Guías técnicas

Configurar FortiGate con FortiConnect como portal cautivo externo

FortiConnect se puede configurar como el portal cautivo externo para autenticación acceso a Internet en una implementación de FortiGate. Este artículo se centra en el configuraciones requeridas en el controlador FortiGate y FortiConnect para formar un conjunción perfecta.

A continuación se describirán las configuraciones únicamente para el acceso inalámbrico de invitados; para el acceso de invitados por conexiones cableadas deberá crearse una interfaz VLAN en FortiGate, y configurarla para emplear un portal cautivo según el procedimiento que se va a describir, y tener esa VLAN cableada disponible como una VLAN sin etiquetar en el puerto del conmutador del dispositivo invitado.

Antes de comenzar

Asegúrese de que se cumplan los siguientes requisitos previos antes de configurar su configuración.

* Conéctese a FortiGate y verifique que los APs sean descubiertos por el controlador y están operativos (online).WiFi & Switch Controller > Managed FortiAPs:

El perfil FortiAP se crea y se aplica al AP en el FortiGate.

* FortiConnect está instalado y configurado.

* Existen certificados PKI válidos, para evitar errores de certificado en los dispositivos cliente.

* Cree un objeto de dirección para FortiConnect:

* Cree un objeto de dirección para su servidor DNS que aloje el FQDN para FortiConnect:

Configuración en FortiGate

Complete estas configuraciones en la GUI de FortiGate.

** Servidor RADIUS **

Vaya a User & Device > RADIUS Servers; haga clic en crear nuevo y complete la página de configuración según sus requisitos de red (las siguientes configuraciones son obligatorias):

* Name: especifique el nombre “FortiConnect”.
* NAS IP: especifique la dirección IP de la interfaz FortiGate utilizada para comunicarse con FortiConnect.
* Primary Server: especifique el nombre o la dirección IP de FortiConnect.
* Secret: especifique el secreto compartido para comunicarse con el servidor.Si adicionalmente se requiere la contabilidad RADIUS (accounting), use los siguientes comandos:config user radius
edit FortiConnect
set server <FortiConnect IP address>
set secret xxxxxxxxxx
set nas-ip <FortiGate Interface IP> (used to communicate with FortiConnect)
set acct-all-servers enable (enables RADIUS accounting)
set acct-interim-interval (configures time between each accounting interim update message)

** Configurar el Remote Guest User Group **

Cree un nuevo grupo de usuarios remotos y asigne FortiConnect como plataforma de autenticación.

Vaya a User & Device > User Groups; haga clic en crear nuevo y complete la página de configuración según sus requisitos de red (las siguientes configuraciones son obligatorias):
Name: un nombre único para el grupo de usuarios.
Type: seleccione Firewall para la autenticación.
Remote Groups: haga clic en + Add y seleccione el servidor RADIUS creado en el paso anterior.

** Configurar la interfaz WiFi **

En este paso se configurarán el SSID y el portal cautivo para autenticación.

Vaya a WiFi & Switch Controller > SSID; haga clic en crear nuevo y complete la página de configuración según sus requisitos de red (las siguientes configuraciones son obligatorias):
Interface Name: especifique el nombre de la interfaz SSID.
Type: seleccione WiFi SSID.
Traffic Mode: seleccione Tunnel.
IP/Network Mask: especifique la dirección IP y la máscara de red para el SSID.
* Habilite el servidor DHCP, y conserve el rango de direcciones predeterminado.

Configure los siguientes ajustes para el portal cautivo:
SSID: especifique el SSID.
Security Mode: seleccione Captive Portal como modo de seguridad para la conexión inalámbrica interfaz.
Portal Type: seleccione Authentication como tipo de portal cautivo.
Authentication Portal: complete la configuración de FortiConnect en Configuración en FortiConnect (un poco más adelante en este artículo) antes de continuar.
Especifique el FQDN o la dirección IP de FortiConnect. Introducir la URL de dirección/redireccionamiento obtenida de FortiConnect en uno de los siguientes formatos:·
connect.fortixpert.com/portal/<DEVICEIP = RADIUS NAS-IP>
Ejemplo: connect.fortixpert.com/portal/10.1.10.1o bien,· <FortiConnect_IP>/portal/<FortiGate_NAS_IP>
Ejemplo: 10.1.10.5/portal/10.1.10.1

NOTA: La configuración de una URL de tipo External para el portal requiere que se elimine el prefijo https:// .
User Groups: seleccione los grupos de usuarios permitidos para el portal cautivo autenticación; seleccione el grupo de usuarios creado anteriormente en Configurar el Remote Guest User Group.
Exempt Destinations/Devices: especifique el objeto de dirección FortiConnect y el servicio DNS.

