FortiAP-Legacy:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiAP-Legacy:FAQ

FAQ-FortiAP.png

Vorwort

Diese FAQ's sind für FortiAP Systeme basierend auf OS 4.x sowie 5.x. Die hier zur Verfügung gestellten Informationen und Konfiguratinen betreffen nicht die FortiAP-S mit UTM Features. Wenn FortiAP-S ohne UTM Features betrieben werden können diese über einen FortGate Wireless Controller verwaltet werden!

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP Devices:

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP:

       http://docs.fortinet.com/fortiap/admin-guides (Legacy Link http://docs.fortinet.com/wireless.html)
       Cookbook Supplementary Recipes FortiOS:
       Datei:Extending-the-range-of-a-wireless-network-by-using-mesh-topology.pdf  (Extending the range of a wireless network by using mesh topology)
       Datei:Configuration of meshed WiFi network.pdf                              (Configuration of meshed WiFi network)
       Datei:Using-a-fortiap-in-bridge-mode-to-add-wireless-access.pdf             (Using a FortAP in Bridge mode to add wireless access)
       Datei:Using-a-fortiap-in-tunnel-mode-to-add-wireless-access.pdf             (Using a FortAP in Tunnel mode to add wireless access)
       Datei:Using-MAC-access-control-to-allow-access-to-the-wireless-network.pdf  (Using MAC access control to allow access to the wireless network)
       Datei:Secure WLAN Sales Presentation R1.pptx                                (The Fortinet Secure WLAN Presentation)
       Datei:Secure WLAN Sales Presentation R2.pptx                                (The Fortinet Secure WLAN Presentation)
       Datei:Secure WLAN Sales Presentation R3.pptx                                (The Fortinet Secure WLAN Presentation)
       Datei:FortiAP Quick Sales Guide 2014.pdf                                    (The Fortinet FortiAP Quick Sales Guide)
       Datei:Fortinet-Secure-Wireless-LAN-Solutions-Guide.pdf                      (The Fortinet Secure Wireless LAN Solutions Guide 2015)
       Datei:FortiAP Technical FAQ - January 2014.pdf                              (Fortinet FortiAP Technical FAQ)
       Datei:Fortinet Secure WLAN FAQ.pdf                                          (Fortniet Secure Wireless LAN (WLAN) Solution)
       Datei:Securing Wireless Networks for PCI.pdf                                (Fortinet Securing Wireless Networks for PCI Compliance)
       Datei:FortiAP 5-2-Update-Q1-2015.pptx                                       (Fortinet FortiAP 5.2 WLAN Update Q1 2015)
       Datei:Wlc-ivo.pptx                                                          (Fortinet Secure Access Solution)


FortiOS 5.0

       Datei:Fortigate-wireless-50.pdf                                             (FortiOS 5.0 Handbook - Deploying Wireless Networks)
       Datei:FortiAP CLI 50.pdf                                                    (FortiOS 5.0 FortiAP Command Line Interface)
       
       Datei:Wirless-technical-training-FOS-5.0-update-v2.pptx                     (FortiOS 5.0 "Wireless Technical Training")

FortiOS 5.2

       Datei:Fortigate-wireless-52.pdf                                             (FortiOS 5.2 Handbook - Deploying Wireless Networks)
       Datei:FortiAP CLI 52.pdf                                                    (FortiOS 5.2 FortiAP Command Line Interface)

FortiOS 5.4

       Datei:Fortigate-Wireless-54.pdf                                             (FortiOS 5.4 Handbook - Deploying Wireless Networks)
       FortiAP-Upgradepath auf 5.4.x                                             (FortiAP 5.4 Supported Upgrade Path)

FortiOS 5.6

FortiOS 6.0


FortiAP Release Notes


FortiAP-S und FortiAP-W Release Notes


FortiOS 6.2

FortiAP-S

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAP-S Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiAP-S:

       http://docs.fortinet.com/fortiap/admin-guides
       FortiOS 5.4
       Datei:Fortiap-s-release-notes-540.pdf
       Datei:Fortiap-s-release-notes-541.pdf
       Datei:Fortiap-s-release-notes-542.pdf
       Datei:Fortiap-s-release-notes-543.pdf
       Datei:Fortiap-s-release-notes-544.pdf
       
       FortiOS 5.6
       Datei:Fortiap-s-release-notes-560.pdf
       Datei:Fortiap-s-release-notes-5.6.1.pdf
       
       FortiOS 6.0
       Datei:FortiAP-S-ReleaseNotes-6.0.1.pdf
       Datei:FortiAP-S-FortiAP-W-ReleaseNote-6.0.2.pdf
       Datei:FortiAP-S-Series-Deployment-Guide.pdf
       Datei:FortiCloud FAQ.pdf
       
       Datei:FortiOS-FortiAPS-IPS-AV-compatibility.pdf

Hardware

Was ist unter einem "Fortinet Smart Access Point" (FortiAP-S) zu verstehen und um was handelt es sich dabei?

Fortinet verfügt heute über drei Produkt Linien (exkl. Meru) betreffend Forti Access Point dh.:

       Light Forti Access Point
       Thick Forti Access Point
       Smart Forti Access Point
       
       NOTE Weitere Informationen zu den Light/Thick Forti Access Points siehe auch folgender Artikel:
            
            FortiAP:FAQ#Welche_FortiAP_Produkte_Linien_existieren_und_was_sind_die_Unterschiede.3F

Wenn man den Namen eines Forti Access Point hinzuzieht indiziert dieser mehr als man meint dh. nachfolgende Uebersicht zeigt wie der Namen eines Forti Access Point aufgebaut ist:

       Fortinet-2133.jpg
       

Smart Forti Access Point oder kurz auf FortiAP-S verfügen über UTM Features "auf" den Access Point's und können mit den UTM Features "nur" über "FortiCloud Wireless Controller" verwaltet werden! Dabei sind folgende Informationen zu beachten:

       - Forti Smart Access Point's ohne UTM Features können über einen FortiGate Wirlesss Controller betrieben werden!
       - Forti Smart Access Point's mit UTM Features können "nur" über FortiCloud Wireless Controller betrieben werden (Ab FortiCloud v2.0.0).
       - Forti Smart Access Point's werden gekennzeichnet als FAP-S Serie.
       Fortinet-1403.jpg

FortiAP-S wurden im Q3 2015 released und werden im ersten Schritt über folgenden UTM Features verfügen:

         IPS
         Web Content Filtering
         Antivirus (Flow Based)
         Access Control List (Allow/Block)
         Application Control
         Botnet Protection

In einer zweiten Phase (Datum umbekannt wahrscheinlich Q4) werden die UTM Features erweitert mit folgenden Funktionen (Vorbehalt):

         Application Rate-Limiting
         DSCP Value Changing
         Network Address Translation (NAT)
         User Group Based Policies (Firewall)

Welche Hardware/Device existieren für FortiAP-S und wie unterscheiden sich diese?

Die FortiAP's die momentan verfügbar sind, sind Indoor Access Point's:

       Fortinet-1402.jpg

Diese werden in zwei Kategorien eingeteilt dh. 311C und 313C mit einem Radio sowie 321C und 323C mit zwei Radio:

       Fortinet-1404.jpg
       Fortinet-1405.jpg
       Fortinet-1412.jpg

Details zu den einzelnen Devices siehe folgender Artikel:

       Fortinet:ProduktInfo#FortiAP-S

Wie wird der Wireless Controller in der FortiCloud für den FortiAP-S Device lizensiert?

Die Linzenz für den FortiAP-S Device für den Wireless Controller in der FortiCloud ist in der Device SKU enthalten. Es muss keine seperate Lizenz erworben werden:

       "Hardware SKU includes FortiCloud AP Management License"

Power Adapter

Wo finde ich eine Uebersicht ob ein FortiAP-S mit PowerAdapter geliefert wird oder PoE unterstützt?

Die FortiAP-S werden ohne PowerAdapter geliefert und unterstützen PoE folgendermassen: FortiAP S-Serie Netzteile:

Fortinet-2817.jpg  
     
       16502894H          2692514               GPI-115                 GPI-115 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3af 15.4Watts 10/100/1000
       16505067H          2700323               GPI-130                 GPI-130 Gigabit PoE Injector - 1-Port Gigabit PoE Power Injector, 802.3at up to 30W

Weitere Informationen betreffend PoE Injector siehe nachfolgende Artikel:

       Fortinet:ProduktInfo#FortiAP_Gigabit_PoE_Injector_130
       Fortinet:ProduktInfo#FortiAP_Gigabit_PoE_Injector_115

FortiCare/FortiGuard

Wieso benötige ich für einen FortiAP-S ein FortiCare/FortiGuard?

Um die UTM Features auf einem FortiAP-S zu benutzen, muss eine FortiGuard Subscription (Bundle) zum FortiAP-S erworben werden! Es steht auch explizit nur FortiCare 8 X 5 oder 24 X 7 zur Verfügung. Wenn jedoch ein FortiAP-S nur mit FortiCare ausgestattet wird stehen die verschiedenen UTM Features nicht zur Verfügung resp. können nicht konfiguriert werden:

            FortiCloud FortiAP Enterprise Management License for FAP-S series
            
            FC-10-90APS-170-02-12      1 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-24      2 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-36      3 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-48      4 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-60      5 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare

Antenna

Kann man die FortiAP-S mit externen Antenna's nach-/ausrüsten?

Grunsätzlich ist dies möglich dh. das FortiAP-S Modell entscheidet über den verfügbaren Anschluss und ob dies möglich ist oder nicht! Sprich ob der vorhanden Anschluss zur Verfügung steht oder nicht. Ob dies der Fall ist, kann im jeweiligen Quickstart und/oder Datasheet eruiert werden:

       Fortinet:ProduktInfo#FortiAP-S

Ebenfalls führt Fortinet eigene externe Antenna's. Der Wirkungsgrad etc. kann im jeweiligen Datasheet nachgelesen werden:

       Fortinet:ProduktInfo#FortiAntenna

Was ist zu beachten wenn ein FortiAP-S mit einer externen Antenne ausgerüstet wird?

Eine externe Antenne "verteilt" das Signal nur dh. es verstärkt dieses nicht! Die Antennen "verteilen" das Signal in Ihrer speziellen Art und Weise. Verstärker resp. Verstärkungen eines Antennen Signals für zB Richtfunk ist Bewilligungspflichtig:

       http://www.bakom.admin.ch/themen/frequenzen/00689/01638/index.html?lang=de

Welchen Anschluss benützt eine FortiAP-S für den externen Antennen Anschluss?

Grundsätzlich gibt das Datasheet und/oder der Quickstart Guide Auskunft welcher Anschluss benützt werden muss/kann:

       Fortinet:ProduktInfo#FortiAP-S

Gibt es von Fortinet eine "omnidirect" externe Antenne?

"Omnidirect" bedeutet 360°; was wiederum bedeutet das Signal wird durch die Antenne 360° verteilt. Das Gegenteil wäre "unidirect" was wiederum einer Richtantenne entspricht (gebündelt). Bei den Fortinet Antennas gibt das jeweilige Datasheet Auskunft über die jeweilige Art und Weise der Signal Verteilung:

       Fortinet:ProduktInfo#FortiAntenna

Grundsetup

Wie nehme ich ein FortiAP-S in Betrieb und konfiguriere ich diesen?

Der nachfolgende Artikel zeigt wie ein FortiAP-S in Betrieb genommen wird. Dazu wird ein neuer FortiCloud Account erstellt und ein Device darin aktiviert sowie eine Grundkonfiguration durchgeführt!

Wie Registriere ich den Device und aktiviere den entsprechende Contract für den Device?

Als erster Schritt sollte der FortiAP-S sowie wie alle anderen Devices von Fortinet korrekt im Support Account anhand seiner Serien Nummer registriert werden. Weitere Informationen wie dies durchgeführt wird siehe nachfolgender Artikel:

       Fortinet:DeviceRegistrierung#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F

Dieser Schritt ist "wichtig" denn wenn der FortiAP-S aktiviert wird wie in "Schritt 5" beschrieben, geht der Status des FortiAP-S in FortiCloud nur dann auf "up", wenn die Registrierung des Devices korrekt durchgeführt wurde!

       Fortinet-1432.jpg
       Fortinet-1433.jpg
       
       NOTE Wenn die Registration abgeschlossen ist muss der Status überprüft werden dh. ein FortiAP-S - sofern FortiGuard resp. UTM Features
            genutzt werden möchten - muss über die entsprechende Lizenz verfügen ansonsten stehen die UTM Features nicht zur Verfügung. Bei
            einer NFR (Not For Resale) Version wird zwar wie hier in der Abbildung FortiGare 8 X 5 mitgeliefert jedoch nicht FortiGuard resp.
            die UTM Features. Somit muss für diesen FortiAP-S wie hier im Beispiel gezeigt ein zusätzliche FortiGuard Lizenz hinzugefügt werden
            um die UMT Features nutzen zu können. in unserem Beispiel für den FAP-S323C wäre dies:
            
            FortiCloud FortiAP Enterprise Management License for FAP-S series
            
            FC-10-90APS-170-02-12      1 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-24      2 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-36      3 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-48      4 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            FC-10-90APS-170-02-60      5 Year FortiCloud AP Enterprise Management License including:
                                       FortiGuard Subscription services, Premium AP Management Features, 1 Yr Log retention, 8x5 Forticare
            
            Diese Lizenz muss ebenfalls über den "Device Registrierungs Vorgang" zum Device resp. zur Serien Nummer anhand des Registration 
            Codes, der in der Lieferung der Lizenz (2te Seite PDF) enthalten ist, hinzugfügt werden:
            
            Fortinet-1461.jpg
            
            Fortinet-1462.jpg
            
            Fortinet-1463.jpg
            
            Danach ergiebt sich folgende Situation die bestätigt, dass die UTM Features nun zur Verfügung stehen:
            
            Fortinet-1464.jpg

Wie kann ich mich in die FortiCloud einloggen oder wie kann ich einen FortiCloud Account erstellen?

Wie schon erwähnt sind FortiAP-S nicht über FortiGate Wirelesser Controller verwaltbar wenn UTM Features auf den FortiAP-S eingesetzt werden sondern werden über den Wireless Controller in der FortiCloud verwaltet. Damit ein FortiAP-S über FortiCloud verwaltet werden können, muss ein entsprechender Account erstellt werden.

       Wie kann ich einen Account in der FortiCloud eröffnen?

In die FortiCloud kann mann sich über folgende Links verbinden:

       https://login.forticloud.com/

Direkt auf die Cloud von Europa verbinden:

       https://europe.forticloud.com/

Logging Maske der FortiCloud

Fortinet-1426.jpg

Aktivieren (Deploy) eines FortiAP-S im FortiCloud Account?

Nach dem erfolgreichen Login muss der entsprechende Device dh. FortiAP-S anhand des FortiCloud-Key registriert werden Dieser FortiCloud-Key befindet sich als Aufkleber auf dem FortiAP-S und sieht als Beispiel folgendermassen aus:

      MNSOTMTX
      
      NOTE Wenn ein FortiAP-S resp. ein Forti Access Point über keinen FortiCloud Key verfügt kann dieser dennoch registriert werden.
           Weitere Informationen dazu siehe nachfolgenden Artikel:
           
           FortiAP-S:FAQ#Wie_f.C3.BCge_ich_einen_Forti_Access_Point_zur_FortiCloud_hinzu_ohne_FortiCloud_Key.3F

Damit ein FortiAP-S aktiviert resp. ein "deploy" durchgeführt werden kann muss der FortiAP-S in ein Netzwerk Segmment integriert werden dh. geetartet sein! Wenn ein FortiAP-S mit einem Netzwerk Segement verbunden ist und gestartet wurde, sucht sich der FortiAP-s in diesem Segment ein DHCP Server. Dies bedeutet: In diesem Segment sendet der FortiAP-S DHCP Anfragen aus. Werden diese beantwortet erhält der FortiAP-S ein IP. Wenn der FortiAP-S mit einer statischen IP versehen werden soll kann dies über Kommandozeile sowie die Console durchgeführt werden. Weitere Informationen siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_kann_ich_einen_FortiAP-S_auf_CLI_betreffend_Netzwerk_manuell_.22statisch.22_konfigurieren.3F

Damit der FortiAP-S im entsprechenden Account erscheint muss dieser so konfiguriert werden damit der FortiAP-S weiss mit welchen Account er sich verbinden muss. Dies wird über das lokale Mgmt. Interface durchgeführt oder über die Console resp. der Kommandozeile. Dies bedeutet folgendes:

       NOTE Diese Konfiguration ist eigentlich nur dann durchzuführen wenn kein "FortiCloud Key" für den entsprechenden FortiAP-S 
            resp. Forti Access Point zur Verfügung steht. Dennoch empfehlen wir diese Konfiguration durchzuführen dh. auf dem 
            lokalen Web Mgmt. Interface "explizit" FortiCloud Funktion zu aktivieren mit der Angaben des entsprechenden FortiCloud
            Accounts!
       Ueber Web Mgmt. Interface des FortiAP-S
       
       Verbinde dich auf die IP die der FortiAP-S über DHCP zugewiesen wurde per http oder auf die IP die statisch gesetzt wurde dh.:
       
       http://[FortiAP-S IP vom DHCP Server oder statische Konfiguration]
       
       Danach wähle im Web Mgmt Interface des FortiAP-S folgendes:
       
       AC Discovery Type:     [FortiCloud]
       FortiCloud Account:    [Username dh. Email Adresse des entsprechenden FortiCloud Accounts]
       FortiCloud Password:   [Passwort des entsprechenden FortiCloud Accounts]
       Ueber Console des FortiAP-S
       
       # cfg -a AC_DISCOVERY_TYPE=[Setze die Option FortiCloud dh. "7"]
       # cfg -a AC_DISCOVERY_FCLD_ID=[Username dh. Email Adresse des entsprechenden FortiCloud Accounts]
       # cfg -a AC_DISCOVERY_FCLD_PASSWD_ENC=[Passwort des entsprechenden FortiCloud Accounts]
       # cfg -c

Desweiteren ist zu berücksichten, dass der FortiAP-S für dessen Komunikation in den FortiCloud folgende Destinationen, Protokolle sowie Ports benützt:

       Destination 208.91.113.187 (apctrl1.fortinet.com)
       Protokolle HTTPS (TCP 443), DNS (UDP 53)
       
       Destination 208.91.113.118
       Protokoll/Port: CAPWAP (UDP 5247, UDP 5246)
       
       Destination 208.91.113.117 (apau.forticloud.com)
       Protokoll/Port: HTTPS (TCP 443)
       
       Destination update.fortiguard.net
       Protokoll/Port: HTTP (TCP 80)

Sobald dies durchgeführt wurde logge dich im FortiCloud Account ein. Nun muss "initial" ein "AP Network" erstellt werde in dem die FortiAP-S danach aktiviert resp. "deployed" werden. Dazu wähle nach dem Login in den FortiCloud Account die Position:

          Wireless Network of FortiAP:
          
         ◾If you want to manage your FortiAP using FortiCloud, please create an AP Network here. 
           Once you have setup an AP network, you can deploy FortiAP from inventory.
         ◾You can add your FortiAP into inventory by inputting FortiCloud key or entering your 
           FortiCloud credentials in FortiAP GUI. For additional information, please see 
         
         Fortinet1465.jpg
         
         NOTE Der hier vergebenen Name für "Netzwerk Name" wiederspiegelt den Namen des FortiAP-S Verbunds dh. es kann nur ein 
              "Netzwerk Name" vergeben werden! Das Passwort ist das Passwort aller FortiAP-S im Verbund resp. für den "Netzwerk
              Name". Dieses Passwort muss verwendet werden um sich über Web Mgmt. Interface lokal auf den FortiAP-S anhand User
              "admin" einzuloggen. Das Passwort muss mind. 5 Zeichen lang sein jedoch nicht mehr als 8! Es ist somit nicht 
              möglich für jeden FortiAP-S ein Passwort zu vergeben!

Nach der Eingabe erscheint im FortiCloud Account folgendes:

         Fortinet1466.jpg

Als nächster Schritt muss der FortiAP-S aktiviert resp. "deployed" werden. Aktiviere mit der "checkbox" den entsprechenden FortiAP-S und Wähle folgendes:

         NOTE Wenn der FortiAP-S und/oder Forti Access Point ohne "FortiCloud Key" registriert wurde dh. anstelle dessen auf dem
              FortiAP-S und/oder Forti Access Point über das lokale Web Mtm. Interface die Funktion des "FortiCloud" Accounts 
              aktiviert wurde mit dem entsprechenden FortiCloud Account Username und Passwort, erscheinen diese FortiAP-S und/oder
              Forti Access Points innerhalb des Menüpunkt "Inventory" auf der Eingangsseite und müssen über diesen Punkt "Deployed"
              werden! 
         Fortinet1467.jpg
         Fortinet1468.jpg
         Fortinet1469.jpg

Nachdem anhand "Deploy" bestätigt wird erscheint die Aufforderung den entsprechenden "FortiCloud Key" des FortiAP-S einzugeben:

         Fortinet1470.jpg

Der FortiAP-S wurde erfolgreich "Deployed" und kann nun konfiguriert werden. Die erfolgreiche Aktivierung des FortiAP-S zeigt sich auch lokal auf dem FortiAP-S Web Mgmt. Interface dh. dort wird nun unter der Position "AC Discovery Status" folgendes angzeigt:

       Discovered AC with FortiCloud Account: andrea.soliva@also.com

Die Aktivierung des FortiAP-S kann ebenfalls im FortiCloud Account kontrolliert werden und zwar unter folgender Position:

         Fortinet1471.jpg
         
         NOTE In diesem Beispiel zeigt der FortiAP-S unter der Position Status "up" dh. der Device wurde korrekt im Support Portal als Device 
              registriert. Dies bedeutet: Wird ein FortiAP-S zum FortiCloud Account hinzugefügt jedoch nicht korrekt registriert im Support
              Portal zeigt der Status nicht "up" sondern "down" und der Device muss zuerst im entsprechende Support Portal korrekt registriert
              werden!

