -rwxr-xr-x 1 admin root 57242 Feb 9 22:26 diag_debug_crashlog -rwxr-xr-x 1 admin root 58492 Feb 9 22:26 diag_test -rwxr-xr-x 1 admin root 62098 Feb 9 22:26 fap-factory-license -rwxr-xr-x 1 admin root 57134 Feb 9 22:26 fap-get-status -rwxr-xr-x 1 admin root 56264 Feb 9 22:26 fap-mount-udisk -rwxr-xr-x 1 admin root 58026 Feb 9 22:26 fap-set-hostname -rwxr-xr-x 1 admin root 55849 Feb 9 22:26 fap-umount-udisk -rwxr-xr-x 1 admin root 224887 Feb 9 22:27 fapportal -rwxr-xr-x 1 admin root 629 Mar 7 2015 firstboot -rwxr-xr-x 1 admin root 434272 Feb 9 22:10 ft_dbg_kvar -rwxr-xr-x 1 admin root 9796 Feb 9 22:10 ft_rate_config -rwxr-xr-x 1 admin root 686 Feb 9 22:04 fw -rwxr-xr-x 1 admin root 64456 Feb 9 22:26 get lrwxrwxrwx 1 admin root 14 Feb 9 22:25 halt -> ../bin/busybox -rwxr-xr-x 1 admin root 56238 Feb 9 22:26 help -rwxr-xr-x 1 admin root 642800 Feb 9 22:27 hostapd -rwxr-xr-x 1 admin root 317 Mar 7 2015 hotplug-call -rwxr-xr-x 1 admin root 22868 Feb 9 22:22 hotplug2 lrwxrwxrwx 1 admin root 14 Feb 9 22:25 hwclock -> ../bin/busybox lrwxrwxrwx 1 admin root 14 Feb 9 22:25 ifconfig -> ../bin/busybox lrwxrwxrwx 1 admin root 4 Feb 9 22:26 ifdown -> ifup -rwxr-xr-x 1 admin root 273 Mar 7 2015 ifstatus -rwxr-xr-x 1 admin root 1320 Mar 7 2015 ifup lrwxrwxrwx 1 admin root 14 Feb 9 22:25 init -> ../bin/busybox -rwxr-xr-x 1 admin root 55376 Feb 9 22:26 init_sys_shm lrwxrwxrwx 1 admin root 14 Feb 9 22:25 insmod -> ../bin/busybox -rwxr-xr-x 1 admin root 6449 Feb 9 22:10 killVAP lrwxrwxrwx 1 admin root 14 Feb 9 22:25 klogd -> ../bin/busybox -rwxr-xr-x 1 admin root 500 Mar 7 2015 led.sh lrwxrwxrwx 1 admin root 14 Feb 9 22:25 logread -> ../bin/busybox lrwxrwxrwx 1 admin root 14 Feb 9 22:25 lsmod -> ../bin/busybox -rwxr-xr-x 1 admin root 924 Jan 5 2015 luci-reload -rwxr-xr-x 1 admin root 11327 Feb 9 22:10 makeVAP -rwxr-xr-x 1 admin root 517 Mar 7 2015 mount_root -rwxr-xr-x 1 admin root 15244 Feb 9 22:23 mtd -rwxr-xr-x 1 admin root 77168 Feb 9 21:59 netifd -rwxr-xr-x 1 admin root 1303 Feb 9 22:10 network lrwxrwxrwx 1 admin root 14 Feb 9 22:25 pivot_root -> ../bin/busybox -rwxr-xr-x 1 admin root 8464 Feb 9 22:10 pktlogconf -rwxr-xr-x 1 admin root 8700 Feb 9 22:10 pktlogdump lrwxrwxrwx 1 admin root 14 Feb 9 22:25 poweroff -> ../bin/busybox -rwxr-xr-x 1 admin root 11980 Feb 9 22:10 radartool -rwxr-xr-x 1 admin root 532 Feb 9 22:10 rc.bridge -rwxr-xr-x 1 admin root 847 Feb 9 22:10 rc.network -rwxr-xr-x 1 admin root 4364 Feb 9 22:10 rc.wlan -rwxr-xr-x 1 admin root 1356 