Introdução
Este guia descreve os passos de configuração para habilitar um captive portal externo no Forti AP.
Usuário & Dispositivo
Servidor RADIUS
Vá para “User & Device > RADIUS” e configure as seguintes opções:
- Name: CoffeeBean-radius-server
- Authentication Method: Especificar
- Method: PAP
- IP/Name: O IP RADIUS dependerá do seu ambiente/região. Você pode verificar o IP para sua região em nossa Página de Configuração do Captive Portal
- Primary Shared Secret: Use o Shared Secret fornecido pela CoffeeBean
Grupos de Usuários
Vá para "User & Device > User Groups" para criar um grupo. Realize as seguintes configurações:
- Name: CoffeeBean-user-group
- Type: Firewall
- Remote groups: Crie um novo e configure as seguintes opções:
- Remote Server: CoffeeBean-radius-server
- Group Name: insira o nome do grupo
SSID
Vá para "WiFi Controller > SSID", clique em "Create New > SSID" e realize as seguintes configurações:
- Interface Name: CoffeeBean-guest-ssid
- Type: WiFi SSID
- Traffic Mode: Tunnel to Wireless Controller
- Address: (ex.: 192.168.30.1/255.255.255.0)
- Restrict Access: RADIUS Accounting
- DHCP Server: Active
- SSID: (ex.: CoffeeBean)
- Security Mode: Captive Portal
- Type: Authentication
- Authentication Portal: External: Insira a URL do seu captive portal (ex.: https://wifi-staging.socialidnow.com/portals/<nome do portal>/auth)
- User Groups: CoffeeBean-user-group
- Broadcast SSID: Enabled
- Block Intra-SSID Traffic: Habilitado
- Redirect after Captive Portal: Insira a URL do seu captive portal (ex.: https://wifi-staging.socialidnow.com/portals/<nome do portal>)
Política & Objetos
Endereços (Walled Garden)
Vá para "Policy & Objects > Addresses" para configurar o Walled Garden. Para estas configurações, é recomendado usar DNS. Se o controlador não aceitar o método recomendado (DNS), o usuário pode configurar usando IPs. Para cada entrada, use as seguintes opções:
- Name: Insira um nome para controlar o significado de cada IP ou DNS (ex.: Facebook 1, Facebook 2)
- Type: FQDN (recomendado) ou IP/Netmask
- Subnet / IP range or FQDN: IPs ou DNS listados na página de documentação do Walled Garden, se a opção FQDN estiver disponível. Importante: para entradas FQDN, é necessário inserir os nomes completos dos hosts (subdomínio + domínio).
- Show in Address List: checked
- Static Route Configuration: unchecked
Grupo de Endereço
Vá para "Addresses" e clique em "Create New > Address Group" e configure as seguintes opções:
Category: IPv4 Group
Group Name: CoffeeBean-walled-garden
Members: [clique no botão "+" e selecione todos os domínios adicionados anteriormente]
Política IPv4
Política DNS
Vá para IPv4 Policy e clique em Create New e configure as seguintes opções:
Name: DNS
Incoming Interface: CoffeeBean-guest-ssid
Outgoing Interface: <sua conexão WAN>
Source: All
Destination Address: All
Schedule: Always
Service: DNS
Action: ACCEPT
NAT: Enabled
Enable this policy: Active
Obtenha o policy_id na lista de políticas e execute o comando CLI abaixo:
config firewall policy
edit <policy_id>
set captive-portal-exempt enable
end
Política para Usuários Não Autenticados
Vá para IPv4 Policy e clique em Create New e configure as seguintes opções:
- Name: CoffeeBean-unauth-policy
- Incoming Interface: CoffeeBean-guest-ssid
- Outgoing Interface: <sua conexão WAN>
- Source: All
- Destination Address: CoffeeBean-walled-garden
- Schedule: Always
- Service: ALL
- Action: ACCEPT
- NAT: Enabled
- Enable this policy: Active
Obtenha o policy_ID na lista de políticas e execute o comando CLI abaixo:
config firewall policy
edit <policy_ID>
set captive-portal-exempt enable
end
Política para Usuários Autenticados
Vá para "Policy & Objects > Addresses", configure uma nova entrada para a sub-rede configurada no SSID:
- Name: CoffeeBean-ssid-address
- Type: IP/Netmask
- Subnet / IP Range: (ex.: 192.168.30.0/255.255.255.0)
- Interface: Any
Vá para IPv4 Policy, clique em Create New e configure as seguintes opções:
Name: CoffeeBean-auth-policy
Incoming Interface: CoffeeBean-guest-ssid
Outgoing Interface: <sua conexão WAN>
Source: selecione CoffeeBean-user-group e CoffeeBean-ssid-address
Destination Address: All
Schedule: Always
Service: ALL
Action: ACCEPT
NAT: Enabled