Durchführen der Grundkonfiguration für eine FortiAP-S im FortiCloud Account?

Der FortiAP-S ist nun korrekt Registriert, Ativiert und Betriebsbereit. Nachfolgend die Schritte die für eine Konfiguration durchgeführt werden sollten:

       1.  Konfigurieren zusätzlicher Administratoren           FortiAP-S:FAQ#Kann_ich_zum_Standard_Administrator_.22admin.22_zus.C3.A4tzliche_Administratoren_konfigurieren_mit_unterschiedlichen_Rechte.3F
       2.  Konfiguration des "Country Code"                     FortiAP-S:FAQ#Wie_setze_ich_auf_einem_FortiAP-S_.C3.BCber_den_FortiCloud_Wireless_Controller_den_.22Country_Code.22.3F
       3.  Konfiguration der "Time Zone"                        FortiAP-S:FAQ#Wie_setze_ich_auf_einem_FortiAP-S_.C3.BCber_den_FortiCloud_Wireless_Controller_die_.22Time_Zone.22.3F
       4.  Durchführen eines FirmWare Upgrade                   FortiAP-S:FAQ#Wie_f.C3.BChre_ich_.C3.BCber_den_FortiCloud_Wireless_Controller_ein_Firmware_Upgrade_durch.3F
       5.  Konfigurieren einer SSID                             FortiAP-S:FAQ#Wie_konfiguriere_ich_eine_.22WPA2-Private.22_Authentifizierung_anhand_eines_.22Pre-Shared.22_Key.3F
                                                                FortiAP-S:FAQ#Wie_konfiguriere_ich_eine_lokale_Gruppe_sowie_User_f.C3.BCr_eine_lokale_.22WPA2-Authentifizierung.22.3F
                                                                FortiAP-S:FAQ#Wie_konfiguriere_ich_ein_.22Captive_Portal.22_im_FortiCloud_Account_basierend_auf_.22Guest_Provisioning.22.3F
       6.  Konfiguriere/Aktivieren von "Radio Scan"             FortiAP-S:FAQ#Um_was_handelt_es_sich_beim_.22Radio_Scan.22_und_wie_soll_ich_diese_Funktion_konfigurieren.2Faktivieren.3F
       7.  Konfigurieren einer "Platform Profile"               FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F
       
       8.  Monitoring / Logs                                    FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Details_betreffend_User_Authentifizierung.3F
                                                                FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Verbindungdetails_eines_Users.3F
       
       9.  Konfigurieren eines "Map and Plan Floor"             FortiAP-S:FAQ#Wie_definiere_ich_einen_FortiAP-S_f.C3.BCr_die_Funktion_.22Map_and_Floor_Plan.22.3F
                                                                FortiAP-S:FAQ#Kann_ich_einen_.22Map_and_Floor_Plan.22_heranziehen_um_festzustellen_ob_.22overlapping_channels.22_am_Standort_existiert.3F

Setup

Was ist die Default IP für einen FortiAP-S und wie kann ich mich auf diese IP verbinden?

Wenn ein FortiAP-S gestartet wird reagiert auf Netzwerkebene der FortiAP-S folgendermassen:

       --> Der FortiAP-S sendet einen DHCP Anfrage! Wird dieser beantwortet wird das Netzwerkinterface anhand dieser Informationen des DHCP Server konfiguriert!
       
       --> Beantwortet "Kein" DHCP Server die Anfrage des FortiAP-S so wird auf dem Netzwerk Interface folgende IP konfiguriert:
           
           192.168.1.2/24 (Default Gateway 192.168.1.1)

Somit kann man sich auf einen FortiAP-S folgendermassen verbinden sofern der FortiAP-S betreffend Netzwerk Interface nicht auf "Static" konfiguriert ist (Standard DHCP):

       1. Konfigruriere eine Workstation/Laptop mit folgender IP (Kein Default Gateway):
         
         192.168.1.1 255.255.255.0
         
       2. Verbinde den FortiAP-S mit der Workstation/Laptop anhand eines RJ-45 Kabel (nicht gekreuzt)
       
       3. Starte den FortiAP-S und nach 1 - 2 Minuten kann auf den FortiAP anhand eines Browser zugegriffen werden (Username "admin"; Kein Passwort):
         
          http://192.168.1.2 

Dieser Vorgang ist insofern Wichtig, dass über das Web Mgmt. Interface des FortiAP's zB "telnet" aktiviert werden kann wenn zB kein Console Kabel (RS232) zur Verfügung steht und man den FortiAP-S über CLI statisch konfigurieren möchte. Weitere Informationen welche Befehle auf der Kommandozeile zur Verfügung stehen sowie eine statische Konfiguration durchgeführt werden kann, siehe nachfolgende Artikel:

       FortiAP-S:FAQ#Welche_Kommandos_stehen_auf_einem_FortiAP-S_auf_CLI_zur_Verf.C3.BCgung.3F
       FortiAP-S:FAQ#Wie_kann_ich_einen_FortiAP-S_auf_CLI_betreffend_Netzwerk_manuell_.22statisch.22_konfigurieren.3F

Wie sieht der Startvorgang eines FortiAP-S aus über Serial Console (RS232)?

Wenn ein FortiAP-S korrekt arbeitet sieht der Startvorgang über die Console folgendermassen aus:

       --------------- RS232 output --------------- 
       
       FortiAP-S323C (May 06 2015 - 21:38:56)        
       
       DRAM:  1003 MiB
       NAND:  288 MiB
       *** Warning - bad CRC, using default environment
       
       Flash: 32 MiB
       
       Ver:04000002
       Serial number: PS323C3U15000216
       Region code: E 
       
       In:    serial
       Out:   serial
       Err:   serial
       Net:   eth0 up
       eth0 speed 1000Mbps
       eth0
       Hit any key to stop autoboot:  0 
       Device 1: nand1... is now current device
       
       Loading from nand1, offset 0x320000
          Image Name:   Linux-3.4.0
          Image Type:   ARM Linux Kernel Image (uncompressed)
          Data Size:    1727144 Bytes = 1.6 MiB
          Load Address: 41508000
          Entry Point:  41508000
       Automatic boot of image at addr 0x44000000 ...
          Image Name:   Linux-3.4.0
          Image Type:   ARM Linux Kernel Image (uncompressed)
          Data Size:    1727144 Bytes = 1.6 MiB
          Load Address: 41508000
          Entry Point:  41508000
          Verifying Checksum ... OK
          Loading Kernel Image ... OK
       OK
       info: "mtdparts" not set
       Using machid 0x12ca from environment
       
       Starting kernel ...
       
       
       PS323C3U15000216 login: admin
       
       --------------- RS232 output --------------- 

Um sich auf den FortiAP-S einzuloggen benütze User "admin" sowie "kein" Passwort!

Wie kann ich einen FortiAP-S auf CLI betreffend Netzwerk manuell "statisch" konfigurieren?

Nun Grundsätzlich kann ein FortiAP-S manuell konfiguriert werden dh. dazu steht das Kommando "cfg" zur Verfügung. Dabei ist zu berücksichtigen, dass die Konfiguration die durch "cfg" gesetzt wird erst mit "cfg -c" geschrieben wird. Für "cfg" stehen folgende Optionen zur Verfügung:

       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables

Um alle Konfigurationspunkte die Konfigurierbar sind aufzulisten kann folgende Option benutzt werden:

       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOGIN_PASSWD
           ADMIN_TIMEOUT
               Telnet and GUI session admin timeout in minutes [0-480]
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
               0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
           AP_MGMT_VLAN_ID
           TELNET_ALLOW
           HTTP_ALLOW
           DDNS_ENABLE
           DDNS_PORT
           DDNS_SERVER
               0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
           DDNS_UNIQUE_LOCATION
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_DISCOVERY_FCLD_APCTRL
           AC_DISCOVERY_FCLD_ID
           AC_DISCOVERY_FCLD_PASSWD
           AC_DISCOVERY_FCLD_PASSWD
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV

Um zu sehen "was" momentan konfiguriert ist kann folgendes benutzt werden:

       # cfg -s
       BAUD_RATE:=9600
       ADMIN_TIMEOUT:=5
       ADDR_MODE:=DHCP
       AP_IPADDR:=192.168.1.2
       AP_NETMASK:=255.255.255.0
       IPGW:=192.168.1.1
       AP_MODE:=0
       DNS_SERVER:=208.91.112.53
       STP_MODE:=0
       AP_MGMT_VLAN_ID:=0
       TELNET_ALLOW:=0
       HTTP_ALLOW:=1
       DDNS_ENABLE:=0
       AC_DISCOVERY_TYPE:=0
       AC_IPADDR_1:=192.168.1.1
       AC_HOSTNAME_1:=_capwap-control._udp.example.com
       AC_DISCOVERY_MC_ADDR:=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE:=138
       AC_DISCOVERY_FCLD_APCTRL:=
       AC_DISCOVERY_FCLD_ID:=
       AC_DISCOVERY_FCLD_PASSWD_ENC:=
       AC_CTL_PORT:=5246
       AC_DATA_CHAN_SEC:=2
       MESH_AP_TYPE:=0
       MESH_MAX_HOPS:=4
       MESH_SCORE_HOP_WEIGHT:=50
       MESH_SCORE_CHAN_WEIGHT:=1
       MESH_SCORE_RATE_WEIGHT:=1
       MESH_SCORE_BAND_WEIGHT:=100
       MESH_SCORE_RSSI_WEIGHT:=100

Um zB die Netzwerk Komponenten zu konfiguriere können folgende Befehle benutzt werden:

       # cfg -a ADDR_MODE=STATIC
       # cfg -a AP_IPADDR=[Gebe die entsprechende IP an zB 192.168.1.2]
       # cfg -a AP_NETMASK=[Gebe die entsprechende Subnet Mask ein zB 255.255.255.0]
       # cfg -a IPGW=[Gebe den entsprechenden Gateway ein zB 192.168.1.1]
       # cfg -a DNS_SERVER=[Gebe den entsprechenden DNS Server ein zB 208.91.112.53]
       
       NOTE Jede Konfiguration die anhand "cfg -a" geschrieben wird ist nicht "persistent" dh. die ausgeführt Konfiguration
            muss anhand folgenden Befehls "geschrieben" werden (commit to flash), ansonsten geht diese verloren. Die Konfiguration 
            wird es durch nachfolgenden Befehl aktiviert/geschrieben:
            
            # cfg -c
            
            Danach kann wiederum mit "cfg -s" die Konfiguration kontrolliert werden!

Wie kann ich einen FortiAP-S über CLI neu starten?

Um einen FortiAP-S über CLI neu zu starten gebe folgendes ein:

       # reboot

Wie kann ich einen FortiAP-S auf "Factoryreset" setzen/zurückstellen?

Wenn ein FortiAP-S auf "Factoryreset" gesetzt werden soll dh. dadurch gehen sämtliche Konfigurationen verloren, kann über CLI folgendes durchgeführt werden:

       # factoryreset
       This operation will reset the system to factory default!
       Do you want to continue? (y/n)y
       [ 2460.300812] Restarting system.

Ebenso steht folgendes Kommando zu Verfügung das ebenfalls im Hintergund einen "factoryreset" ausführt:

       # cfg -x
       # reboot

Wo ändere ich im FortiCloud Account den Netzwerk Namen für den FortiAP-S Verbund/Devices?

Bei der initial Konfiguration des FortiCloud Account musst ein "Netzwerk Name" vergeben werden. Dieser stellt den FortiAP-S Verbund dar und kann unter folgender Position geändert werden:

       Configure > Miscellaneous
       Fortinet-1476.jpg
       
       NOTE Für einene FortiCloud Account kann betreffend FortiAP-S nur ein "Netzwerk Namen" vergeben werden!

Wo ändere ich im FortiCloud Account das Passwort für die lokalen FortiAP-S?

Bei der initialen Konfiguration dh. beim anlegen des "Netzwerk Namens" musste ein Passwort vergeben werden das benutzt wird um sich auf die lokalen FortiAP-S über Web Mgmt. Interface einzuloggen. Dieses kann unter folgender Position geändert werden:

       Configure > Miscellaneous
       Fortinet-1476.jpg
       
       NOTE Es ist nicht möglich mehrer Passwörter zu vergeben resp. für jeden FortiAP-S ein Passwort zu vergeben. Dies bedeutet:
            Das Passwort wird für den "Netzwerk Namen" vergeben in dem sich die FortiAP-S befindet somit gilt dieses für den ganzen
            Verbund!

Wie füge ich einen Forti Access Point zur FortiCloud hinzu ohne FortiCloud Key?

Wenn ein FortiAP-S ausgeliefert wird ist ein "FortiCloud Key" zur Registrierung des FortiAP-S auf dem FortiAP-S als "Aufkleber" vorhanden. Wenn dieser nicht vorhanden ist kann der FortiAP-S und auch andere Forti Access Point dennoch zur FortiCloud hinzugefügt werden. Dabei ist jedoch zu beachten, dass Standard Forti Access Points im Gegensatz zu FortiAP-S nicht mit den entsprechenden UTM Features versehen werden können da Standard Forti Access Points über keine UTM Features verfügen. Um einen FortiAP-S und/oder Forti Access Point zur FortiCloud - ohne FortiCloud Key - hinzu zu fügen muss über das Web Mgmt. Interface des Standard Forti Access Point und/oder FortiAP-S der entsprechende FortiCloud Funktion aktiviert sowie die Zugangs Informationen des entsprechenden FortiCloud Accounts konfiguriert werden. Um diesen Registrierungs Funktion - ohne FortiCloud Key - zu konfigurieren führe folgendes aus:

      Ueber Web Mgmt. Interface des FortiAP-S
      
      Verbinde dich auf die IP die der FortiAP-S über DHCP zugewiesen wurde per http oder auf die IP die statisch gesetzt wurde dh.:
      
      http://[FortiAP-S IP vom DHCP Server oder statische Konfiguration]
      
      NOTE Wie man sich auf den FortiAP-S und/oder Forti Access Points lokal manuell auf das Web Mgmt. Interface verbinden
           kann siehe nachfolgenden Artikel:
           
           FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
      
      Danach wähle im Web Mgmt Interface des FortiAP-S folgendes:
      
      AC Discovery Type:     [FortiCloud]
      FortiCloud Account:    [Username dh. Email Adresse des entsprechenden FortiCloud Accounts]
      FortiCloud Password:   [Passwort des entsprechenden FortiCloud Accounts]
      Ueber Console des FortiAP-S
      
      # cfg -a AC_DISCOVERY_TYPE=[Setze die Option FortiCloud dh. "7"]
      # cfg -a AC_DISCOVERY_FCLD_ID=[Username dh. Email Adresse des entsprechenden FortiCloud Accounts]
      # cfg -a AC_DISCOVERY_FCLD_PASSWD_ENC=[Passwort des entsprechenden FortiCloud Accounts]
      # cfg -c

Nach der Konfiguration erscheint der FortiAP-S resp. Forti Access Point im entsprechenden FortiCloud Account unter dem "Inventory" und kann über den Menüpunkt auf der Eingangsseite "Inventory" zum entsprechenden Netzwerk hinzugefügt werden (Deploy)!

Upgrade

Wie "stage" ich einen FortiAP-S von Grundauf neu mit einer entsprechenden Firmware?

Die Modelle FAP-S311/3 sowie FAP-S321/3 kommen mit einen Console Port. Wie bei einer FortiGate ist es möglich über TFTP Server den FAP-S von Grundauf neu zu stagen. Der Start Vorgang muss wie bei einer FortiGate zu Beginn des Neustarts abgebrochen werden (5 Sekunden Zeit) um in das Bios zu kommen. Die IP des TFTP Servers sowie die lokale IP kann beim Vorgang "Get OS image from TFTP server" kann "on the fly definiert" werden. Nachfolgend ein kurzes Beispiel wie dieser Vorgang durchzuführen ist:

                   _____________________________
                  |       RS232 Verbindung      |
    Consolen Port |                             |
       ___________|___                          | RS232 Anschluss
      |               |                     ____|_______________
      |   FortiAP-s   |     192.168.1.1/24 |                    |
      |_______________|               _____| LapTop/Workstation | --> SolarWindsTFTP Server starten 
               |                     | NIC |____________________| --> FortiOS als image.out im C:\TFTP-Root
          WAN  |                     |      
               |_____________________|    
      NOTE Auf dem Laptop müssen sämtliche Firewall's, Endpoint Security und Netzwerkkarten deaktiviert sein und auf der LAN Netzwerkarte
           muss die IP 192.168.1.100 mit dem Subnet 255.255.255.0 konfiguriert sein (Kein DNS, kein Default Gateway nötig)!
       Oeffne über Putty eine Serielle rs232 Verbindung (Console). Schalte den FortiAP-S ein und breche den Startprozess ab wenn folgendes erscheint:
       
       Hit any key to stop autoboot:
       
       --------------- RS232 output --------------- 
       
       FortiAP-S323C (May 06 2015 - 21:38:56)
       
       DRAM:  1003 MiB
       NAND:  288 MiB
       
       Flash: 32 MiB
       
       Ver:04000002
       Serial number: PS323C3U15000216
       Region code: E 
       
       In:    serial
       Out:   serial
       Err:   serial
       Net:   eth0 up
       eth0 speed 1000Mbps
       eth0
       Hit any key to stop autoboot:  5 
       
       [G]:  Get OS image from TFTP server.
       [Q]:  Quit menu and continue to boot with default OS.
       [H]:  Display this list of options.
       
       
       Enter G,Q,or H: G
       
       Please connect TFTP server to Ethernet port WAN.
       
       Enter TFTP server address [192.168.1.10]: 192.168.1.10
       Enter local address [192.168.1.1]: 192.168.1.1
       Enter firmware image file name [image.out]: image.out
       Using eth0 device
       TFTP from server 192.168.1.10; our IP address is 192.168.1.1
       Filename 'image.out'.
       Load address: 0x42000000
       Loading:
       
       --------------- RS232 output ---------------

Danach wird das Image installiert und der FortiAP-S gestartet! Um sich auf der CLI einzloggen benütze User "admin" sowie "kein" Passwort.

Wie führe ich lokal für einen FortiAP-S ein Firmware Upgrade durch?

Ausgehend davon, dass man für einen FortiAP-S ein lokales Firmware Upgrade durchführen will, kann dies über einen lokalen TFTP Server durchgeführt werden oder über das lokale Web Mgmt. Interface des FortiAP-S:

       Firmware Upgrade über CLI und TFTP Server
       
       # restore [Name des Images für die Firmware] [IP Adresse des TFTP Servers]
       
       NOTE Um das Kommando eingeben zu können muss mit RS232 Console verbunden werden. Es ist jedoch auch möglich "telnet"
            über Web Mgmt. Interface zu aktivieren (Per Standard deaktiviert) und über "telnet" diesen Befehl einzugeben.
       Firmware Upgrade über Mgmt. Interface
       
       Auf dem Web Mgmt Interface des FortiAP-S steht eine entsprechende Position zur Verfügung über die ein Firmware Upgrade
       durchgeführt werden kann:
       
       Firmware Version: Update
       
       Um auf das FortiAP-S Web Mgmt. Interface zu gelangen (Standard IP des FortiAP-S) siehe nachfolgender Artikel:
       
       FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F

Wie führe ich über den FortiCloud Wireless Controller ein Firmware Upgrade durch?

Ein Firmware Upgrade lässt sich über verschiedenen Varianten durchführen dh. wenn ein Firmware Upgrade lokal dh. nicht über die FortiCloud durchgeführt werden soll, siehe nachfolgenden Link:

       FortiAP-S:FAQ#Wie_.22stage.22_ich_einen_FortiAP-S_von_Grundauf_neu_mit_einer_entsprechenden_Firmware.3F
       FortiAP-S:FAQ#Wie_f.C3.BChre_ich_lokal_f.C3.BCr_einen_FortiAP-S_ein_Firmware_Upgrade_durch.3F

Diese Vorher erwähnten Varianten bedürfen einer lokalen Intervention um ein Firmware Upgrade durchzuführen. Die Firmeware kann jedoch auch über den FortiCloud Account durchgegführt werden, sofern die FortiAP-S korrekt registriert und aktiviert wurden. Um dies durchzuführen wähle:

       Access Points > AP List
       Fortinet-1477.jpg

Aktiviere den entsprechenden "FortiAP-S anhand der "checkbox" und wähle "Upgrade":

       Fortinet-1478.jpg
       
       NOTE In diesem Beispiel zeigt die "current" Version der Firmeware sowie "upgrade to" die gleiche Version da zu diesem
            Zeitpunkt der Dokumentation keine neue Firmware zur Verfügung stand!