Feb 9 22:10 rcS lrwxrwxrwx 1 admin root 14 Feb 9 22:25 reboot -> ../bin/busybox -rwxr-xr-x 1 admin root 61 Feb 9 22:27 repeater_pass_configuration -rwxr-xr-x 1 admin root 318 Mar 7 2015 reset_to_factory_settings.sh -rwxr-xr-x 1 admin root 57950 Feb 9 22:26 restore lrwxrwxrwx 1 admin root 14 Feb 9 22:25 rmmod -> ../bin/busybox lrwxrwxrwx 1 admin root 14 Feb 9 22:25 route -> ../bin/busybox -rwxr-xr-x 1 admin root 57667 Feb 9 22:26 setcfg -rwxr-xr-x 1 admin root 1623 Mar 7 2015 setmac -rwxr-xr-x 1 admin root 550 Mar 7 2015 sound -rwxr-xr-x 1 admin root 17988 Feb 9 22:10 spectraltool lrwxrwxrwx 1 admin root 14 Feb 9 22:25 start-stop-daemon -> ../bin/busybox -rwxr-xr-x 1 admin root 62300 Feb 9 22:26 startup_fw lrwxrwxrwx 1 admin root 14 Feb 9 22:25 switch_root -> ../bin/busybox lrwxrwxrwx 1 admin root 14 Feb 9 22:25 sysctl -> ../bin/busybox -rwxr-xr-x 1 admin root 904 Mar 7 2015 sysdebug lrwxrwxrwx 1 admin root 14 Feb 9 22:25 syslogd -> ../bin/busybox -rwxr-xr-x 1 admin root 5393 Jul 2 2015 sysupgrade -rwxr-xr-x 1 admin root 34 Jun 17 2015 sysupgradecli -rwxr-xr-x 1 admin root 6712 Feb 9 22:10 tx99tool_bin -rwxr-xr-x 1 admin root 13156 Feb 9 21:59 ubusd -rwxr-xr-x 1 admin root 10584 Feb 9 21:59 uci -rwxr-xr-x 1 admin root 5608 Feb 9 22:22 udevtrigger lrwxrwxrwx 1 admin root 14 Feb 9 22:25 udhcpc -> ../bin/busybox -rwxr-xr-x 1 admin root 367 Apr 14 2015 updatepartition lrwxrwxrwx 1 admin root 14 Feb 9 22:25 vconfig -> ../bin/busybox -rwxr-xr-x 1 admin root 4296 Mar 7 2015 wifi -rwxr-xr-x 1 admin root 5877 Mar 7 2015 wifi_try -rwxr-xr-x 1 admin root 35504 Feb 9 22:10 wifitool -rwxr-xr-x 1 admin root 19196 Feb 9 22:10 wlanconfig -rwxr-xr-x 1 admin root 455200 Feb 9 22:27 wpa_supplicant --------------- output /sbin ---------------
Nachfolgend noch einige Hinweise wo sich elementare Informationen für die Konfiguration befinden:
• Die Zertifikate für die Verbindung zwischen dem Wireless Controller und dem FortiAP-S befinden sich im folgenden Files/Verzeichnis: /etc/cert /etc/fgt.crt /etc/fgt.key
• Die Start Scripts die bei einem Start eines FortiAP-S abgearbeitet werden befinden sich i RC Level was wiederum folgenden Verzeichnis entspricht: /etc/rc.d/
• Wenn ein FortiAP-S gestartet wird und keine anderen Informationen erhält wird die Standard Konfiguration geladen. Diese befindet sich im folgenden File: /etc/ath/dflt.cfg Wenn eine Benutzer spezifische Konfiguration geladen wird so befindet sich diese Konfiguration im folgenden File: /etc/ath/apcfg