Backup

Wie erstelle ich für einen FortiAP-S für dessen Konfiguration ein Backup?

Ein Backup der Konfiguration eines FortiAP-S kann über Web Mgmt. Interface durchgeführt werden sowie über CLI. Bei einem Backup über Web Mgmt. Interface wird im Hintergrund folgender Befehl ausgeführt:

       Backup der Forti Access Point Konfiguration über CLI
       
       # cfg -e
       BAUD_RATE=9600
       ADMIN_TIMEOUT=5
       AP_IPADDR=192.168.1.2
       AP_NETMASK=255.255.255.0
       IPGW=192.168.1.1
       AP_MODE=0
       DNS_SERVER=208.91.112.53
       AP_MGMT_VLAN_ID=0
       ADDR_MODE=DHCP
       STP_MODE=0
       TELNET_ALLOW=1
       HTTP_ALLOW=1
       AC_DISCOVERY_TYPE=0
       AC_IPADDR_1=192.168.1.1
       AC_HOSTNAME_1=_capwap-control._udp.example.com
       AC_CTL_PORT=5246
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138
       AC_DATA_CHAN_SEC=2
       MESH_AP_TYPE=0
       MESH_AP_SSID=fortinet.mesh.root
       MESH_AP_BSSID=
       MESH_AP_PASSWD=fortinet.mesh.root
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100
       Backup der Forti Access Point Konfiguration über Web Mgmt. Interface
       
       Das Web Mgmt. Interface einer FortiGate ist -sofern dies die Firewall Policy Rule erlaubt wird- per Standard über dessen IP zugänglich. 
       
       NOTE Wenn das Backup des Forti Access Point lokal über seine Standard IP durchgeführt werden soll siehe 
            nachfolgenden Artikel:
            
            FortiAP-S:FAQ#Was_ist_die_Default_IP_f.C3.BCr_einen_FortiAP-S_und_wie_kann_ich_mich_auf_diese_IP_verbinden.3F
       
       Danach kann ein manuelles Backup unter folgender Position ausgeführt werden:
       
       Status > System Configuration > Last Backup
       
       Das Backup File ist clear-text und enthält die gleichen Positionen wie das Komando "cfg -e". 
       
       BAUD_RATE=9600
       ADMIN_TIMEOUT=5
       AP_IPADDR=192.168.1.2
       AP_NETMASK=255.255.255.0
       IPGW=192.168.1.1
       AP_MODE=0
       DNS_SERVER=208.91.112.53
       AP_MGMT_VLAN_ID=0
       ADDR_MODE=DHCP
       STP_MODE=0
       TELNET_ALLOW=0
       HTTP_ALLOW=1
       DDNS_ENABLE=0
       DDNS_PORT=443
       DDNS_SERVER=0
       DDNS_UNIQUE_LOCATION=FortiAP
       AC_DISCOVERY_TYPE=0
       AC_IPADDR_1=192.168.1.1
       AC_HOSTNAME_1=_capwap-control._udp.example.com
       AC_CTL_PORT=5246
       AC_DISCOVERY_MC_ADDR=224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE=138
       AC_DISCOVERY_FCLD_APCTRL=
       AC_DISCOVERY_FCLD_ID=
       AC_DISCOVERY_FCLD_PASSWD_ENC=
       AC_DATA_CHAN_SEC=2
       MESH_AP_TYPE=0
       MESH_AP_SSID=fortinet.mesh.root
       MESH_AP_BSSID=
       MESH_AP_PASSWD_ENC=MjAyMDIwMjAyMDIwMjAyMDBlMmUyNDIzM2Y2ZjIyNGYyZDM1
       MESH_ETH_BRIDGE=0
       MESH_MAX_HOPS=4
       MESH_SCORE_HOP_WEIGHT=50
       MESH_SCORE_CHAN_WEIGHT=1
       MESH_SCORE_RATE_WEIGHT=1
       MESH_SCORE_BAND_WEIGHT=100
       MESH_SCORE_RSSI_WEIGHT=100
       SURVEY_SSID=FAP_SURVEY
       SURVEY_TX_POWER=30
       SURVEY_CH_24=6
       SURVEY_CH_50=36
       SURVEY_BEACON_INTV=100   


       NOTE Das Backup File kann herangezogen werden um für verschiedene Forti Access Point ein Konfigurationsfile vorzubereiten und 
            dieses als Restore wieder einzuspielen.

Management / Wireless Controller

Welche Destinationen (IP / FQND), Protokolle sowie Ports benutzt der FortiAP-S für die Komunikation in die FortiCloud?

Wenn ein FortiAP-S mit dem FortiCloud Wirless Controller komuniziert inkl. UTM Features werden folgende Destinationen (IP / FQDN) sowie Protokolle und Ports benützt:

      Destination:    208.91.113.187 (apctrl1.fortinet.com)
      Protokolle:     HTTPS (TCP 443), DNS (UDP 53)
      
      Destination:    208.91.113.118
      Protokoll/Port: CAPWAP (UDP 5247, UDP 5246)
      
      Destination:    208.91.113.117 (apau.forticloud.com)
      Protokoll/Port: HTTPS (TCP 443)
      
      Destination:    update.fortiguard.net
      Protokoll/Port: HTTP (TCP 80)

Diese Services sind alle "outbound" zu verstehen. Es wird kein "inbound" Traffic initiert aus der FortiCloud mit einer Ausnahme: Wird für die FortiCloud Authentifizierung ein "Eigener Radius Server" konfiguriert muss dieser anhand eines "Destination NAT" auf der Firewall von aussen freigegeben werden. Dabei wird folgende Source IP aus der FortiCloud benutzt:

       208.91.113.117 (apau.forticloud.com)
      

Diese Informationen stamme aus einer Analyse in den Logs und stammen nicht von Fortinet selber. Nachfolgendes Diagramm zeigt offiziell die Open Ports für FortiAP-S. Dieses Diagramm stammt aus dem Handbook FortiOS 5.4:

       Fortinet-2046.pdf

Weitere Auskunft gibt ebenfalls nachfolgendes Dokument von Fortinet:

       Datei:Fortigate-Open-Ports-54.pdf

Welches Protokoll sowie Verschlüsselung wird benutzt vom FortiAP-S zum FortiCloud Wireless Controller?

Die Komunikation des FortiAP-S beschränkt sich als "outbound" Komunikation dh. Der FortiAP-S bekommt seine Konfiguration durch Anfragen zum FortiCloud Wireless Controller. Somit wird keine "inbound" Komunikation vom FortiCloud Wireless Controller aufgebaut um die Konfiguration zum FortiAP-S zu senden mit einer Ausnahme: Wenn ein "Eigener Radius Server" konfiguriert wird im FortiCloud Account muss dieser auf der entsprechenden Firewall als Destination NAT für den FortiCloud Account freigegeben werden damit die "inbound" Komunikation für die Authentifizierung über diesen "Eigenen Radius Server" funktioniert. Weitere Informationen dazu wie ein "Eigener Radius Server" konfiguriert wird siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_konfiguriere_ich_f.C3.BCr_ein_Authentication_im_FortiCloud_Account_meinen_.22Eigenen_Radius_Server.22.3F

Der "outbound" Traffic eines FortiAP-S ist analog eines FortiAP zum FortiGate Wireless Controller dh. dieser ist "CAPWAP" basierend. Die Daten die dabei zum FortiCloud Wireless Controller gesendet werden sind minimal:

       --> Management Tunnel (CAPWAP) ist ein "einzelnes" Heartbeat Packet alle 30 Sekunden
       --> Radio Resource Provisioning (DRRP) sendet minimale Informationen alle 5 Minuten

Bei CAPWAP handelt es sich um einen Standard (RFC 5415, RFC 5416, RFC 5417) der auch durch andere Hersteller eingesetzt wird um Access Points zu steuern und zu kontrollieren. Im folgenden Artikel wird erklärt wobei es sich bei CAPWAP handelt:

       http://en.wikipedia.org/wiki/Lightweight_Access_Point_Protocol

Die Ports die benutzt werden für CAPWAP sind per Standard:

       UDP 5246 und 5247

Zusätzlich da es sich um einen "Remote Access Point" Einbindung handelt wird der Traffic innerhalb des CAPWAP durch DTLS geschützt. DTLS steht für "Data Channel Encryption". Der "Data Channel" wird benutzt um den Traffic - der vom FortiAP-S Interface zum FortiCloud Wireless Controller - zu übermitteln. Der "Data Channel" wird "Enkapsuliert" (Encapsulated) im CAPWAP zum FortiCloud Wireless Controller übermittelt. Um eine Verschlüsselung innerhalb des "Data Channels" zu erreichen, wird die Funktion DTLS benutzt. Dabei ist zu berücksichtigen das "beide" Seiten dh. der FortiCloud Wireless Controller und der FortiAP-S gleichermassen konfiguriert werden müssen dh. DTLS aktiviert. Nur wenn beide Seiten DTLS aktiviert haben, wird eine Verschlüsselung etabliert ansonsten kommt keine Verbindung zu stande. Per Standard ist "clear-text" sowie "dtls" auf den FortiAP-S aktiviert und DTLS wird automatisch durch den FortiCloud Wireless Controller aktiviert. Aus diesem Grund ist keine Intervention seitens FortiAP-S nötig sofern die Konfiguration - die per Standard auf den FortiAP-S existiert - belassen wird. Diese Konfiguration wird auch auf den FortiAP-S bestätigt und ist ersichtlich über das Menü System Information:

       Fortinet-1520.jpg

Weitere Informaitonen mit welchen IP's, FQDN, Ports usw. der FortiAP-S zur FortiCloud komuniziert siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Welche_Destinationen_.28IP_.2F_FQND.29.2C_Protokolle_sowie_Ports_benutzt_der_FortiAP-S_f.C3.BCr_die_Komunikation_in_die_FortiCloud.3F

Administrator

Kann ich die E-Mail Adresse für den Zugang zum FortiCloud Accounts ändern?

Ja dies ist möglich und basiert auf einen Adminstrator. Dies bedeutet: Ein FortiCloud Account basiert auf der E-Mail Adresse die bei der Registration eines FortiCloud Accounts benutzt wurde. Nun zB ausgehend davon das dies zB andrea.soliva@also.com ist loggt man sich auf dem FortiCloud Account ein anhand dieser E-Mail Adresse. Danach muss ein zusätzlicher Administrator mit vollen Rechten erstellt werden. Wie dies durchgeführt wird siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Kann_ich_zum_Standard_Administrator_.22admin.22_zus.C3.A4tzliche_Administratoren_konfigurieren_mit_unterschiedlichen_Rechte.3F

Nachdem dieser zusätzliche Administrator mit "Admin" Rechten erstellt wurde, muss darauf geachtet werden das dieser über den entsprechenden Link der in der E-Mail Nachrichten enthalten ist aktiviert wird. Danach kann mit dem neuen Administrator eingloggt werden und der bestehende Account, der für die Registration des FortiCloud Account benutzt wurde, gelöscht werden. Somit basiert der bestehende FortiCloud Account neu auf der neuen E-Mail Adresse des Administrators der neu erstellt wurde.

Kann ich zum Standard Administrator "admin" zusätzliche Administratoren konfigurieren mit unterschiedlichen Rechte?

Grundsätzlich kann im FortiCloud Account zum standard Administrator "admin" zusätzliche Administratoren konfiguriert werden. Dabei ist jedoch zu unterscheiden zwischen:

       Admin            [Volle Read/Write Rechte analog User "admin"]
       Regular          [Administrator für "Read-Only"]
       Guest Manager    [Guest Management Administrator]

Ein zusätzliche Administrator wird unter folgendem Menü konfiguriert:

       My Account
       Fortinet-1499.jpg

Wähle nun "+ Add User":

       Fortinet-1500.jpg

Definiere den neuen Adminstrator und die entsprechende Rolle (Role):

       Fortinet-1501.jpg

Wenn ein zusätzlicher Administrator konfiguriert wird so werden die Details dem neuen Administrator über die entsprechend definierte E-Mail Adresse zugesendet. Nachfolgend ein Beispiel:

       --------------- Confirmation E-Mail FortiCloud --------------
       
       Von:	        noreply@forticloud.com
       Gesendet:	Mittwoch, 21. Oktober 2015 14:06
       An:	        Pirmin Roos
       Betreff:	New User Confirmation at FortiCloud
       
       Thank you for using FortiCloud. To activate your account, please click on this 
       link:
	
       https://www.forticloud.com/activate?key=DVfET%2B31cycgRAz10wofCmhoMU8j2nKqsfTly%2BpKDNHwaCS6fHN8j3KqoUIBK8fK8mq2WYQNc61P5KASaMcvPF%2Bve2AunxeWhNk%2B709sg08%3D
       
       Thanks,
       
       FortiCloud Admin
       
       --------------- Confirmation E-Mail FortiCloud --------------

Der neue Administrator hat 24 Stunden Zeit die Registration zu vollenden. Solange dies nicht durchgeführt wird bleibt der neue Administrator auf Status "Pending" und kann nicht benützt werden dh. kein Login ist möglich bevor die Registration nicht ordnungsgemäss durchgeführt wurde:

       Fortinet-1503.jpg

Auf diesen Umstand wird mit folgender Meldung hingewiesen:

       Fortinet-1502.jpg

Können die Aenderungen die ein Administratoren konfiguriert/durchführt nachvollzogen/protokolliert werden?

Ab FortiCloud 2.5 ist dies möglich dh. jede Aenderung die ein Administrator durchführt werden in den Logs protokolliert sowie können eingesehen werden. Dazu steht folgendes Log sowie History zur Verfügung:

       Configure > Change History
       Fortinet-1516.jpg

In diesem Log werden alle Aenderungen die durch die Administratoren durchgeführt werden aufgeführt. Markiert man eine Zeile erscheint Rechts Aussen unter der Spalte "New Value vs Old Value" ein Symbole in dem die Details dieser Aenderung aufgeführt sind:

       Fortinet-1517.jpg

Die Aenderungen werden "gelb" markiert hervorgehoben. In diesem Beispiel sieht man das ein "Platform Profile" mit dem Namen "alsochlu-demo-room" betreffend "channels" modifiziert wurde dh. die Aenderungen umfassen 40 MHz auf 80 MHZ sowie die "channels" selber. Es besteht jedoch keine Möglichkeit wie in einer "Revision" diese Aenderungen Rückgängig zu machen!

Country Code / Time Zone

Wie setze ich auf einem FortiAP-S über den FortiCloud Wireless Controller den "Country Code"?

Der "Country Code" eines FortiAP-S steht per Standard auf "US" dh. dieser "Country Code" muss korrekt gesetzt werden, da dieser die Basis darstellt für die "Platform Profile". Dies bedeutet: In jedem Land gibt es Vorschriften welche "channels" benützt werden dürfen und welche nur unter gewissen Umständen etc. Dazu siehe auch folgender Artikel:

       FortiAP:FAQ#Welche_Radio_Channels_existieren_in_den_vers._L.C3.A4ndern.3F
       FortiAP:FAQ#Was_ist_DFS_.28Dynamic_Frequency_Selection.29_Support_und_um_was_handelt_es_sich_dabei.3F
       
       NOTE Die neuen FortiAP-S dh. 311/3 sowie 312/3 verfügen nicht über den DFS Support!

Somit kommt dem "Country Code" eine wichtige Rolle zu und muss korrekt gesetzt werden, damit später die zur Verfügung stehenden "Platform Profils" die korrekte Konfiguration zur Verfügung stellen. Um den "Country Code" zu setzen wähle folgendes im FortiCloud Account:

       Fortinet-1472.jpg

Wähle danach:

       Configure > Platform Profile

Markiere die entsprechenden Eintrag für das "Platform Profile". Danach erscheint Rechts Aussen ein Symbole um dieses zu editieren:

       Fortinet-1473.jpg

Wähle den entsprechende "Country Code":

       Fortinet-1474.jpg

Nach dem Bestätigen wird der korrekte "Country Code" für das "Platform Profile" angezeigt:

       Fortinet-1475.jpg

Wenn man sich über den FortiAP-S auf das lokale Web Mgmt. Interface einloggt und man den "Country Code" nicht gesetzt hat wird über das Register "Wireless Information" der "Country Code" Rot angezeigt da "US" nicht der Zeitzone des FortiAP-S entspricht. Sobald der "Country Code" über den FortiCloud Wireless Controller korrekt gesetzt ist wiederspielt sich die Konfiguration ebenfalls unter dem Register "Wireless Information" auf dem FortiAP-S, denn nun wird dort "Country" CH angezeigt sowie "Country Code" 756. Auf dem lokalen FortiAP-S wird ebenfalls der "Region Code" angezeigt dh. dieser ist nicht zu verwechseln mit dem "Country Code" dh. der "Region Code" E (Europe) wiederspiegelt den Device dh. -E für Europe.

Wie setze ich auf einem FortiAP-S über den FortiCloud Wireless Controller die "Time Zone"?

Auch der "Time Zone" kommt eine wichtige Rolle zu dh. wenn ein Firmware Upgrade durchgeführt wird, so wird der "schedule" ebenfalls für die entsprechende "Time Zone" angzeigt. Ebenso die Logs sowie UTM Features sind angewiesen, dass die korrekte "Time Zone" gesetzt ist. Um die "Time Zone" zu setzen wähle:

       Configure > Miscellaneous
       Fortinet-1476.jpg
       
       NOTE In einem FortiCloud Wireless Controller kann die "Time Zone" nur Global gesetzt werden dh. es gibt keine 
            Möglichkeit die "Time Zone" auf die "FortiAP-S" zu setzen!

SSID

Wie erstelle ich auf dem FortiCloud Wireless Controller einen "AP Tag" und um was handelt es sich dabei?

Ein "AP Tag" ist ein Verweis von einer SSID auf einen FortiAP-S. Dies bedeutet: Wenn in der SSID auf der Position "Availability" die Standard Konfiguration belassen wird dh. "Available in all AP's" so wird die SSID "allen" FortiAP-S automatisch zugewiesen. Die SSID kann nicht wie auf einem herkömmlichen FortiAccess Point im Profile (Platform Profile) hinzugefügt werden. Anstelle wird der "AP Tag" dem FortiAP-S zugewiesen und der SSID ein "AP Tag". Somit sind diese "AP Tag's" organisatorischer Natur dh. "AP Tag's" können Gruppen von User darstellen die einen bestimmten "AP Tag" darstellen und verschiedene SSID's sind diesem "AP Tag" zugewiesen somit kann ein "AP Tag" über mehrere SSID's verfügen. Um einen "AP Tag" zu konfigurieren wähle

       Configure > AP Tag
       Fortinet-1479.jpg

Nun wähle "+ AP Tag" und vergebe einen entsprechenden Namen:

       Fortinet-1480.jpg

Bestätige die Konfiguration und der ensprechende "AP Tag" wird aufgeführt jedoch ohne SSID:

       Fortinet-1481.jpg

Danach kann eine SSID konfiguriert und der "AP Tag" dieser SSID hinzugefügt werden. Als Letzteres wird der "AP Tag" dem FortiAP-S hinzugefügt und somit ebenfalls die entsprechende SSID/s für den "AP Tag". Weitere Informationen wie dies durchgeführt wird siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F

Was bedeutet auf dem FortiCloud Wireless Controller innerhalb einer "SSID" die Position "Bridge"?

Wenn eine SSID konfiguriert wird dh. in der Menüposition "Access Control" unter "IP Assignment" kann dort eine SSID auf "Bridge" gesetzt werden. Dies ist die Standard Einstellung und wird in den meisten Fällen benutzt und bedeutet nichts anderes als folgendes:

       Wird eine SSID auf "Bridge" gesetzt wird auf dem Interface des "FortiAP-S" die "SSID" in den "Bridge" Mode gesetzt.
       Somit wenn ein User sich an diese "SSID" korrekt Authentifiziert wird für diesen User über die "SSID" auf dem FortiAP-S
       in das "Netzwerk Segment" - in dem sich der FortiAP-S befindet - ein DHCP Anfrage gesendet. Wenn die DHCP Anfrage durch
       den FortiAP-S, durch einen DHCP Server/Relay in diesem Netzwerk Segment beantwortet wird, so wird dem User der sich
       korrekt Authentifiziert hat diese IP resp. DHCP Informationen zugewiesen!

Somit wenn eine "SSID" als "Bridge" definiert wird muss sich in dem Netzwerk Segment des FortiAP-S ein DHCP Server/Relay befindet damit den authentifizierten Usern eine IP zugewiesen wird. Zusätzlich ist es möglich dieser "SSID" die sich im "Bridge" Mode befindet ein VLAN Nr. zu vergeben.

Was bedeutet auf dem FortiCloud Wireless Controller innerhalb einer "SSID" die Position "NAT"?

Wenn eine SSID konfiguriert wird dh. in der Menüposition "Access Control" unter "IP Assignment" kann dort eine SSID auf "NAT" gesetzt werden. Durch dieses "NAT" kann ein IPv4 Adresse mit Subnet definiert werden dh. auf dem FortiAP-S Interface wird eine Network Address Translation durchgeführt betreffend der Source des Traffic der User. Dabei ist jedoch folgendes zu berücksichtigen das als Limitation gilt unter FortiCloud 3.0:

       Das definierte IPv4 Subnet wird direkt nur dem 2.4 GHz Bereich zugewiesen und dem 5 GHz Bereich wird das 
       gleiche IPv4 Subnet zugewiesen jedoch 17 Octects höher. Folgendes Beispiel: Es wird "10.10.10.1/24" definiert 
       und somit wird diese Definition direkt dem 2.4 GHz zugewiesen. Daraus resultierend wird dem 5 GHz Bereich ein 
       17 Octet höheres IPv4 Subnet zugewiesen dh. also "10.10.17.1/24"!

Wie erstelle ich auf dem FortiCloud Wireless Controller eine "SSID" und weise einen "AP Tag" hinzu?

Wenn im FortiCloud Wireless Controller eine SSID konfiguriert ist steht diese per Standard "allen" FortiAP-S zur Verfügung. Dies wird in der SSID mit der Position "Availability" konfiguriert/indiziert dh. per Standard steht diese auf "Available in all AP's". Dies kann zwar so konfiguriert werden jedoch um eine Granularität und mehr Kontrolle zu erreichen, wird empfohlen mit sogenannten "AP Tag" zu arbeiten dh. diese "AP Tag" verweisen eine bestimmte SSID auf einen FortiAP-S. Die SSID selber kann nicht im Profile des FortiAP-S konfiguriert werden sondern wird über den "AP Tag" die SSID's beinhaltet dem FortiAP-S Device zugewiesen. Als Beispiel erfassen wir eine SSID "fortiap-s4intern" und verweisen mit einem "AP Tag" (ffortiap-s4intern) auf diese SSID. Um einen "AP Tag" zu konfigurieren siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F

Nun erstelle eine entpsrechende SSID. In unserem Beispiel eine SSID basierend auf "WPA2-Personal" mit einem "Pre-Shared Key". In der Definition der SSID weisen wir unseren vorhergehenden "AP Tag" hinzu damit dieses SSID nur für FortiAP-S gilt, die über den entsprechenden "AP Tag" verfügen. Wenn dies nicht durchgeführt wird, so gilt eine SSID ohne entsprechenden "AP Tag" für "alle" FortiAP-S. Wähle für die Konfiguration im Menü folgendes:

       Configure > SSID
       Fortinet-1482.jpg
       
       NOTE Um nachträglich eine neue SSID zu erstellen wähle die Position "+ SSID"!
       Fortinet-1483.jpg
       
       NOTE Die UTM Features werden innerhalb der SSID konfiguriert und können zu einem späteren Zeitpunkt aktiviert
            werden!
       Fortinet-1484.jpg
       
       NOTE In dieser Position wird nun der SSID den vorhergehenden "AP Tag" hinzugewiesen. In einem späteren Zeitpunkt wird
            dieser "AP Tag" der diese SSID beinhaltet dem FortiAP-S zugewiesen!
       Fortinet-1485.jpg
       Fortinet-1486.jpg

Um nun die neue "SSID" resp. den "AP Tag" dem FortiAP-S zu zuweisen, wähle folgendes:

       Access Points > [Aktiviere den entsprechenden FortiAP-S mit der "checkbox] > Change AP Tags
       Fortinet-1487.jpg

Definiere nun den entsprechenden "AP Tag" und achte auf die Position "Overwrite existing AP Tags" dh. wenn ein "AP Tag" hinzugefügt werden soll muss die Position "Add to existing AP Tag" gewählt werden:

       Fortinet-1488.jpg

Danach wird der "AP Tag" für den entsprechenden FortiAP-S augelistet:

       Fortinet-1489.jpg

Die Konfiguration wird über das lokale Web Mgmt. Interface auf dem FortiAP-S über as Menü "Wireless Information" ebenfalls angezeigt!

UTM Features

Wo konfiguriere ich für einen FortiAP-S die UTM Features?

UTM Features - sofern die entsprechende Lizenz vorhanden ist (FortiGuard Bundle) - können innerhalb der SSID im Menüpunkt "Security" aktiviert sowie konfiguriert werden. Somit wählt man über das folgende Menü die entsprechende SSID und aktiviert im Menüt "Security" die UTM Features:

       Fortinet-1561.jpg

Bei den "Security" Features können nur "unverschlüsselte" Protokolle Inspected werden (keine Deep-Inspection). Weitere Informationen zu den einzelnen UTM Features siehe nachfolgende Artikel:

       FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Antivirus.22.3F
       FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Intrusion_Prevention.22.3F
       FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Block_Botnet.22.3F
       FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Web_Access.22.3F
       FortiAP-S:FAQ#Wie_konfiguriere_ich_das_UTM_Feature_.22Application_Control.22.3F

Wie konfiguriere ich das UTM Feature "Antivirus"?

Unter FortiCloud v2.5 kann das UTM Feature "Antivirus" nur Aktiviert sowie Deaktiviert werden. Es stehen keine zusätzlichen Optionen zur Verfügung. Verschlüsselter Traffic wird nicht Inspected dh. Deep-Inspection ist nicht möglich. Test haben gezeigt das für "HTTP" und "FTP" Antivirus eindwandfrei funktioniert. Kommt es zu einem Event dh. wird im Browser folgendes angezeigt:

       Fortinet-1562.jpg
       Fortinet-1563.jpg

Weitere Informationen betreffend Grösse der Files, Art der Files sowie weitere Unterstützte Protokolle sind momentan noch nicht vorhanden! Die Meldung dh. die Art und Weise sowie das Aussehen können unter FortiCloud 2.5 nicht verändert werden!

Wie konfiguriere ich das UTM Feature "Intrusion Prevention"?

Unter FortiCloud v2.5 kann das UTM Feature "Intrusion Prevention" nur Aktiviert sowie Deaktiviert werden. Weitere Informationen "was" in diesem Kontext als "Intrusion Prevention" zu verstehen ist sind momentan nicht vorhanden.

Wie konfiguriere ich das UTM Feature "Block Botnet"?

Wenn das UTM Feature "Block Botnet" aktiviert wird, erkennt und blockt der FortiAP-S Anfragen zu Botnet Servern. Um was es sich genau handelt bei "Botnet Servern" kann im nachfolgenden Artikel im Allgemeinen nachgelesen werden:

       Fortinet:ProduktInfo#Fortinet_Anatomy_of_a_Botnet

Wenn diese Position aktiviert wird, fragt man sich ob dies auch getestet werden kann? Dies ist möglich dh. man kann Anfragen von einer SSID zu bestimmten Botnet Server/IP durchführen und über den FortiCloud Account (Logs) kontrollieren ob diese Anfragen geblockt wurden. Folgender Link gibt Auskunft über die momentanen bekannten Botnet Server/IP:

      https://zeustracker.abuse.ch/blocklist.php
      
      NOTE Man muss berücksichtigen, dass diese Server/IP immerwährend einem Wandel unterzogen sind dh. Server und deren
           IP's werden oft gewechselt. Speziell folgender Link zeigt die aktuelle IP Liste der Server:
           
           https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
           
           Um somit die Funktion zu testen, muss von einer SSID ein Request zu einer der IP's durchgeführt werden. Dieser
           Request muss bei aktivierter Funktion "Block Botnet" in einer entsprechenden SSID und von dieser SSID durchgeführt
           werden. Um den Test durchzufüren kann einfach über "telnet" eine Anfrage abgesetzt werden zu einer Botnet Server IP.

Wie konfiguriere ich das UTM Feature "Web Access"?

Das UTM Feature "Web Access" stellt den WebFilter dar. Die Funktion kann nur für HTTP benutzt werden. Eine Zertifikats Inspection analog einer FortiGate ist nicht möglich. Dieser kann auf verschiedene Arten konfiguriert werden dh. anhand der vordefinierten "Kategorie" Konfiguration:

       Fortinet-1564.jpg

Der Nachteil wenn vordefinierte "Kategorien" benutzt werden ist das diese "nicht" geändert werden können. Wir empfehlen eine "Advanced Configuration" da diese die höchste Flexibilität bietet. Dazu wähle "Advanced Configuration". Danach kann jede Kategorie markiert werden. Wenn dies durchgeführt wird erscheinen "Rechts Aussen" Symbole für:

       Allow | Block | Monitor

Dabei ist zu berücksichtigen wenn der Traffic betreffend "Web Access" Funktion in die Logs geschrieben werden soll "Monitor" gewählt werden sollte. Nachfolgend ein Beispiel einer Konfiguration:

       Fortinet-1565.jpg
       NOTE Die Positionen "Block Invalid URLS" sowie "HTTP POST Action" sollten auf Standard belassen werden!

Im momentanen Stand existieren keine "Local Categories" über die zB eine URL für "whitelisting" konfiguriert werden kann. Nichts desto trotz kann jede URL über die Funktion des "URL Filters" für eine whitelisting, blacklisting usw. konfiguriert werden. Dazu wähle im unteren Bereich "Rechts Aussen" das Symbole "+":

       Fortinet-1566.jpg

Für die Defintion der URL kann zwischen "Regular Expression", "Wildcard" sowie "Simple" gewählt werden:

       Fortinet-1567.jpg

Nachdem die Konfiguration resp. die URL hinzugefügt wurde erscheint diese in der Liste des "URL Filters":

       Fortinet-1568.jpg

Wenn die "Web Access" Funktion konfiguriert wurde kann diese nachträglich getestet werden und eine entsprechende Seite/URL dessen Kategorie auf "Block" steht wird im Browser folgendermassen angzeigt:

       Fortinet-1569.jpg

Die Meldung dh. die Art und Weise sowie das Aussehen können unter FortiCloud 2.5 nicht verändert werden!

Wie konfiguriere ich das UTM Feature "Application Control"?

Die Funktion "Application Control" basiert auf den Applikations Informationen in den TCP Headern. Es kann nur "unverschlüsselter" Traffic Inspected werden im Zusammenhang mit "Application Control". Wie beim "Web Access" ist zu berücksichtigen das "Allow" keine Logs schreibt. Dies bedeutet: Möchte man den gesamten Traffic Analysieren müssen sämtliche Positionen von "Application Control" auf "Monitor" gesetzt werden. Dazu steht zu Beginn die Position "Monitor All" zur Verfügung.

       Fortinet-1570.jpg

Möchte man einzelne Applikationen zB "YouTube" auf "Block" setzen können diese im unteren Bereich hinzugefügt werden dh. diese Konfiguration überschreibt die Konfiguration in den verschiedenen Kategorien. Um eine Applikation hinzu zu fügen wähle "Rechts Ausse" das entsprechende Symbole "+"::

       NOTE Berücksichtige immer das diese Funktion keine "Deep Inspection" durchführt dh. wenn "YouTube" auf HTTP angewendet würde
            und "YouTube" auf "Block" konfiguriert wurde wird die Applikation geblockt. Wechselt jedoch der User auf HTTPS kann keine
            Inspection mehr durchgeführt werden und der Traffic für "YouTube" über HTTPS wird erlaubt!
       Fortinet-1571.jpg

Danach kann im "Search" Feld die entsprechene Applikation gesucht sowie hinzugefügt werden:

       Fortinet-1571.jpg

Danach werden die einzelnen Zeilen aufgelistet die vorhergehend selektiert wurden:

       Fortinet-1572.jpg

Wenn die einzelnen Zeilen markiert werden, erscheinen "Rechts Aussen" verschiedene Symbole um für die einzelne Zeile die es ermöglichen für jede Zeile eine andere Aktion festzulegen. Die entsprechende Aktion wird auf dem Symbole der Applikation wieder gegeben:

       Fortinet-1573.jpg

Platform Profile

Wie benütze/konfiguriere ich die "Platform Profile" auf dem FortiCloud Wireless Controller?

Die "Platform Profile's" sind eigentlich Templates für einen entsprechenden FortiAP-S Device Modell. Dh. diese stellen die Funktionen zur Verfügung für einen Device. Per Standard wird jedem FortiAP-S ein "Platform Profile" zugewiesen sobald dieser registriert wird. Somit kann dieses "Platform Profile" für alle Devices des selben Type benutzt werden. Es empfiehlt sich jedoch in einer grösseren Installation für die Umgebung anhand der "Platform Profile" logische Unterteilungen zu konfigurieren. Beispiel: Existiert ein Gebäude mit 3 Stockwerken und man würde alle FortiAP-S über ein "Platform Profile" konfigurieren, ist dies unter Umständen nicht zu empfehlen speziell dann wenn die FortiAP-S sich untereinander sehen. Dies bedeutet wiederum: Wenn in diesem Gebäude 1 "Platform Profile" benutzt wird mit Channel 1/6/13 und aus irgendeinem Grund der "channel" für einen FortiAP-S gewechselt werden muss so wechselt jeder FortiAP-S den Channel da alle auf dem gleichen "Platform Profile" basieren. Die bessere Variante ist zB für jedes Stockwerk ein "Platform Profile" anzulegen und das entsprechende "Platform Profile" den FortiAP-S Device je nach Lokation im Gebäude zu zuweisen. Um ein "Platform Profile" zu erstellen gehe folgendermassen vor: Wähle im Menü folgendes:

       Configure > Platform Profile > + Platform Profile
       Fortinet-1493.jpg
       Fortinet-1494.jpg
       Fortinet-1495.jpg

NOTE Damit für den Device dh. in unsere Beispiel FAP-S323C das korrekt Template zur Verfügung gestellt wird muss unter "Platform"

            der entsprechende Device gewählt werden dh. FAPS33C. Die weiteren zu konfigurierenden Positionen siehe nachfolgende Artikel:
            
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_AP_Handoff.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_Frequency_Handoff.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Automatic_TX_Power_Control.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22short_guard_intervall.22.3F
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F
            
            FortiAP-S:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_.28Interferences.29.3F
            NOTE Die Positionen "AP Handoff" sowie "Frequency Handoff" im Zusammenhang mit "Client Load Balancing" stehen ab FortiCloud 2.5
                 nicht mehr zur Verfügung. Dabei ist Unklar was der Hintergrund ist!

Nachdem das entsprechende "Platform Profile" erstellt wurde, kann dieses dem entsprechenden FortiAP-S Device zugewiesen werden. Dazu wähle folgendes:

       Access Point > AP List > [Wähle den entsprechenden FortiAP-S anhand der "checkbox"] > Change Platform Profile
       Fortinet-1496.jpg

Gehe nun auf "Change Platform Profile" und wähle das neu erstellte "Platform Profile" das wir im vorhergehenden Schritt erstellt haben:

       Fortinet-1497.jpg
       
       NOTE Wenn auf dem FortiAP-S Device bereits "AP Tag's" resp. SSID's existieren, werden diese durch eine neue Zuweisung eines
            "Platform Profiles" nicht gelöscht. Zur Kontrolle kann dies über "Set AP Tag" für den entsprechenden Device Kontrolliert
            werden.
            
            Fortinet-1498.jpg

Nicht mehr benötigte "Platform Profile" können über folgendes Menü gelöscht werden sofern diese nicht in Verwendung sind:

       Configure > Platform Profile

Wähle das entsprechende "Platform Profile" und danach erscheint Rechts Aussen ein entsprechendes Symbole um das "Platform Profile" zu löschen.

Radio Scan

Um was handelt es sich beim "Radio Scan" und wie soll ich diese Funktion konfigurieren/aktivieren?

Die Position "Radio Scan" im FortiCloud Wireless Controller steht im Zusammenhang mit "Background Scan", "Radiou Resource Provisioning" (DRRP) sowie "Auto TX Power". Dies bedeutet: Wird einer dieser Funktionen benutzt wird "Background Scan" im Hintergrund automatisch aktiviert. Dies wird mit folgenden Hinweis indiziert:

       "The above setting will be used when Automatic TX Power Control or Radio Resource Provision or Rogue AP Scan is enabled"

Dies bedeutet wiederum: Speziell die Funktion "DRRP" resp. "Radio Resource Provisioning" ist unabdingbar und muss aktiviert werden. Aus diesem Grund wird "Background Scan" immer benutzt. Wenn es zu Problemen kommt, sollte die Position "Disable Background Scan during Specified Time" dementsprechend Konfiguriert werden dh. zB kein "Background Scan" während den Bürozeiten. Es kann auch der "Background Scan" Intervall heraufgesetzt werden. Dabei ist jedoch zu berücksichtigen das der "Background Scan" über Radio-1/2 des FortiAP-S wichtige Informationen sammelt im Hintergrund. Aus diesen Informationen können Rückschlüsse gezogen werden über zB Interference's". Es wird empfohlen - als Ausgangslage - die Standard Konfiguration zu belassen dh. Wähle im Menü folgendes:

       Configure > Miscellaneous
       Fortinet-1490.jpg

Die Einstellung sind Global und können nicht für jeden FortiAP-S durchgeführt werden. Wenn ein "Disable Background Scan during Specified Time" durchgeführt werden möchte, kann dies dementsprechend anhand eines "schedules" durchgeführt werden:

       Fortinet-1491.jpg

Authentication

Welche Authentication steht mir auf einem FortiCloud Wireless Controller zur Verfügung?

Ueber die FortiCloud resp. über den FortiCloud Wireless Controller stehen folgende Authentifizierungsmethoden zur Verfügung:

       WPA2-Enterprise basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication"
       Für WPA2-Enterprse basierende Authentifizierung kann entweder ein eigener bestehender Radius Server konfiguriert werden oder
       ein zur Verfügung stehenden Radius Server (FortiCloud Authentication) auf dem FortiCloud Wireless Controller. Der eigene
       Radius Server muss mit den Standard Informationen wie "IP Adresse", "Port" sowie "Pre-Shared Key" eingebunden werden! Dabei
       ist zu beachten das der spezifizierte Port zB Radius 1812 für den Zugriff von aussen geöffnet werden muss.
       WPA2-Personal basierend auf "Pre-shared Key"
       Diese Authentifizierungsmethode basiert auf einem "Pre-shared Key" der auf dem FortiCloud Wireless Controller definiert wird.
       FortiCloud Captive Portal basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication"
       Wenn das "FortiCloud Captive Portal" definiert wird so wird das "Captive Portal" der FortiCloud Wireless Controller benützt.
       Zur Authentifizierung kann ein eigener Radius Server definiert werden oder einen Radius Server in der FortiCloud resp. einen
       "FortiCloud Authentication". Das Captive Portal auf dem FortiCloud Wireless Controller kann betreffend Text, Aussehen sowie
       Logo auf dem FortiCloud Wireless Controller konfiguriert resp. modifiziert werden!
       "Eigenes Captive Portal" basierend auf "Eigenen Radius Server" sowie "FortiCloud Authentication"
       Wenn das eigene Captive Portal benutzt wird so muss im Environment ein eigenes Captive Portal zur Verfügung gestellt werden.
       Dies bedeutet: Anhand eines WebServers etc. wird ein eigenes Captive Portal im Environment zur Verfügung gestellt sowie über
       HTML die vers. API's konfiguriert und somit eingebunden. Dabei steht folgende Hilfe zur Verfügung:
        
       Fortinet-1443.jpg
       Open
       Durch "Open" wird keine Authentifizierung durchgeführt dh. wenn ein User versucht eine Verbindung herzustellen mit einer SSID 
       die auf "Open" gesetzt ist, wird diesem User ohne Authentifizierung eine IP zugewiesen!

Wie funktioniert die Roaming Funktion für Captive Portal auf einem FortiCloud Wireless Controller?

Ab FortiOS 5.4.1 im Zusammenhang mit FortiCloud Wireless Controller 3.0 tauschen FortiAP-S die sich im gleichen Subnet befinden Authentifizierungs Informationen aus! Der Austausch der Authentifizierungs Informationen zwischen den FortiAP-S wird Verschlüsselt durchgeführt anhand eines "32 bytes encrypt key) der vom FortiCloud Wireless Controller zu den FortiAP-S übermittelt wird. Dieser "encrypt key" wird "randomly" erstellt und zwischen den FortiAP-S die sich im gleichen Segment befindet ausgetauscht. Dies bedeutet ebenfalls speziell für das Captive Portal folgendes: Wenn ein User über das FortiCloud Captive Portal eine Authentifizierung durchführt basierend auf 802.1X oder PSK, muss sich der User durch den Austausch der Authentifizierungs Informationen der FortiAP-S im gleichen Subnet nicht abermals Authentifizieren, wenn er den FortiAP-S wechselt (fast roaming).

Welches Timeout gilt für User die sich an einer SSID Authentifizieren und wie kann ich dieses konfigurieren?

Wenn ein User sich an einer SSID Authentifiziert wird im Hintergrund ein Timeout definiert. Dies bedeutet: Ist ein User nach einer Authentifizierung zB WPA2-Privat "idle" (Timeout) muss dieser User nach dieser Zeit wiederum Authentifizieren (Standard Wert 5 Minuten). Dieser Wert des Timeouts wird über folgender Menüpunkt konfiguriert:

       Fortinet-1521.jpg
       
       NOTE Die Position "Captive Portal User Authentication Timeout" definiert den Zeitraum wielange für einen User eine
            Authentifizierung gültig ist nach dem dieser sich über ein Captive Portal authentifiziert hat. Weitere Informationen
            siehe nachfolgender Artikel:
            
            FortiAP-S:FAQ#Kann_ich_ein_Timout_f.C3.BCr_das_Captive_Portal_betreffend_der_User_Autentifizierung_konfigurieren.3F

Wie konfiguriere ich eine "WPA2-Private" Authentifizierung anhand eines "Pre-Shared" Key?

Wenn eine SSID Konfiguration erstellt wird muss berücksichtigt werden, dass eine SSID nicht direkt in den "Platform Profiles" definiert wird sondern eine SSID wird eine "AP Tag" hinzugefügt und dieser "AP Tag" dem Device. Wenn in der SSID auf der Position "Availability" die Standard Konfiguration belassen wird dh. "Available in all AP's" so wird die SSID "allen" FortiAP-S automatisch zugewiesen. Weitere Informationen über "AP Tag's" sowie "SSID" siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F
       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F

Für eine "WPA2-Privat" Authentifizierung erstellen wir im ersten Schritt einen entsprechenden "AP Tag" ("fortiap-s4intern"):

       Configure > AP Tag
       Fortinet-1479.jpg

Nun wähle "+ AP Tag" und vergebe einen entsprechenden Namen:

       Fortinet-1480.jpg

Bestätige die Konfiguration und der ensprechende "AP Tag" wird aufgeführt jedoch ohne SSID:

       Fortinet-1481.jpg

Danach kann eine SSID konfiguriert und der "AP Tag" dieser SSID hinzugefügt werden:

      Configure > SSID
       Fortinet-1482.jpg
       Fortinet-1483.jpg
       
       NOTE Die UTM Features werden innerhalb der SSID konfiguriert und können zu einem späteren Zeitpunkt aktiviert
            werden!
       Fortinet-1484.jpg
       
       NOTE In dieser Position wird nun der SSID den vorhergehenden "AP Tag" hinzugewiesen. In einem späteren Zeitpunkt wird
            dieser "AP Tag" der diese SSID beinhaltet dem FortiAP-S zugewiesen!
       Fortinet-1485.jpg
       Fortinet-1486.jpg

Um nun die neue "SSID" resp. den "AP Tag" dem FortiAP-S zu zuweisen, wähle folgendes:

       Access Points > [Aktiviere den entsprechenden FortiAP-S mit der "checkbox] > Change AP Tags
       Fortinet-1487.jpg

Definiere nun den entsprechenden "AP Tag" und achte auf die Position "Overwrite existing AP Tags" dh. wenn ein "AP Tag" hinzugefügt werden soll muss die Position "Add to existing AP Tag" gewählt werden:

       Fortinet-1488.jpg

Danach wird der "AP Tag" für den entsprechenden FortiAP-S augelistet:

       Fortinet-1489.jpg

Nach dem Abschluss der Konfiguration kann getestet werden wobei zu berücksichtigen ist das dem FortiAP-S zur Aktualisierung der Konfiguration ca. 2 - 3 Minuten zugestanden werden sollte. Es stehen vers. Logs sowie Monitor Funktionien zur Verfügung um die Authentifizierung und die Verbindungsdetails zu kontrollieren. Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Details_betreffend_User_Authentifizierung.3F
       [[FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Verbindungdetails_eines_Users.3F]

Wie konfiguriere ich eine lokale Gruppe sowie User für eine lokale "WPA2-Authentifizierung"?

Die Authentifizierungs Methode wird in der SSID definiert. Dabei können verschiedenen Authentifizierungs Methoden gewählt werden. Wichtig dabei ist das eine SSID nicht direkt in einem "Platform Profile" definiert werden kann sondern über einen "AP Tag" direkt auf dem entsprechenden Device. Somit beinhaltet ein "AP Tag" eine "SSID2 und dieser "AP Tag" wird dem Device zugewiesen. Weitere Informationen dazu siehe nachfolgende Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F
       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_eine_.22SSID.22_und_weise_einen_.22AP_Tag.22_hinzu.3F

In unserem Beispiel gehen wird davon aus, dass wir eine "WPA2-Enterprise" Authentifizierung auf einer SSID konfigurieren möchten die für die Authentifizierung "FortiCloud User/Group" benutzt. Dieser "FortiCloud User/Group" basiert auf einem lokalen Radius Server. Als Grundlage für die Konfiguration muss eine Gruppe sowie User lokal erstellt werden. Wähle folgendes um eine lokale Gruppe zu erstellen:

       Configure > FortiCloud User/Group > Group > + Group
       Fortinet-1522.jpg
       Fortinet-1523.jpg

Konfiguriere nun einen lokalen User und definiere diesen für die Gruppe die wir vorgängig erstellt haben ("group-local"):

       Configure > FortiCloud User/Group > User > + User
       Fortinet-1524.jpg
       Fortinet-1525.jpg
       
       NOTE Sobald der User erfasst wurde wird diesem über die definierte E-Mail Adresse eine Bestätigung versendet. Dem User ist
            es möglich über den entsprechenden Link der im E-Mail enthalten ist sein eigenes Passowort zu setzen. Dabei ist zu 
            berücksichtigen das dieser Link nach dem versenden 1 Stunde gültig ist. Danach ist es dem User nicht möglich sein 
            Passwort über den Link zu ändern. Nachfolgend ein Beispiel dieses E-Mails:
            
            --------------- Output confirmation E-Mail User --------------- 
            
            Von:	noreply@forticloud.com
            Gesendet:	Donnerstag, 22. Oktober 2015 13:26
            An:	Andrea Soliva
            Betreff:	Wifi access
            
            Hi Andrea Soliva,
            
            Here is your access to wireless network (SSID is not specified).
            
            User ID: solivaan
            Password: only4soliva
            
            To change password, please go to link 
            https://www.forticloud.com/com.fortinet.gwt.Main/reset_ap_password_input.jsp?locale=&key=kj%2BSaQ4txsFnG8Vtq1waCVqyS9A3v3AM.
            
            The link will expire after one hour.
            
            FortiCloud
            
            --------------- Output confirmation E-Mail User --------------- 

Als nächsten Schritt erstellen wir für unsere "WPA2-Enterprise" Authentifizierung einen "AP Tag":

       Configure > AP Tags > + AP Tag
       Fortinet-1526.jpg
       Fortinet-1527.jpg

Nun konfigurieren wir eine SSID basierend auf "WPA2-Enterprise" und weisen den entsprechenden "AP Tag" hinzu sowie die erstellte Gruppe "group-local":

       Configure > SSIDs > [Filter All] > + SSID
       Fortinet-1528.jpg

Definiere die entsprechende SSID für "WPA2-Enterprise" sowie die Authentifizierungs Methode "WPA2-Enterprise" sowie weise der Authentifizierungs Methode "FortiCloud User/Group" hinzu was den lokalen "Radius Server" darstellt. Zur Definition "FortiCloud User/Group" füge unsere erstellte "group-local" hinzu:

       Fortinet-1529.jpg

UTM Features können jeder Zeit nachträglich aktiviert und konfiguriert werden:

       Fortinet-1530.jpg

Nun muss die SSID zum "AP Tag" hinzugefügt werden:

       Fortinet-1531.jpg
       Fortinet-1532.jpg

Als Letzten Schritt muss nur der "AP Tag" dem entsprechenden Device zugewiesen werden damit der entsprechende Device durch den "AP Tag" die SSID beinhaltet:

       Access Points > AP List > [Aktiviere den entsprechende Device anhand der "checkbox"] > Change AP Tags
       Fortinet-1533.jpg
       Fortinet-1534.jpg

Die Konfiguration der "AP Tag's" wird bestätigt unter der Position "AP Tag":

       Fortinet-1535.jpg

Die Konfiguration wurde abgeschlossen und kann nun getestet werden! Dabei ist jedoch zu berücksichtigen 2 - 3 Minuten vergehen zu lassen bevor man testet da zuerst die Konfig vom FortiAP-S vom FortiCloud Wireless Controller aktiviert werden muss! Eine erfolgreiche Authentifizierung resp. auch Error Meldungen können über das entsprechende Log kontrolliert werden in dem man im Log auf den entsprechenden Eintrag einen Mausklick ausführt um die Details einzusehen:

       Logs > Wireless Logs
       Fortinet-1536.jpg

Um die Details des User der verbunden ist einzusehen kann der Monitor benutzt werden:

       Monitor > Client > [Setze die entsprechende SSID]
       Fortinet-1537.jpg

Wie konfiguriere ich für ein Authentication im FortiCloud Account meinen "Eigenen Radius Server"?

Im FortiCloud Account ist es möglich seinen "Eigenen Radius Server" zu konfiurieren. Dieser wird über folgende Position und mit folgenden Informationen konfiguriert:

       Configure > My RADIUS Server > + My RADIUS Server
       Fortinet-1518.jpg
       Fortinet-1519.jpg
       
       NOTE Durch die Konfiguration/Erstellung des Radius Server wird keine Komunikation "zum" Radius Server ausgelöst um zB das
            "Server Secret" zu überprüfen. Der "Eigene Radius Server" kann jedoch bei der Konfiguration der SSID getestet werden zB
            Bei der Konfiguration eines "Captive Portal" anhand der Position "Test the Radius Server":
            
            Fortinet-1560.jpg
       
            NOTE Bei der Konfiguration auf dem Radius Server für den Eintrag des "Radius Client" ist zu beachten, dass als "EAP" Type 
                 "PEAP" gewählt wird ansonsten kommt es beim Testen mit dem entsprechenden User zu einer FehlerMeldung betreffend 
                 Authentifizierung!

Auf der entsprechenden Firewall die den Radius Server schützt muss ein Destination NAT konfiguriert werden damit der interne Radius Server für den FortiCloud Account erreichbar ist. Dabei ist als Source die IP zu konfigurieren für den FortiCloud Wireless Controller der die RADIUS Anfragen zum Radius Server sendet sowie im Radius Server den "Radius Server Client" der den "FortiCloud Account" darstellt mit dessen "Pre-Shared Key":

       208.91.113.117 (apau.forticloud.com)

Weitere Informationen betreffend dieser IP und Komunikation zum FortiCloud Account siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Welche_Destinationen_.28IP_.2F_FQND.29.2C_Protokolle_sowie_Ports_benutzt_der_FortiAP-S_f.C3.BCr_die_Komunikation_in_die_FortiCloud.3F

Captive Portal

Kann ich ein Timout für das Captive Portal betreffend der User Autentifizierung konfigurieren?

Der FortiCloud bietet im Zusammenhang mit eine SSID die Möglichkeit ein Captive Portal zu konfigurieren. Für dieses kann im FortiCloud Account ein Timeout für die User definiert werden. Dies bedeutet: Dieses Timeout definiert wielange die Authentifizierung eines User gültig ist bevor dieser sich wiederum Authentifizieren muss. Der Standard Wert liegt bei 12 Stunden. Die Definition kann nicht Per SSID und Captive Portal definiert werden sondern nur auf globaler Ebene. Das Timeout wird über folgende Position definiert:

       Configure >  Miscellaneous > Timeout
       Fortinet-1520.jpg
       
       NOTE Das "Client Idle Timeout" definiert das Timeout für einen User in einer nicht Captive Portal basierten
            Authentifizierung!

Gibt es die Funktion eines "Guest Provisioning im FortiCloud Account?

Im FortiCloud Account kann ein "Captive Portal" betrieben werden anhand einer lokalen User und Gruppe dh. anhand des lokalen Radius Server (FortiCloud User/Group) der im FortiCloud Account zur Verfügung gestellt wird. Zusätzlich bietet der FortiCloud Account ebenfalls die Funktion "Guest Provisioning" dies bedeutet: Anhand einer Gruppe die für "Guest" definiert wird und die einem "Captive Portal" zugewiesen wird, kann ein Administrator definiert werden der für diese Gruppe "Tickets" erstellen kann (Guest Provisioning) anhand dieser im "Captive Portal" zB für "Guests" eingeloggt werden kann. Die Basis damit eine Gruppe sowie ein Administrator für das "Guest Provisioning" konfiguriert werden kann ist eine "SSID" die entsprechend für "Guest" resp. "Captive Portal" konfiguriert wird. Wenn dies nicht durchgeführt wird steht diese Funktion nicht zur Verfügung. Um ein "Captive Portal" basierend auf "Guest Provisioning" zu konfigurieren siehe nachfolgender Artikel der Schritt für Schritt durch diese Konfiguration führt:

       FortiAP-S:FAQ#Wie_konfiguriere_ich_ein_.22Captive_Portal.22_im_FortiCloud_Account_basierend_auf_.22Guest_Provisioning.22.3F

Kann ich im FortiCloud Account für "Guest Provisioning" die Informationen betreffend Ticket über E-Mail/SMS versenden?

Ja dies ist möglich jedoch nur basierend auf der "Guest Provisioning" Konfiguration in Zusammenhang mit einem "Captive Portal". Wie dieses zu konfigurieren ist siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_konfiguriere_ich_ein_.22Captive_Portal.22_im_FortiCloud_Account_basierend_auf_.22Guest_Provisioning.22.3F

Wenn ein "Guest Provisioning" anhand eines "Captive Portal" konfiguriert wurde so kann der Standard Administrator für den FortiCloud Account sowie zusätzlich definiert "Guest Manager" Administratoren "Tickets" für das "Captive Portal" erstellen. Diese Tickets werden für einen Standard Administrator über folgenden Menüpunkt erstellt:

       Configure > FortiCloud User/Group > Guest > + Guest

Dabei ist zu unterscheiden zwischen "Multiple Guests" Funktion und einzelner "Guest" Erfassung:

       Multiple Guests"
       
       Fortinet-1552.jpg
       
       Fortinet-1553.jpg
       
       NOTE Wenn "Multiple Guests" definiert wird kann die Anzahl der zu generierenden "Tickets" definiert werden. In unserem
            Beispiel "2". Zusätzlich kann ein "Präfix" definiert werden der dazu benützt wird um den "Usernamen" zu definieren.
            Ebenso, sofern gewünscht kann eine entpsrechende E-Mail Adresse definiert werden. Wird diese E-Mail Adresse definiert
            werden die Details der "Tickets" dieser E-Mail Adresse nach Bestätigung übermittlet. Nachfolgend ein Beispiel:
            
            --------------- Output confirmation E-Mail --------------- 
            
            Von:	noreply@forticloud.com
            Gesendet:	Freitag, 23. Oktober 2015 09:08
            An:	Andrea Soliva
            Betreff:	Wifi access
            
            Guest access to wireless network (SSID: fortiap-s4guest) has been generated.
            
            User ID - Password: 
            gast-_Q38UP2 - PELKDDD8
            gast-_9NIXEQ - J4GIEBVG 
            
            --------------- Output confirmation E-Mail --------------- 
            
            Die Dauer der "Tickets" unter "Expire after" bedeutet folgendes: Die Dauere eines Tickets wird definiert über den ersten
            Gebrauch für eine Authentifizierung dh. sobald eine Authentifizierung durchgeführt wird anhand eines "Tickets" ist dieses
            gemäss Definion "Expire after" solange gültig. Nachträglich nach dem die "Multiple Guests" Ticket definiert wurden sind
            diese unter folgenden Punkt ersichtlich:
            
            Configure > FortiCloud User/Group > Guests
            
            Nachträglich können diese Ticket gewählt werden und modifziert werden in Dauer (Expire after) oder an eine anderen E-Mail
            Adresse versenden, ein entsprechender Name setzen sowie das Passwort verändern:
            
            Fortinet-1555.jpg
            
            Ebenso ist es nachträglich möglich diese Ticket anzuwählen und diese per SMS zu versenden:
            
            Fortinet-1556.jpg
            
            Das SMS wird ca. in 5 Sekunden übermittelt und sieht folgendermassen aus:
            
            --------------- Output Absender "BulkSMS" +41 28 557 67 ---------------
            
            Guest access to wireless network (SSID: fortiap-s4guest).  User ID: gast-_9NIXEQ Password: XFSTLCMC
            
            --------------- Output Absender "BulkSMS" +41 28 557 67 ---------------
       Einzelne Guests"
       
       Alle die Vorgängig beschriebenen Funktionen dh. wie das "Ticket" über eine definierte E-Mail Adresse zu versenden oder über SMS
       usw. stehen für ein einzelnes "Ticket" direkt zur Verfügung und können nachträglich ebenfalls modifziert werden.:
       
       Fortinet-1557.jpg
       
       Fortinet-1558.jpg

Führt ein zusätzlich definierter Administrator als "Guest Manager" ein Login durch auf dem FortiCloud Account, steht diesem "nur" das "Guest Provisioning" zur Verfügung. Der "Guest Manager" sieht jedoch ebenfalls "alle" Tickets die in der Gruppe "guest" erstellt wurden durch andere Administratoren und kann diese ebenfalls modifzieren. Selbstverständlich kann dieser definierte "Guest Manager" selber neue "Tickets" erstellen:

       Fortinet-1559.jpg

Wie konfiguriere ich ein "Captive Portal" im FortiCloud Account basierend auf "Guest Provisioning"?

In den nachfolgenden Schritten wird gezeigt wie im FortiCloud Wireless Controller ein "Captive Portal" basierend auf "Guest Provisioning" konfiguriert wird. Um was es sich bei der Funktion "Guest Provisioning" handelt siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Gibt_es_die_Funktion_eines_.22Guest_Provisioning_im_FortiCloud_Account.3F

Als Erstes muss eine entsprechende "SSID" konfiguriert werden da diese die Basis darstellt für ein "Guest Provisioning". Ohne diese "SSID" basierend auf "Captive Portal" steht die Funktion "Guest Provisioning" nicht zur Verfügung. An erster Stelle bevor die "SSID" für "Captive Portal" konfiguriert wird muss ein "AP Tag" erstellt werden. Weitere Informationen zu "AP Tag's" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_erstelle_ich_auf_dem_FortiCloud_Wireless_Controller_einen_.22AP_Tag.22_und_um_was_handelt_es_sich_dabei.3F

Wähle für die Erstellung des "AP Tag" folgendes:

       Configure > AP Tags > + AP Tag
       Fortinet-1538.jpg
       Fortinet-1539.jpg

Nun kann die "SSID" Konfiguriert werden:

       Configure > SSIDs > [Wähle "All" im Filter > + SSID
       Fortinet-1540.jpg

Wähle als Authentifizierungs Methode "Open". Definiere ein "Captive Portal" sowie als "Sign on Method" die Gruppe "Guest" die per Standard im FortiCloud zur Verfügung steht und die direkt mit dem "Guest Provisioning" in Zusammenhang steht:

       Fortinet-1541.jpg
       
        NOTE Die Position "Redirect URL" hat zwei Funktionen dh. Wenn der User - da die Authentifizierung auf "Open" steht - ohne Interaktion,
             wenn er sich mit der SSID "fortiap-s4guest" verbindet eine IP vom zuständigen DHCP Server zugewiesen bekommt, ist es dem User 
             möglich bereits eine URL zu öffnen. Wird dies durchgeführt so wird diese URL anhand der Konfgiuration "Orginal Request" zischen-
             gesepeichert und da "keine" Authentifizierung stattgefunden hat das "Captive Portal" angezeigt. Authentifiziert sich der User 
             korrekt am "Captive Portal" wird der "Orginal Request" des Users resp. die URL ausgeführt. Anhand der Konfiguration "Specify URL"
             kann konfiguriert werden, dass anstelle der "Original Request" URL eine spezifizierte Seite angezeigt wird. Der "Orginal Request"
             des Users resp. der URL des Users geht bei dieser Konfiguration verloren. Ueber die Position "Walled Garden" kann eine IP sowie
             FQDN definiert werden für die es "keine" Authentifizierung benötigt. Dies bedeutet: Wird ein Domain Name zB also.com definiert
             und der User öffnet nach Zuweisung der IP über den DHCP Server den Browser und versucht "also.com" anzugehen wird "keine"
             Authentifizierung anhand des "Captive Portals" durchgeführt sondern die Anfrage wird erlaubt da im "Walled Garden" definiert.
             Auf diese Funktion wird mit folgen Hinweis hingewiesen:
             
             * IP address, domain name and sub-network address/mask are allowed. 
             * To enter more than one value, separate the values with a comma.
       Fortinet-1542.jpg
       
       NOTE Die entsprechenden UTM Features können jederzeit nachträglich aktiviert werden!

Im nächsten Schritt wird dieser neuen SSID den vorgängig erstellten "AP Tag" zugewiesen. Um die Sicherheit des "Guest" Zugang zu erhöhen kann über die Funktion "Schedule" der Zugang der SSID über eine zeitliche Definition eingeschränkt werden. Möchte man dies nicht durchführen und der "Guest" Zugang anhand dieser SSID soll jederzeit zur Verfügung stehen kann die Funktion "Schedule" von "Custome" auf "Allways" umgestellt werden:

       Fortinet-1543.jpg

Im nächsten Schritt kann das Aussehen, Inhalt sowie das Logo des "Captive Portal" definiert werden:

       Fortinet-1544.jpg
       Fortinet-1545.jpg
       Fortinet-1546.jpg

Nun muss für die "Guest Provisioning" Gruppe "guest" ein entsprechender Administrator erstellt werden. Wähle dazu folgenden Menüpunkt:

       My Account > + Add User
       Fortinet-1499.jpg
       Fortinet-1547.jpg

Sobald der zusätzliche Administrator erfasst wurde, wird diesem ein E-Mail über die definierte E-Mail Adresse zugesendet. Nachfolgend ein Beispiel:

       --------------- Confirmation E-Mail FortiCloud --------------
       
       Von:	        noreply@forticloud.com
       Gesendet:	Mittwoch, 21. Oktober 2015 14:06
       An:	        Pirmin Roos
       Betreff:	New User Confirmation at FortiCloud
       
       Thank you for using FortiCloud. To activate your account, please click on this 
       link:
	
       https://www.forticloud.com/activate?key=DVfET%2B31cycgRAz10wofCmhoMU8j2nKqsfTly%2BpKDNHwaCS6fHN8j3KqoUIBK8fK8mq2WYQNc61P5KASaMcvPF%2Bve2AunxeWhNk%2B709sg08%3D
       
       Thanks,
       
       FortiCloud Admin
       
       --------------- Confirmation E-Mail FortiCloud --------------

Der neue Administrator hat 24 Stunden Zeit die Registration zu vollenden. Solange dies nicht durchgeführt wird bleibt der neue Administrator auf Status "Pending" und kann nicht benützt werden dh. kein Login ist möglich bevor die Registration nicht ordnungsgemäss durchgeführt wurde. Nach der Aktivierung des Accounts anhand des Links im zugestellten E-Mail kann der Administrator benützt werden und der Status des Administrators geht auf "Active":

       Fortinet-1548.jpg

Als letzten Schritt muss die SSID für das "Captive Portal" resp. für das "Guest Provisionig" dem entsprechenden Device anhand des "AP Tag's" hinzugewiesen werden:

       Access Points > AP List > [Aktiviere die "checkbox" des entsprechenden Devices] > Change AP Tags
       Fortinet-1549.jpg
       Fortinet-1550.jpg

Die Konfiguration wird danach bestätigt mit der zusätzlichen konfigurierten SSID:

       Fortinet-1551.jpg

Damit die Konfiguration getestet werden kann muss ein entsprechendes "Ticket" (Guest Provisioning Funktion) erstellt werden anhand des definierte "Administrators" für "Guest Manager". Der Standard Administrator des FortiCloud Account hat diese Rechte ebenfalls und kann diese Tickets über folgende Position erstellen:

       Configure > FortiCloud User/Group > Guest > + Guest

Dabei ist zu unterscheiden zwischen "Multiple Guests" Funktion und einzelner "Guest" Erfassung:

       Multiple Guests"
       
       Fortinet-1552.jpg
       
       Fortinet-1553.jpg
       
       NOTE Wenn "Multiple Guests" definiert wird kann die Anzahl der zu generierenden "Tickets" definiert werden. In unserem
            Beispiel "2". Zusätzlich kann ein "Präfix" definiert werden der dazu benützt wird um den "Usernamen" zu definieren.
            Ebenso, sofern gewünscht kann eine entpsrechende E-Mail Adresse definiert werden. Wird diese E-Mail Adresse definiert
            werden die Details der "Tickets" dieser E-Mail Adresse nach Bestätigung übermittlet. Nachfolgend ein Beispiel:
            
            --------------- Output confirmation E-Mail --------------- 
            
            Von:	noreply@forticloud.com
            Gesendet:	Freitag, 23. Oktober 2015 09:08
            An:	Andrea Soliva
            Betreff:	Wifi access
            
            Guest access to wireless network (SSID: fortiap-s4guest) has been generated.
            
            User ID - Password: 
            gast-_Q38UP2 - PELKDDD8
            gast-_9NIXEQ - J4GIEBVG 
            
            --------------- Output confirmation E-Mail --------------- 
            
            Die Dauer der "Tickets" unter "Expire after" bedeutet folgendes: Die Dauere eines Tickets wird definiert über den ersten
            Gebrauch für eine Authentifizierung dh. sobald eine Authentifizierung durchgeführt wird anhand eines "Tickets" ist dieses
            gemäss Definion "Expire after" solange gültig. Nachträglich nach dem die "Multiple Guests" Ticket definiert wurden sind
            diese unter folgenden Punkt ersichtlich:
            
            Configure > FortiCloud User/Group > Guests
            
            Nachträglich können diese Ticket gewählt werden und modifziert werden in Dauer (Expire after) oder an eine anderen E-Mail
            Adresse versenden, ein entsprechender Name setzen sowie das Passwort verändern:
            
            Fortinet-1555.jpg
            
            Ebenso ist es nachträglich möglich diese Ticket anzuwählen und diese per SMS zu versenden:
            
            Fortinet-1556.jpg
            
            Das SMS wird ca. in 5 Sekunden übermittelt und sieht folgendermassen aus:
            
            --------------- Output Absender "BulkSMS" +41 28 557 67 ---------------
            
            Guest access to wireless network (SSID: fortiap-s4guest).  User ID: gast-_9NIXEQ Password: XFSTLCMC
            
            --------------- Output Absender "BulkSMS" +41 28 557 67 ---------------
       Einzelne Guests"
       
       Alle die Vorgängig beschriebenen Funktionen dh. wie das "Ticket" über eine definierte E-Mail Adresse zu versenden oder über SMS
       usw. stehen für ein einzelnes "Ticket" direkt zur Verfügung und können nachträglich ebenfalls modifziert werden.:
       
       Fortinet-1557.jpg
       Fortinet-1558.jpg

Führt ein zusätzlich definierter Administrator als "Guest Manager" ein Login durch auf dem FortiCloud Account, steht diesem "nur" das "Guest Provisioning" zur Verfügung. Der "Guest Manager" sieht jedoch ebenfalls "alle" Tickets die in der Gruppe "guest" erstellt wurden durch andere Administratoren und kann diese ebenfalls modifzieren. Selbstverständlich kann dieser definierte "Guest Manager" selber neue "Tickets" erstellen:

       Fortinet-1559.jpg

Nun kann die Konfiguration des "Guest Provisioning" getestet werden anhand der entsprechenden SSID sowie den entsprechenden "Tickets". Beachte dabei die Logs die eine Authentifizierung aufzeichnen sowie Verbindungsdetails der "Guest" User. Dazu siehe nachfolgende Artikel:

       FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Details_betreffend_User_Authentifizierung.3F
       FortiAP-S:FAQ#Im_welchem_Log_im_FortiCloud_Account_sehe_ich_die_Verbindungdetails_eines_Users.3F

Wie kann ich ein Selfregistrations Portal für ein Gast WLAN Netz in der FortiCloud konfigurieren?

Es ist möglich ein Gast Netz zu konfigurieren, in welchen sich der User selbst registrieren kann. Um dies zu konfigurieren, muss eine SSID mit einer offenen Registration erfasst werden. Dabei wird über ein CaptivePortal die Sign on Method auf Self-Registerd-Guest eingestellt. Der Gast User, der sich mit dem WLAN verbinden will muss sich so zuerst selber registrieren. Sobald die Registration abgeschlossen ist, wird im per SMS ein Passwort zugesendet mit welchem er sich verbinden kann. Folgendermassen wird so ein Selfregistrationsportal über die FortiCloud konfiguriert:

Konfigurieren des guest-customer WLAN über die FortiCloud
Fortinet-20037.jpg

In der FortiCloud über das Menu AP Network auf Configure dann auf Add SSID gehen um die gast-customer SSID zu erstellen.

Fortinet-20021.jpg
  1. SSID Name eingeben
  2. Authentication auf Open selektieren
  3. CaptivePortal auf FortiCloud ‘’Captive Portal’’ selektieren. Es ist möglich ein externes CaptivePortal anzubinden, dann muss der Menu Punkt My Captive Portal angewählt werden.
  4. Sign on Method auf Self-Registered-Guests selektieren
  5. Es empfiehlt sich ein eigenes Gast Netzwerk zu betreiben um die Gäste vom produktiven Netz zu trennen. Dies wird mit der Option NAT konfiguriert. Es kann der gewünschte IP Range inklusive Maske konfiguriert werden. Will man im selben Netz wie die Produktion sein, Bridge anwählen. So wird über den im Netz vorhandenen DHCP Server eine Adresse dem Gastclient zugewiesen.
  6. mit Next zum nächsten Konfiguration Punkt.
Fortinet-20022.jpg

Falls die entsprechende Lizenz vorhanden ist, können die UTM Features wunschgemäss konfiguriert werden:

  1. Wie konfiguriere ich ein Antivirus Profil ?
  2. Wie konfiguriere ich das Intrusion Prevention Profil ?
  3. Wie konfiguriere ich das Botnet Profil ?
  4. Wie konfiguriere ich das Web Access Profil ?
  5. Wie konfiguriere ich das Applikation Controll Profil ?

wenn kein Profil konfiguriert werden soll kann dieser Schritt mit Next übersprungen werden.

Fortinet-20023.jpg
  1. Die gewünschten Radio (2,4 GHz und/oder 5 GHz nach bedarf selektieren. Die Maximalen Cleints können noch definiert werden. Null bedeutet so viel wie technisch möglich sind.)
  2. Per AP definieren. Mit dieser Einstellung wird definiert, für welche APs diese SSID gilt. Mehr informationen über den AP Tag
Fortinet-20024.jpg

Mit der Option Schedule wird definiert, in welchem Zeitraum die GAST-SSID aktiv ist. Folgende Optionen stehen zu Verfügung:

  • Always : SSID immer aktiv und verfügbar
  • Daily 8AM - 6PM  : SSID ist jeden Tag zwischen 08:00 bis 18:00U Uhr verfügbar
  • Weekdays 8AM - 6PM : Die SSID ist von Montag bis Freitag zwischen 08:00 bis 18:00U Uhr verfügbar
  • Custom : Hier können Zeitpläne gemäss Wunsch definiert werden

Mit Next bestätigen und zum nächsten Konfigurations Punkt gelangen.

Fortinet-20025.jpg

Die Login Seite kann nach eigenen Bedürfnisse noch angepasst werden. Es kann ein Logo hochgeladen werden. Die Textfarbe und die Hintergrundfarbe angepasst werden.

Fortinet-20026.jpg

Der Titelbereich kann mit einer eigenen Hintergrundfarbe angezeigt werden. Diese Farbe wird über das Feld Color konfiguriert. Die Textfarbe des Titels wird im Feld Text Color definiert.

Fortinet-20027.jpg

Im Tab Self-Registered kann die Eingabe Maske noch mit einem Disclaimer im Textfeld ergänzt werden.

  • Wie lange ein Account gültig ist kann im Feld Account Expires after eingestellt werden.
  • Im Feld How to generate username kann eingestellt werden, wie der Username generiert und übermittelt wird. Folgende Optionen stehen zu verfügung:
    • Use mobile number as username (die Mobile Nummer wird als Username fungieren ohne Ländervorwahl)
    • Randomly generated username send via SMS (Ein Username wird zufällig erzeugt und per SMS zugestellt)
    • Randomly generated username send via Email (Ein Username wird zufällig erzeugt und an die eingebene Email Adresse zugestellt)
  • Wenn alles fertig konfiguriert ist mit Next abschliessen.
Fortinet-20029.jpg

Es wird eine Zusammenfassung der Konfiguration angezeigt. Sobald mit apply bestätigt wird, ist die Konfiguration abgeschlossen. Es wird die neu erfasste SSID (in unserem Fall guest-customer) mit den Parametern angezeigt. Die Konfiguration der SSID wird auf die entsprechenden FortiAP deploeyed und ist aktiv.

Fortinet-20028.jpg
Auf das WLAN guest-customer über einen Client Verbinden:
Fortinet-20030.jpg

Im Client Betriebssystem auf die WLAN Einstellungen gehen und sich mit dem gewünschten WLAN verbinden. In unserem Beispiel heisst das WLAN guest-customer

Fortinet-20032.jpg

Das Eingabefeld entsprechend ausfüllen. Wichtig die Mobile Telefonnummer muss ohne Null und Ländervorwahl eingegeben werden. Zum Beispiel würde die Mobile Nummer +41 79 111 12 13 folgendermassen erfasst: 791111213. Die Länderwahl muss zwingend korrekt angegeben werden, ansonsten kommt das SMS nie am richtigen Ort an.

Fortinet-20034.jpg

Wenn bestätigt wurde, bekommt man eine Meldung das die Registration abgeschlossen wird und die Zugangsdaten versendet werden. Es wird in kürze ein SMS mit den Login Daten auf das Handy gesendet (kann auch mal eine gute Minute dauern)

Fortinet-20033.jpg

So sieht das SMS mit den entsprechenden Login Daten aus. Auch hier gilt, falls der Benutzername die Mobile Nummer ist, diesen ohne Vorwahl und Null eingeben.

Fortinet-20035.jpg

Die Zugesendeten Angaben können eingegeben werden

Fortinet-20036.jpg

Jetzt ist man mit dem Gast Netzwerk verbunden

Map

Wie definiere ich einen FortiAP-S für die Funktion "Map and Floor Plan"?

In der FortiCloud steht eine Funktion zur Verfügung die sich "Map and Floor Plan" nennt. Diese Funktion ist absolut Optional und visualisiert einen FortiAP-S verbund anhand einer Geografischen Karte sowie über Stockwerke. Um einen FortiAP-S grundsätzlich zur "Map" hinzu zu fügen wähle folgendes:

       Access Points > Map and Floor Plans > Set APs Position
       Fortinet-1504.jpg

Wähle nun den FortiAP-S (not defined) anhand eines Mausklicks oder wähle das Symbole (in Form eines Hauses) um die entsprechende Adresse zu editieren:

       Fortinet-1505.jpg

Nun gebe die vollständige Adresse ein für den Standord des Access Points:

       Fortinet-1506.jpg

Nach dem Bestätigen des Standorts resp. der Adresse für den FortiAP-S wird dieser in der "Map" gemäss der Adresse dargestellt:

       Fortinet-1507.jpg

Eine andere Variante ist den FortiAP-S über eine Stockwerkplan in der MAP darzustellen. Dazu muss das Gebäude sowie der Stockwerkplan definiert werden. Dieser wird dann später wiederum in der "Map verwendet. Somit wird mit Stockwerkplan und Gebäude gearbeitet muss die Information betreffend dem FortiAP-S in der "Map" gelösch werden. Definiert ein entsprechendes Gebäude und Stockwerkplan. Wähle folgender Menüpunkt:

       Access Points > Map and Floor Plans > Set APs Position

Vergewissere dich das der FortiAP-S nicht definiert ist/wurde und wenn dies der Fall ist markiere diesen und löschen die Informatione mit dem entsprechenden Symbole (X):

       Fortinet-1508.jpg

Danach wähle die folgende Position:

       Access Points > Map and Floor Plans > Edit Floor Plan

In der "Toolbar" wähle "New":

       Fortinet-1509.jpg

Nun definiere den Stockwerkplan sowie die Informationen des Gebäudes:

       NOTE Als Stockwerkplan kann ein .jpg, .gif usw. verwendet werden!
       Fortinet-1510.jpg

Nach dem Bestägigen wir der Stockwerkplan anhand der Adresse in die "Map" eingefügt. Diese "Map" kann anhand der "Toolbar" vergrössert, verkleinert usw. verändert werden. Wenn die Modifikationen in Grösse, Transparenz etc. durchgeführt wurde bestätige mit "Apply":

       Fortinet-1511.jpg

Nun gehe wieder zurück zur Position "Set APs Position" und platziere den FortiAP-S anhand des Symbols (Kleines Häuschen) in den vorhandenen Stockwerkplan:

       Access Points > Map and Floor Plans > Set APs Position
       Fortinet-1512.jpg

Sobald die Konfiguration abgeschlossen ist kann die "Map" mit dem Stockwerkplan eingesehen werden resp. den FortiAP-S angewählt werden:

       Access Points > Map and Floor Plans
       Fortinet-1513.jpg

Kann ich einen "Map and Floor Plan" heranziehen um festzustellen ob "overlapping channels" am Standort existiert?

Ausgehend davon das eine korrekte Konfiguration durchgeführt wurde für "Map and Floor Plan" kann diese Konfiguration die ein FortiAP-S auf einen Standort visualisiert herangezogen werden ob ein "overlapping channel" am Standort existiert (Interferences). Weiter Informationen dazu wie "Map and Floor Plan" konfiguriert wird siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_definiere_ich_einen_FortiAP-S_f.C3.BCr_die_Funktion_.22Map_and_Floor_Plan.22.3F

Voraussetzung, dass "overlapping channels" dh. Interferences angezeigt werden, ist das die "Rogue AP" Funktion, "Radio Resource Provisioning" sowie "Automatic TX Power Control" aktiviert ist dh. diese Funktionen stehen im Zusammenhang mit "Radio Scan". Dies bedeutet: "Radio Scan" wird nur dann genutzt wenn einer der Funktionen aktiviert ist. Damit "overlapping channels" verhindert werden können resp. damit der FortiAP-S den "channel" automatisch wechseln kann muss "Radio Resource Provisioning" aktiviert werden. Zusätzlich sollte "Rogue AP" Funktion aktiviert werden um nicht authorisierte Access Points zu erkennen die mit der gleichen SSID wie unsere FortiAP-S konfiguriert sind. "Automatic TX Power Control" steht ebenfalls im direkten Zusammenhang mit "Radio Scan" jedoch nur in dem Konsenz - dass durch diese Funktion verhindert wird - dass sich zwei FortiAP-S im gleichen Verbund sich durch ihre "channels" selber stören (Interferences). Somit ist "Automatic TX Power Control" nur dann zu aktivieren wenn sich zwei FortiAP-S mit dessen Signal überlappen und sich somit gegenseitig stören. Weitere Informationen zu den Funktionen siehe nachfolgende Artikel:

       FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F
       FortiAP-S:FAQ#Um_was_handelt_es_sich_beim_.22Radio_Scan.22_und_wie_soll_ich_diese_Funktion_konfigurieren.2Faktivieren.3F
       FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F

Alle diese Funktionen werden im "Platform Profile" konfiguriert das einem entsprechenden FortiAP-S Device zugewiesen wird. Weitere Informationen wie ein "Platform Profile" konfiguriert wird siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Wenn alle diese Voraussetzung gegeben sind und die Funktionen aktiviert resp. konfiguriert wurden sieht man die "overlapping channels" resp. die Interferences unter folgender Position in der Funktion "Map and Floor Plan":

       Access Points > Channel Planning
       Fortinet-1514.jpg

In diesem Beispiel wird aufgezeigt das 3 Devices eine Interference schaffen. Um festzustellen "welche" Access Point diese Interferences produziert kann die Funktion "Rogue AP" Monitor benutzt werden um festzustellen welcher Access Point diese Interferences produziert sowie welche "channels" bereits benutzt werden und welche zu selektieren sind im "Profile Platform" das diese nicht benutzt werden. Dies gilt vorallem im 2.4 GHz Bereich da in diesem Bereich das Risiko von Interferences hoch ist. Weitere Information über diesen Monitor siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Rogue_AP.E2.80.99s.22.3F

Eine weitere Möglichkeit ist der "Dedicated Monitor" der auf "Radio-1/2" aktiviert werden kann um an die nötigen Informationen zu komen. Weitere Information zu den "overlapping channels" resp. Interferences siehe auch nachfolgender Artikel:

       FortiAP-S:FAQ#Was_bedeutet_.22overlapping_wifi_channels.22_.28Interferences.29.3F

Logs / Monitor

Im welchem Log im FortiCloud Account sehe ich die Details betreffend User Authentifizierung?

Die Details einer User Authentifizierung sieht man in der nachfolgende Position. Wenn ein Log Eintrag mit einem Mausklick markiert wird werden die Details für den Log Eintrag ersichtlich:

       Fortinet-1536.jpg

Im welchem Log im FortiCloud Account sehe ich die Verbindungdetails eines Users?

Wenn ein User korrekt Authentifiziert sieht man die Details wie Singalstärke, 2.4 GHz oder 5 GHz, IP, MAC Adresse usw. im folgenden Monitor:

       Fortinet-1537.jpg
       
       NOTE Die entsprechenden Einträage sind nur dann ersichtlich wenn eine Verbindung existiert dh. dieser Monitor
            ist ein "Real-Time" Monitor und enthält keine History!

Reports

Wo kann ich Reports konfigurieren sowie diese Automatisch per E-Mail zustellen?

Grundsätzlich steht die Report Funktion unter folgender Position zur Verfügung:

       Report > Summary Report
       Fortinet-1574.jpg

Diese Reports stehen per Standard zur Verfügung und können anhand der Filter "realtime" aufbereitet werden:

       Fortinet-1575.jpg

Wird in diesem Filter "Specify" gewählt kann anhand eines Kalenders Start Datum/Zeit sowie End Datum/Zeit gewählt werden für einen Report:

       Fortinet-1576.jpg

Unter der Position "Generated Reports" muss unterschieden werden zwischen "All History" Report und einem "Scheduled" Report. Der "Scheduled" Report stellt den Report dar der auf dieser Seite als "Summary Report" dargestellt wird mit allen Details:

       Fortinet-1577.jpg

Dies bedeutet auch: Möchte man den "Summary Report" über eine E-Mail Adresse zugestellt bekommen und/oder Täglich, Wöchentlich sowie Monatlich ausführen, muss dies über "Scheduled" Menüposition konfiguriert werden:

       Fortinet-1578.jpg

Somit möchte man zB zwar Täglich, Wöchentlich sowie Monatlich einen Report generieren jedoch nur den "Wöchentlichen" über E-Mail zustellen kann folgendes konfiguriert werden:

       Fortinet-1579.jpg
       
       NOTE Wenn ein Administrator konfiguriert wurde damit dieser über "E-Mail" Reports erhält, hat dieser Administrator die
            Möglichkeit über den zugestellten Report diesen abzubestellen (unsuscribe). Dazu steht in jedem dieser zugestellten
            "E-Mails" mit den konfigurierten Reports ein entsprechender Link zur Verfügung:
            
            "If you no longer want to receive this report via e-mail, please unsubscribe."

Alle erstellen Reports werden unter "History Reports" abgelegt und können dort eingesehen, per E-Mail versendet, runtergeladen sowie gelöscht werden. Wenn eine Zeile markiert wird, stehen diese Funktionen als Symbole Rechts Aussen zur Verfügung:

       Generated Reports > All History Reports
       Fortinet-1580.jpg

Um wieder zur Ausgangslage im Menü zurück zu geladen benütze die Menüposition Rechts Aussen "Current Report". Nachfolgend ein Beispiel eines Standard Reports als PDF:

       Datei:Summary-Report-alsochlu-fap-s-2015-10-23-00 00-2015-10-24-00 00.pdf

Kann ich die Reports die im FortiCloud per Standard existieren abändern?

Die Reports die im FortiCloud per Standard existiren können modifiziert werden jedoch nur in einigen belangen. Dies bedeutet unter der folgenden Position steht der Standard Report zur Verfügung:

       Report > Summary Report
       Fortinet-1574.jpg

Diese Reports sind aufgeteilt in "Report Block". Dies bedeutet: Wählt man "New Report Block" wird ein neuer "Report Block" oberhalb des bestehenden erstellt:

       Fortinet-1581.jpg
       Fortinet-1582.jpg

Danach kann dieser "Report Block" mit "Chart's" abgefüllt werden:

       Fortinet-1583.jpg

Wähle zB "Security Summary":

       Fortinet-1584.jpg
       Fortinet-1585.jpg

Nun können im "Chart" verschiedenen Einstellungen resp. Filter hinzugefügt werden:

       Fortinet-1586.jpg

Um die Konfiguration zu bestätigen klicke auf "Run". Danach wird das neue "Chart" mit den Daten angezeigt:

       Fortinet-1587.jpg
       
       NOTE Jedes bestehende und neue "Chart" kann so modifiziert werden dh. in jedem "Report Block" resp. "Chart" stehen sobald
            diese markiert werden vers. Symbole zur Verfügung die es erlauben den Inhalt der "Chart's" zu modifzieren betreffend
            verschiedener Aspekte wie zB benutzte SSID, FortiAP-S usw.

Um oberhalb des neuen "Report Block" einen Text resp. Ueberschrift hinzu zufügen wähle im "Report Block" Rechts das Symbole und danach "New Section Title":

       Fortinet-1588.jpg

Vergebe eine "Section Tile" und bestätige mit "Save":

       Fortinet-1589.jpg

Wenn in "einem" der "Report Block's" Rechts Aussen unter dem Symbole "Reset Report" gewählt wird gehen "sämtliche" neuen Konfigurationen verloren und der Standard Report wird zurückgestellt auf die Ausgangslage!

Was bedeutet die Position "PCI Report" unter dem Menüpunkt "Reports"?

Unter dem Menüpunkt "Report" existiert ein Menüpunkt "PCI Report". Unter diesem Menüpunkt findet man folgende Beschreibung:

       "It will check your AP network settings for compliance with PCI DSS 3.0"

Dies bedeutet: PCI DSS (PCI Security Standards Council) ist ein internationales, offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten. Die Aufgabe des PCI Security Standards Council ist es, durch Information, Weiterbildung und Aufklärung über die PCI Security Standards die Sicherheit von Zahlungs- und Kontodaten zu erhöhen. Die Organisation wurde von American Express, Discover Financial Services, JCB International, MasterCard und Visa, Inc. gegründet. Weitere Informationen dazu siehe nachfolenden Link:

       https://de.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php

Kurz gesagt es geht hier wie ähnlich bei den ISO Normen um Einhaltung von gewissen Grundlagen. Im FortiCloud stellt Fortinet so ein Report zur Verfügung. Damit dieser erstellt werden kann müssen einige Fragen beantwortet werden wie zB "Werden Accounts oder Passwörter geteilt" usw. Durch diesen Fragen wird nachträglich ein Report ersteltl der wiederum Auskunft gibt ob der PCI DSS 3.0 Standard eingehalten wird und auf welchen Position dieser nicht eingehalten wird oder mit Vorbehalt:

       Fortinet-1590.jpg

Entsprechend der Abbildung sieht dann ein entsprechender Report folgendermassen aus:

       Datei:61967-1445865458205.pdf

Konfiguration

Was bedeutet der Konfigurationspunkt "Radio Resource Provisioning" (ARRP/DARRP)?

ARRP "Automatic Radio Resource Provisioning" oder DRRP "Distributed Automatic Radio Resource Provisioning" steht im Zusammenhang mit den "Channels" für 2.4 GHz sowie 5 GHz. Diesem Konfigurationspunkt kommt eine wichtige Funktion zu. DARRP steuert bei Kollidierung der "channel's" das Ausweichen auf einen nicht besetzen resp. kollidierenden "channel". Dies bedeutet nichts anderes als: Wenn diese Position aktiviert ist sucht sich der FortiCloud Wireless Controller den oder die besten "channels" raus die nicht mit anderen Access Points kollidieren oder am wenigsten benutzt werden. Die "channel" Benutzung wird im Hintergrund durch die Funktion "Radio Resource Provisioning" evaluiert und falls notwendig dem FortiAP-S mitgeteilt damit dieser auf den neuen -sofern nötig- "channel" wechseln kann. Somit um DARRP richtig nutzen zu können, ist die Vorraussetzung das man sich im klaren ist, welche "channel's" in der Umgebung benutzt werden. Dies kann über die "Rogue AP" und dessen Funktion eruiert werden! Somit ist es unabdingbar diese Position zu aktivieren, speziell wenn mehrer Access Points in Reichweite sind um diese Kollisionen unter den "channel's" zu verhindern. DARRP (Radio Resource Provisioning")wird im entsprechenden "Platform Profile" (Radio-1/2) konfiguriert. Betreffend der Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "Rogue AP’s"?

"Rogue" bedeutet "Schurke" und bezeichnet ein Access Point der nicht zum regulären FortiAccessPoint/FortiAP-S Verbund/Netzwerk gehört. Dies "kann" zB bedeuten: illegale betriebenen Access Points mit gleicher SSID wie für die regulären FortiAP-S konfiguriert wurde oder fremde Access Point's die durch deren SSID Broadcast erkannt werden. Die Funktion "Rogue AP's" sammelt in der Umgebung Informationen über Broadcasting SSID's und listet diese auf. Diese Funktion liefert ebenfalls Informationen welche "channels" in der Umgebung bereits benutzt werden und welche "channels" für den FortiAP-S speziell im 2.4 GHz Bereich gewählt werden sollten. Um den FortiAP-S für "AP-Scan" zu aktivieren muss im "Platform Profile" die entsprechende Position "Rogue AP Scan" auf den Radio-1/2 aktiviert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Wenn die Funktion aktiviert wurde im "Platform Profile" sowie dieses einem FortiAP-S zugewiesen wurde, kann über folgende Position die "Rogue AP" Daten eingesehen werden:

       Monitor > Rogue AP
       Fortinet-1492.jpg

Was bedeutet der Konfigurationspunkt "Client Load Balancing AP Handoff"?

Die Funktionsweise des "Forti Access Point Handoff" ist die folgende: Ein "Handoff" wird durch den FortiAP-S ausgelöst anhand des "threshold" (Standard 30). Wenn der "Load" auf einem FortiAP-S den gesetzten "threshold" übersteigt, wird der WiFi Client angewiesen auf den nächsten FortiAP-S und/oder Radio zu wechseln. Für diesen Wechsel - der "Hand-off" genannt wird - ist die Signalstärke des Client entscheidend (RSSI threshold). Dieser Wert erhält der Client vom zuständigen FortiAP-S. Um zu verhindern das ein Zugriff auf den Client (durch FortiAP-S) verhindert wird, werden wiederholende Anfragen zum FortiAP-S - durch den WiFi Client auf dem FortiAP-S auf dem der WiFi Client momentan verbunden ist - akzeptiert. Diese Funktion nennt man "soft-limit". Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "Client Load Balancing Frequency Handoff"?

Diese Funktion wird benutzt im Zusammenhang mit dem "Client Load Balancing". Die Funktionsweise des "Client Load Balancing Frequency Handoff" ist die Folgende: Der FortiCloud Wireless Controller überprüft in gewissen Abständen die WiFi Client's betreffend Ihrer Band-Fähigkeit (Frequenzen 2.4 GHz / 5 GHz)! Ebenfalls wird durch den FortiCloud Wireless Controller betreffend dem WiFi Client die RSSI (Signal Stärke) überwacht und das auf allen möglichen Frequenzen. Wenn ein neuer WiFi Client sich verbinden will, überprüft der FortiCloud Wireless Controller die MAC Adresse des Client und schaut gleichzeitig in den "Tabellen" nach, in denen die verschiedenen Informationen abgelegt sind wie zB Band-Fähigkeit und RSSI (Signal Stärke). Daraus resultierend kann der FortiCloud Wireless Controller entscheiden ob der Device über "dual band" verfügt oder nicht dh. 2.4 GHz und/oder 5 GHz:

      • Wenn der WiFi Client über "kein" Dual-Band verfügt: Wird dem WiFi Client erlaubt sich mit dem FortiAP-S(2.4 GHz) zu verbinden!
        
      • Wenn der WiFi Client über Dual-Band verfügt mit "guter" Signal Stärke: Antwortet der FortiCloud Wireless Controller nicht auf die Anfrage 
        betreffend 2.4 GHz sondern der WiFi Client wird angewiesen sich mit 5 GHz auf den FortiAP-S zu verbinden. Um zu verhindern, dass ein  
        Zugriff auf den Client verhindert wird, werden wiederholende Anfragen zum FortiAP-S durch den WiFi Client auf dem FortiAP-S auf dem sich
        der WiFi Client verbinden will akzeptiert.
        NOTE Einige Clients unterstützen diesen Vorgang selber dh. diese WiFi Clients unterstützen 2.4 GHz sowie 5 GHz. Ist beides vorhanden 
             wird automatisch 5 GHz benutzt. Auf den Clients wird jedoch "nur" 5 GHz angezeigt. Ein Beispiel für solche Device's sind iOS Devices.

Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "Automatic TX Power Control"?

Bei "Automatic TX Power Control" handelt es sich um die Stärke des Signals für ein FortiAP-S! Benützt werden kann diese Funktion, wenn zwei FortiAP-S zu nah zueinander positioniert wurden und sich somit selber stören durch Interferenzen (channel overlapping)! Um dies zu verhindern, kann manuell der "Automatic TX Power Control" herabgesetzt werden oder automatisiert werden. Dies bedeutet folgendes:

      • Ist das Signal grösser als 70dBm wird der "Automatic TX Power Control" auf "auto-power-low" (TX Power Low Standard 10dBm) gesetzt!
        
      • Ist das Signal kleiner als 70dBM wird der "Automatic TX Power Control" auf "auto-power-high" (TX Power High Standard 17dBm) gesetzt!
      NOTE Die Informationen über die Signalstärke wird durch den FortiCloud Wireless Controller über die FortiAP-S gesammelt und ausgewertet. 
           Aus diesem Grund erkennt der FortiCloud Wireless Controller ein "channel overlapping" innerhalb der FortiAP-S Verbund. Desweiteren 
           ist nachfolgende Tabelle Aufschlussreich betreffend verwendeter Stärke in "dBm" resp. "milliwatt". Dabei ist zu berücksichtigen das 
           wenn 50% TX Power benützt wird folgendes gilt:
           
           50% of 100mW = 50mW was wiederum 17dBm entspricht
           
            0 dBm =   1 mW
            3 dBm =   2 mW
            6 dBm =   4 mW
            9 dBm =   7.9 mW
           12 dBm =  15.8 mW
           15 dBm =  31.6 mW
           18 dBm =  61.1 mW
           21 dBm = 125.9 mW
           24 dBm = 251.2 mW

Diese Funktion kann im "Platform Profile" konfiguriert werden. Weitere Informationen zur Konfiguration eines "Platform Profile" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Wie_ben.C3.BCtze.2Fkonfiguriere_ich_die_.22Platform_Profile.22_auf_dem_FortiCloud_Wireless_Controller.3F

Was bedeutet der Konfigurationspunkt "short guard intervall"?

"Guard Intervalle", auch Schutzintervalle genannt, werden in der Nachrichtentechnik eingesetzt, um zu verhindern, dass sich bestimmte Übertragungen vermischen. Sie erhöhen die Störfestigkeit gegenüber Ausbreitungsverzögerungen, Echos und Reflexionen, gegen die digitale Daten, die in der Regel sehr anfällig sind. Die Länge des "Guard Intervalls" entscheidet dabei, wie störanfällig eine Übertragung ist. Je länger ein solches Intervall ist, desto besser schützt es gegen Störungen, desto geringer wird allerdings auch die Kanaleffektivität (Performance).

      802.11 Guard Interval
      Der Standard-Symbol Guard Interval der in 802,11 OFDM verwendet wird, ist 0.8μs. Um die Datenrate zu erhöhen,
      fügt die 802.11n-Unterstützung einen optionale 0.4μs Guard Interval hinzu. Diese Optionale Zuschaltung eines
      "short guard intervall" bietet eine 10% bis 11% Erhöhung der Datenrate. Die kürzeren Schutzintervall führen
      jedoch zu einer höheren Paketfehlerrate denn die Verzögerung des Schutzintervalls innerhalb des Kanals und /
      oder Timing-Synchronisation zwischen dem Sender und Empfänger ist nicht genau festgesetzt. Eine Regelung 
      könnte entwickelt werden, um herauszufinden ob ein Short Guard Intervall von Vorteil wäre. Um die Komplexität
      zu reduzieren, implementieren die Herstellern in der Regel nur einen kurzen Schutzintervall um die Performance
      zu erhöhen.
      NOTE Wie erklärt dient dieser Konfigurtionspunkt der Performance resp. um diese zu erhöhen. Jedoch kann dieser
           Konfigurationspunkt auch die Stabilität der Uebertragung beeinflussen. Aus diesem Grund ist empfohlen dieser
           Konfigurationspunkt in der ersten Phase nicht zu benutzen resp. zu deaktivieren!

Was bedeutet "overlapping wifi channels" (Interferences)?

Wireless-Verbindungen funktionieren auf Frequenzbändern auch Kanäle (channels) genannt. Einer der Gründe, dass eine WiFi Verbindung langsam ist/wird, ist das der gewählte Kanal bereits benutzt wird und somit die Verbindung beeinträchtigt wird (Interferences). Somit sollte man dieses "overlapping" möglichst verhindern. Nachfolgend eine Abbildung für den 2.4 sowie 5 GHz Bereich des "overlapping":

       Datei:Fortinet-330.jpg

Um herauszufinden welchen Kanal in der Umgebung verwendet wird, kann die "Dedicated Monitor" Funktion im entsprechenden "Platform Profile" benutzt werden. Dies bedeutet: man setzt einen "Radio" auf einem Access Point in den "Monitor" Modus (Dedicated Monitor) und kann so die Umgebung scannen um zu sehen welche Kanäle verwendet werden. Wir die in einem entsprechenden "Platform Profile" für ein FortiAP-S aktiviert kann nach einigen Minuten die Informationen im Log ausgelesen werden. Dazu muss jedoch die entsprechende Spalte (Column Settings) für den "Channel" eingeblendet werden:

       Logs > Wireless Logs
       Fortinet-1515.jpg

Danach kann die beste Variante speziell im 2.4 GHz Bereich gewählt werden. Der Grundsatz lautet immer 4 Kanäle freizulassen zwischen den gewählten Kanälen zB "3", "8" sowie "13". Vergleicht man die gewählten Kanälen mit der Abbildung oben sieht man, dass so die kleinste Ueberlappung stattfindet. Alle Kanäle anzuwählen und "Radio Provisioning" zu aktivieren ist nicht empfohlen! Jedoch ist es unabdingbar die "Radio Resource Provisioning" Funktion zu aktivieren um den Forti Access Point zu ermöglichen bei einem "overlapping" den Kanal zu wechseln. Weitere Informationen zu "Radio Resource Provisioning" siehe nachfolgender Artikel:

       FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Radio_Resource_Provisioning.22_.28ARRP.2FDARRP.29.3F
       
       NOTE Für den 2.4 GHz Bereich sind meistens Kompromisse einzugehen dh. in einer Stadt sind Interferencen fast unumgänglich dh. 
            man lässt zB nur 3 Kanäle frei zwischen den gewählten Kanälen. Wichtig ist in allen Bereichen einen Kanal zu wählen dh.
            im unteren, mittleren und oberen Segment. Ebenso kann durch die Funktion "Frequency Handoff" verhindert werden das der
            2.4 GHz Bereich überhaupt benutzt wird denn diese Funktion erkennt ob der WiFi Client über 5 GHz Möglichkeiten verfügt
            und weist den WiFi Client an von 2.4 GHz auf 5 GHz zu wechseln da der 5 GHz Bereich über massiv weniger durch "Interferences"
            beinträchtigt wird. Weitere Informationen dazu siehe nachfolgender Artikel:
            
            FortiAP-S:FAQ#Was_bedeutet_der_Konfigurationspunkt_.22Client_Load_Balancing_Frequency_Handoff.22.3F  

CLI

Welche Kommandos stehen auf einem FortiAP-S auf CLI zur Verfügung?

Wie bei den FortiAP steht auch auf den FortiAP-S über CLI verschiedenen Kommandos (BusyBox v1.19.4) zur Verfügung. Nachfolgend die wichtigsten Kommandos im Ueberblick:

       # help
       help                    Display this text
       ?                       Synonym for 'help'
       exit                    Exit
       brctl               
       cfg                 
       dmesg               
       cw_debug            
       cw_diag             
       cw_test_led         
       cw_test_radio       
       diag_console_debug  
       diag_debug_crashlog 
       factoryreset        
       fap-get-status      
       fap-set-hostname    
       get                 
       radartool           
       reboot              
       restore             
       tftp                
       utm_diag            
       kp                      cw_diag kernel-panic
       ut                      cw_diag uptime
       bd                      cw_diag baudrate
       sta                     cw_diag ksta
       dv                      cat /proc/net/dvlan/debug
       klog                    cw_diag repeat 1000000 1 "dmesg -c"
       ton                     cw_diag --tlog on
       toff                    cw_diag --tlog off
       con                     cw_diag --clog on
       coff                    cw_diag --clog off
       fon                     cw_diag --flog 16
       foff                    cw_diag --flog 0
       don                     cw_debug app cwWtpd 0x7fff
       doff                    cw_debug app cwWtpd 0
       wcfg                    cw_diag -c wtp-cfg
       rcfg                    cw_diag -c radio-cfg
       vcfg                    cw_diag -c vap-cfg
       perf                    cw_diag sys-performance
       scanclr                 cw_diag -c scan-clr-all
       apscan                  cw_diag -c ap-scan
       stascan                 cw_diag -c sta-scan
       txq0                    iwpriv wifi0 get_txq_dump;dmesg
       txq1                    iwpriv wifi1 get_txq_dump;dmesg
       crash                   diag_debug_crashlog read
       br                      brctl show
       brm                     brctl showmacs
       nt                      cw_diag -c net-topo
       cld                     cw_diag -c fcld-cfg
       cldc                    rm /tmp/wtp.cldc.*; rm /etc/ftnt/wtp.cldc.*
       kv                      ft_dbg_kvar -g
       ka                      ft_dbg_kvar -s
       # [fap-get-status | get system status]
       Version: FortiAP-S323C v5.4,build0121,150722 (GA)
       Serial-Number: PS323C3U15000216
       BIOS version: 04000002
       System Part-Number: P17651-03
       Regcode: E 
       Base MAC: 08:5b:0e:eb:bb:54
       Hostname: PS323C3U15000216
       Branch point: 121
       Release Version Information: GA
       # fap-set-hostname
       Usage:
       
               fap-set-hostname <new hostname>
       # get ?
       Usage:
               get system status
               get current info
               get cfg all|VAR_NAME
       # get current info
       S_RADIO_MODE_0: AP
       S_RADIO_BAND_0: invalid
       S_RADIO_TXPOWER_0: 31
       S_RADIO_OPER_CHAN_0: 0
       S_RADIO_MODE_1: AP
       S_RADIO_BAND_1: invalid
       S_RADIO_TXPOWER_1: 31
       S_RADIO_OPER_CHAN_1: 0
       S_IP_ADDR: 0.0.0.0
       S_NETMASK: 0.0.0.0
       S_GATEWAY: 0.0.0.0
       S_CURR_STATE: 0
       S_AC_IP: 0.0.0.0
       S_DNS_IP: 208.91.112.53
       
       # get current info
       S_RADIO_MODE_0: AP
       S_RADIO_BAND_0: invalid
       S_RADIO_TXPOWER_0: 31
       S_RADIO_OPER_CHAN_0: 0
       S_RADIO_MODE_1: AP
       S_RADIO_BAND_1: invalid
       S_RADIO_TXPOWER_1: 31
       S_RADIO_OPER_CHAN_1: 0
       S_IP_ADDR: 0.0.0.0
       S_NETMASK: 0.0.0.0
       S_GATEWAY: 0.0.0.0
       S_CURR_STATE: 0
       S_AC_IP: 0.0.0.0
       S_DNS_IP: 208.91.112.53
       # get cfg all
       BAUD_RATE: 9600
       ADMIN_TIMEOUT: 5
       ADDR_MODE: DHCP
       AP_IPADDR: 192.168.1.2
       AP_NETMASK: 255.255.255.0
       IPGW: 192.168.1.1
       AP_MODE: 0
       DNS_SERVER: 208.91.112.53
       STP_MODE: 0
       AP_MGMT_VLAN_ID: 0
       TELNET_ALLOW: 0
       HTTP_ALLOW: 1
       DDNS_ENABLE: 0
       DDNS_PORT: 443
       DDNS_SERVER: 0
       DDNS_UNIQUE_LOCATION: FortiAP
       AC_DISCOVERY_TYPE: 0
       AC_IPADDR_1: 192.168.1.1
       AC_HOSTNAME_1: _capwap-control._udp.example.com
       AC_DISCOVERY_MC_ADDR: 224.0.1.140
       AC_DISCOVERY_DHCP_OPTION_CODE: 138
       AC_DISCOVERY_FCLD_APCTRL: 
       AC_DISCOVERY_FCLD_ID: 
       AC_DISCOVERY_FCLD_PASSWD_ENC: 
       AC_CTL_PORT: 5246
       AC_DATA_CHAN_SEC: 2
       MESH_AP_TYPE: 0
       MESH_AP_SSID: fortinet.mesh.root
       MESH_AP_BSSID: 
       MESH_AP_PASSWD_ENC: MjAyMDIwMjAyMDIwMjAyMDBlMmUyNDIzM2Y2ZjIyNGYyZDM1
       MESH_ETH_BRIDGE: 0
       MESH_MAX_HOPS: 4
       MESH_SCORE_HOP_WEIGHT: 50
       MESH_SCORE_CHAN_WEIGHT: 1
       MESH_SCORE_RATE_WEIGHT: 1
       MESH_SCORE_BAND_WEIGHT: 100
       MESH_SCORE_RSSI_WEIGHT: 100
       SURVEY_SSID: FAP_SURVEY
       SURVEY_TX_POWER: 30
       SURVEY_CH_24: 6
       SURVEY_CH_50: 36
       SURVEY_BEACON_INTV: 100
       QUICK_SETUP_MODE: 0
       # cw_test_radio -h
       /sbin/cw_test_radio <1|2> <2g|5g|auto> <ssid|off> [address] [netmask]
       # diag_console_debug -h
       Usage:
       
               diag_console_debug <on|off>               --turn on/off console log message
       # diag_debug_crashlog
       Usage:
       
               diag_debug_crashlog clear                     --clear crash log
               diag_debug_crashlog read                      --read crash log and print
       # cfg -h
       cfg -h            - output this help
       cfg -r var        - remove variables
       cfg -e            - export variables
       cfg -s            - list variables
       cfg -x            - resetting to factory defaults
       cfg -c            - commit the change to flash
       cfg -a var=value  - add or change variables
       
       Supported Variable Names:
           BAUD_RATE
               9600, 19200, 38400, 57600, 115200
           WTP_NAME
           WTP_LOCATION
           FIRMWARE_UPGRADE
           LOGIN_PASSWD
           ADMIN_TIMEOUT
               Telnet and GUI session admin timeout in minutes [0-480]
           ADDR_MODE
               DHCP, STATIC
           AP_IPADDR
           AP_NETMASK
           IPGW
           AP_MODE
               0(Thin AP), 2(Site Survey)
           DNS_SERVER
           STP_MODE
               0(disabled), 1(enabled), 2(disabled with blocked WAN port switch)
           AP_MGMT_VLAN_ID
           TELNET_ALLOW
           HTTP_ALLOW
           DDNS_ENABLE
           DDNS_PORT
           DDNS_SERVER
               0(fortiddns.com), 1(fortidyndns.com), 2(float-zone.com)
           DDNS_UNIQUE_LOCATION
           AC_DISCOVERY_TYPE
               0(auto), 1(static), 2(dhcp), 3(dns), 5(broadcast), 6(multicast), 7(forticloud)
           AC_IPADDR_1
           AC_IPADDR_2
           AC_IPADDR_3
           AC_HOSTNAME_1
           AC_HOSTNAME_2
           AC_HOSTNAME_3
           AC_DISCOVERY_MC_ADDR
           AC_DISCOVERY_DHCP_OPTION_CODE
           AC_DISCOVERY_FCLD_APCTRL
           AC_DISCOVERY_FCLD_ID
           AC_DISCOVERY_FCLD_PASSWD
           AC_DISCOVERY_FCLD_PASSWD
           AC_CTL_PORT
           AC_DATA_CHAN_SEC
               0(Clear Text), 1(DTLS Enabled), 2(Clear Text or DTLS Enabled)
           MESH_AP_TYPE
               0(Ethernet), 1(Mesh), 2(Ethernet with mesh backup support)
           MESH_AP_SSID
           MESH_AP_BSSID
           MESH_AP_PASSWD
           MESH_AP_PASSWD
           MESH_ETH_BRIDGE
               Only take effect with MESH_AP_TYPE 1(mesh) AP
           MESH_MAX_HOPS
           MESH_SCORE_HOP_WEIGHT
           MESH_SCORE_CHAN_WEIGHT
           MESH_SCORE_RATE_WEIGHT
           MESH_SCORE_BAND_WEIGHT
           MESH_SCORE_RSSI_WEIGHT
           SURVEY_SSID
           SURVEY_TX_POWER
           SURVEY_CH_24
           SURVEY_CH_50
           SURVEY_BEACON_INTV
       # cw_diag help
       cw_diag usage:
           cw_diag help                       --show this usage
           cw_diag uptime                     --show daemon uptime
           cw_diag --tlog  <on|off>           --turn on/off telnet log message.
           cw_diag --clog  <on|off>           --turn on/off console log message.
           cw_diag --flog  <size in MB>       --turn on/off log message to /tmp/var_log_wtpd.
           cw_diag baudrate [9600 | 19200 | 38400 | 57600 | 115200]
           cw_diag kernel-panic [size [ID]]   --show saved kernel panic log fromflash
           cw_diag kernel-panic clear         --clear saved kernel panic log from flash
           cw_diag k-dvlan-debug [0-15]             --enable/disable kernel dynamic vlan debug
           cw_diag plain-ctl [[0|1] | clear]        --show, set or clear current plain control setting
           cw_diag sniff-cfg [[ip port] | clear]    --show, set or clear sniff server ip and port
           cw_diag sniff [intf [0|1|2] | clear]     --show, set or clear sniff setting on intf
           cw_diag stats wl_intf                    --show wl_intf status
           cw_diag deauth wl_intf sta-mac           --deauthenticate the sta from wl_intf
           cw_diag disassoc wl_intf sta-mac         --disassociate the sta from wl_intf
           cw_diag ksta [HHHH]                      --show clients on the FortiAP
           cw_diag wl-log                           --get wlan's beacon/probe related info
           cw_diag band-width [rId] [wId] [sta-mac] --show radio, vap, sta band width
           cw_diag pkt-pattern [rId]                --show traffic packet length info.
           cw_diag repeat cnt intv cmd              --run cnt times of cmd at intv interval
           cw_diag sys-performance                  --show CPU load and memory usage
           cw_diag clear debug                      --clear all debug settings
           cw_diag show debug                       --show all debug settings
           cw_diag show control                     --show all -c settings
           cw_diag show all                         --show all debug and -c settings
           cw_diag -c wtp-cfg                       --show current wtp config params in control plane
           cw_diag -c fcld-cfg                      --show current forticloud client config
           cw_diag -c radio-cfg                     --show current radio config params in control plane
           cw_diag -c ssid                          --show current configrued SSIDs
           cw_diag -c vap-cfg                       --show current vaps in control plane
           cw_diag -c ap-rogue                      --show rogue APs pushed by AC for on-wire scan
           cw_diag -c sta-rogue                     --show rogue STAs pushed by AC for on-wire scan
           cw_diag -c arp-req                       --show scanned arp requests
           cw_diag -c ap-scan                       --show scanned APs
           cw_diag -c sta-scan                      --show scanned STAs
           cw_diag -c sta-cap                       --show scanned STA capabilities
           cw_diag -c sta-locate                    --show scanned STA locate data
           cw_diag -c sta-locate-reset [level]      --reset scanned STA locate data
           cw_diag -c wids                          --show scanned WIDS detections
           cw_diag -c mesh                          --show mesh status
           cw_diag -c mesh-veth-acinfo              --show mesh veth ac info, and mesh ether type
           cw_diag -c mesh-veth-vap                 --show mesh veth vap
           cw_diag -c mesh-veth-host                --show mesh veth host
           cw_diag -c mesh-ap                       --show mesh ap candidates
           cw_diag -c vlan                          --show current vlan info in daemon
           cw_diag -c sta                           --show current station info in daemon
           cw_diag -c sys-vbr                       --show WTP Vlan Bridges
           cw_diag -c net-topo                      --show interface topology
           cw_diag -c wev                           --show queued wireless events to report
           cw_diag -c k-vap                         --show WTP Kernel local-bridge VAPs
           cw_diag -c k-host                        --show WTP Kernel local-bridge Hosts
           cw_diag -c k-wlvl                        --show WTP Kernel local-bridge Wlan Vlans
           cw_diag -c k-vbr                         --show WTP Kernel local-bridge Vlan Bridges
           cw_diag -c scan-clr-all                  --flush all scanned AP/STA/ARPs
           cw_diag -c ap-suppress                   --show suppressed APs
           cw_diag -c sta-deauth                    --de-authenticate an STA

Welche Linux Kommandos stehen auf einem FortiAP-S auf CLI zur Verfügung?

Ein FortiAP-S basiert auf einem "GNU/Linux"! Wenn ein User sich über CLI auf einem Forti Access Point einloggt übernimmt dieser "root" Rechte dh. die "shell" steht sofort zur Verfügung. Auf einem FortiAP-s muss der User nach erfolgreichem Login folgenden Befehl ausführen das die "shell" des User "root" geladen wird:

       > shell
       
       BusyBox v1.19.4 (2016-02-09 14:02:48 PST) built-in shell (ash)
       Enter 'help' for a list of built-in commands.
       
       #

Danach kann der User übliche Linux Kommandos absetzen wie zB "ifconfig -a" um die aktuelle Konfiguration der Interfaces anzuschauen. Um zu sehen welche Kommandos zur Verfügung stehen lohnt es sich kurz die folgenden Verzeichnisse anzuschauen:

       /bin
       /sbin
       # ls -la /bin
       
       --------------- output /bin ---------------
       
       drwxr-xr-x    1 admin    root             0 Jan  1  1970 .
       drwxr-xr-x    1 admin    root             0 Jan  1  1970 ..
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 addgroup -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 adduser -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 ash -> busybox
       -rwxr-xr-x    1 admin    root        388328 Feb  9 22:03 busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 cat -> busybox
       lrwxrwxrwx    1 admin    root            13 Jan  1  1970 cfg -> /sbin/cgiMain
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 chgrp -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 chmod -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 chown -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 cp -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 date -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 dd -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 delgroup -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 deluser -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 df -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 dmesg -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 echo -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 egrep -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 factoryreset -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 false -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 fgrep -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 fsync -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 grep -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 gunzip -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 gzip -> busybox
       -rwxr-xr-x    1 admin    root          1382 Mar  7  2015 ipcalc.sh
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 kill -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 ln -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 lock -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 login -> busybox
       -rwxr-xr-x    1 admin    root           424 Mar  7  2015 login.sh
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 ls -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 mkdir -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 mknod -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 mktemp -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 mount -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 mpstat -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 mv -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 netmsg -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 netstat -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 nice -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 pidof -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 ping -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 ping6 -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 ps -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 pwd -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 rm -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 rmdir -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 sed -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 sh -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 sleep -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 sync -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 tar -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 touch -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 true -> busybox
       -rwxr-xr-x    1 admin    root          6580 Feb  9 21:59 ubus
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 umount -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 uname -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 vi -> busybox
       lrwxrwxrwx    1 admin    root             7 Feb  9 22:25 zcat -> busybox
       
       --------------- output /bin ---------------
       # ls -la /sbin
       
       --------------- output /sbin ---------------
       
       drwxr-xr-x    2 admin    root          1688 Feb  9 22:27 .
       drwxr-xr-x    1 admin    root             0 Jan  1  1970 ..
       -rwxr-xr-x    1 admin    root         12844 Feb  9 22:10 80211stats
       -rwxr-xr-x    1 admin    root          9358 Feb  9 22:10 activateVAP
       -rwxr-xr-x    1 admin    root          8456 Feb  9 22:10 apcfg
       -rwxr-xr-x    1 admin    root           330 Feb  9 22:10 apdown
       -rwxr-xr-x    1 admin    root         18607 Feb  9 22:27 apstart
       -rwxr-xr-x    1 admin    root         23804 Feb  9 22:10 apstats
       -rwxr-xr-x    1 admin    root         22171 Feb  9 22:10 apup
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 arp -> ../bin/busybox
       -rwxr-xr-x    1 admin    root          5824 Feb  9 22:10 athadhoc
       -rwxr-xr-x    1 admin    root         22428 Feb  9 22:10 athstats
       -rwxr-xr-x    1 admin    root          2876 Feb  9 22:10 athstatsclr
       -rwxr-xr-x    1 admin    root         59652 Feb  9 22:10 cgiMain
       -rwxr-xr-x    1 admin    root          5714 Mar  7  2015 cpuutil
       -rwxr-xr-x    1 admin    root       2119786 Feb  9 22:27 cwWtpd
       lrwxrwxrwx    1 admin    root             6 Feb  9 22:27 cwWtpd_cldc -> cwWtpd
       lrwxrwxrwx    1 admin    root             6 Feb  9 22:27 cwWtpd_serv -> cwWtpd
       -rwxr-xr-x    1 admin    root         58948 Feb  9 22:26 cw_debug
       lrwxrwxrwx    1 admin    root             6 Feb  9 22:27 cw_diag -> cwWtpd
       -rwxr-xr-x    1 admin    root          5940 Feb  9 22:26 cw_test_led
       -rwxr-xr-x    1 admin    root          3754 Feb  9 22:26 cw_test_radio
       -rwxr-xr-x    1 admin    root           200 Mar  7  2015 devstatus
       -rwxr-xr-x    1 admin    root        505000 Feb  9 22:26 dhcpd
       -rwxr-xr-x    1 admin    root         56530 Feb  9 22:26 diag_console_debug
       -rwxr-xr-x    1 admin    root         57242 Feb  9 22:26 diag_debug_crashlog
       -rwxr-xr-x    1 admin    root         58492 Feb  9 22:26 diag_test
       -rwxr-xr-x    1 admin    root         62098 Feb  9 22:26 fap-factory-license
       -rwxr-xr-x    1 admin    root         57134 Feb  9 22:26 fap-get-status
       -rwxr-xr-x    1 admin    root         56264 Feb  9 22:26 fap-mount-udisk
       -rwxr-xr-x    1 admin    root         58026 Feb  9 22:26 fap-set-hostname
       -rwxr-xr-x    1 admin    root         55849 Feb  9 22:26 fap-umount-udisk
       -rwxr-xr-x    1 admin    root        224887 Feb  9 22:27 fapportal
       -rwxr-xr-x    1 admin    root           629 Mar  7  2015 firstboot
       -rwxr-xr-x    1 admin    root        434272 Feb  9 22:10 ft_dbg_kvar
       -rwxr-xr-x    1 admin    root          9796 Feb  9 22:10 ft_rate_config
       -rwxr-xr-x    1 admin    root           686 Feb  9 22:04 fw
       -rwxr-xr-x    1 admin    root         64456 Feb  9 22:26 get
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 halt -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         56238 Feb  9 22:26 help
       -rwxr-xr-x    1 admin    root        642800 Feb  9 22:27 hostapd
       -rwxr-xr-x    1 admin    root           317 Mar  7  2015 hotplug-call
       -rwxr-xr-x    1 admin    root         22868 Feb  9 22:22 hotplug2
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 hwclock -> ../bin/busybox
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 ifconfig -> ../bin/busybox
       lrwxrwxrwx    1 admin    root             4 Feb  9 22:26 ifdown -> ifup
       -rwxr-xr-x    1 admin    root           273 Mar  7  2015 ifstatus
       -rwxr-xr-x    1 admin    root          1320 Mar  7  2015 ifup
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 init -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         55376 Feb  9 22:26 init_sys_shm
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 insmod -> ../bin/busybox
       -rwxr-xr-x    1 admin    root          6449 Feb  9 22:10 killVAP
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 klogd -> ../bin/busybox
       -rwxr-xr-x    1 admin    root           500 Mar  7  2015 led.sh
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 logread -> ../bin/busybox
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 lsmod -> ../bin/busybox
       -rwxr-xr-x    1 admin    root           924 Jan  5  2015 luci-reload
       -rwxr-xr-x    1 admin    root         11327 Feb  9 22:10 makeVAP
       -rwxr-xr-x    1 admin    root           517 Mar  7  2015 mount_root
       -rwxr-xr-x    1 admin    root         15244 Feb  9 22:23 mtd
       -rwxr-xr-x    1 admin    root         77168 Feb  9 21:59 netifd
       -rwxr-xr-x    1 admin    root          1303 Feb  9 22:10 network
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 pivot_root -> ../bin/busybox
       -rwxr-xr-x    1 admin    root          8464 Feb  9 22:10 pktlogconf
       -rwxr-xr-x    1 admin    root          8700 Feb  9 22:10 pktlogdump
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 poweroff -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         11980 Feb  9 22:10 radartool
       -rwxr-xr-x    1 admin    root           532 Feb  9 22:10 rc.bridge
       -rwxr-xr-x    1 admin    root           847 Feb  9 22:10 rc.network
       -rwxr-xr-x    1 admin    root          4364 Feb  9 22:10 rc.wlan
       -rwxr-xr-x    1 admin    root          1356 Feb  9 22:10 rcS
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 reboot -> ../bin/busybox
       -rwxr-xr-x    1 admin    root            61 Feb  9 22:27 repeater_pass_configuration
       -rwxr-xr-x    1 admin    root           318 Mar  7  2015 reset_to_factory_settings.sh
       -rwxr-xr-x    1 admin    root         57950 Feb  9 22:26 restore
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 rmmod -> ../bin/busybox
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 route -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         57667 Feb  9 22:26 setcfg
       -rwxr-xr-x    1 admin    root          1623 Mar  7  2015 setmac
       -rwxr-xr-x    1 admin    root           550 Mar  7  2015 sound
       -rwxr-xr-x    1 admin    root         17988 Feb  9 22:10 spectraltool
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 start-stop-daemon -> ../bin/busybox
       -rwxr-xr-x    1 admin    root         62300 Feb  9 22:26 startup_fw
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 switch_root -> ../bin/busybox
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 sysctl -> ../bin/busybox
       -rwxr-xr-x    1 admin    root           904 Mar  7  2015 sysdebug
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 syslogd -> ../bin/busybox
       -rwxr-xr-x    1 admin    root          5393 Jul  2  2015 sysupgrade
       -rwxr-xr-x    1 admin    root            34 Jun 17  2015 sysupgradecli
       -rwxr-xr-x    1 admin    root          6712 Feb  9 22:10 tx99tool_bin
       -rwxr-xr-x    1 admin    root         13156 Feb  9 21:59 ubusd
       -rwxr-xr-x    1 admin    root         10584 Feb  9 21:59 uci
       -rwxr-xr-x    1 admin    root          5608 Feb  9 22:22 udevtrigger
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 udhcpc -> ../bin/busybox
       -rwxr-xr-x    1 admin    root           367 Apr 14  2015 updatepartition
       lrwxrwxrwx    1 admin    root            14 Feb  9 22:25 vconfig -> ../bin/busybox
       -rwxr-xr-x    1 admin    root          4296 Mar  7  2015 wifi
       -rwxr-xr-x    1 admin    root          5877 Mar  7  2015 wifi_try
       -rwxr-xr-x    1 admin    root         35504 Feb  9 22:10 wifitool
       -rwxr-xr-x    1 admin    root         19196 Feb  9 22:10 wlanconfig
       -rwxr-xr-x    1 admin    root        455200 Feb  9 22:27 wpa_supplicant
               
       --------------- output /sbin ---------------

Nachfolgend noch einige Hinweise wo sich elementare Informationen für die Konfiguration befinden:

      • Die Zertifikate für die Verbindung zwischen dem Wireless Controller und dem FortiAP-S befinden sich im folgenden Files/Verzeichnis:
      
        /etc/cert
        
        /etc/fgt.crt
        /etc/fgt.key
      • Die Start Scripts die bei einem Start eines FortiAP-S abgearbeitet werden befinden sich i RC Level was wiederum folgenden Verzeichnis entspricht: 
        
        /etc/rc.d/
      • Wenn ein FortiAP-S gestartet wird und keine anderen Informationen erhält wird die Standard Konfiguration geladen. Diese befindet sich im folgenden File:
        
        /etc/ath/dflt.cfg
        
        Wenn eine Benutzer spezifische Konfiguration geladen wird so befindet sich diese Konfiguration im folgenden File:
        
        /etc/ath/apcfg