** Configuración de las políticas de salida **

Cree una política IPV4 saliente para el acceso al portal de invitados, y otra para el acceso saliente a Internet una vez que los invitados se hayan autenticado a través del portal cautivo.

Política del portal de invitados
Vaya a Policies & Object > IPv4 Policy; haga clic en crear nuevo y complete la página de configuración según sus requisitos de red (las siguientes configuraciones son obligatorias):
Name: especifique el nombre de la política.
Incoming Interface: seleccione el SSID creado anteriormente en Configurar la interfaz WiFi.
Outgoing interface: seleccione la interfaz frente al FortiConnect.
Source: seleccione all como la fuente del tráfico inicial.
Destination: seleccione los objetos de dirección del servidor DNS y FortiConnect.
Service: seleccione DNSHTTP y HTTPS.
* Desactive el NAT.

Inicie sesión en la consola de FortiGate CLI, y ejecute los siguientes comandos para permitir el acceso a la página externa de FortiConnect Captive Portal.
config firewall policy
edit <New Guest Portal Policy ID>
set captive-portal-exempt enable
end
Política de acceso a Internet
Vaya a Policies & Object > IPv4 Policy; haga clic en crear nuevo y complete la página de configuración según sus requisitos de red (las siguientes configuraciones son obligatorias):
Name: especifique el nombre de la política.
Incoming Interface: seleccione el SSID creado anteriormente en Configurar la interfaz WiFi.
Outgoing interface: seleccione la interfaz de salida a Internet.
Source: como la fuente del tráfico inicial seleccione all, así como el grupo de usuarios creado anteriormente enConfigurar el Remote Guest User Group.
Destination: seleccione all como destinos habilitados.

Configuración en FortiConnect

Conecte al portal de FortiConnect empleando su IP o el nombre FQDN asignado (https://[FortiConnectFQDN]/admin O https://[FortiConnect IP address]/admin)

** Configurar FortiGate como cliente RADIUS **

Vaya a User & Device > RADIUS Clients; haga clic en Add RADIUS Client y complete la página de configuración según sus requisitos de red (las siguientes configuraciones son obligatorias):

* Name: especifique el nombre del equipo FortiGate.
Device IP Address: especifique la dirección IP del FortiGate utilizada para comunicarse con FortiConnect.
Secret: especifique el secreto compartido configurado en FortiGate para comunicarse con el servidor RADIUS.
Type: selccione FortiGate.
Change of Authorization: Seleccione y Proxy CoA.** Obtener el Steering Path del portal cautivo **Vaya a Guest Portals > Portals, y modifique el portal de inicio de sesión predeterminado (Default login portal) según sus requisitos.

En Portal Policy > Redirection, haga clic en Next para obtener la URL de steering/redirección; ésta es la dirección externa para acceder al portal cautivo, y está disponible en el formato https://[FORTICONNECTFQDN]/portal/login/[NAS-IP address].

Ejemplos:
https://connect.fortixpert.com/portal/login/10.1.10.1
O
https://connect.fortixpert.com/portal/10.1.10.1Notas: se deben implementar un FQDN y un certificado de servidor web válidos en FortiConnect para evitar errores de certificado cuando los dispositivos de usuario se conecten al portal cautivo.** Configurar el servidor de autenticación **

FortiConnect puede emplearse como repositorio de usuarios. Los usuarios pueden ser aprovisionados a través del “portal del patrocinador” (https://connect.fortixpert.com/sponsor), o a través de un proceso a auto-provisión de invitados únicamente si el portal está configurado para admitir esta funcionalidad.

Alternativamente, se puede seleccionar una base de datos de usuarios de terceros. Para usar un tercero base de datos de usuario, vaya a Network Access Policy > Authentication Policy, haga clic en Add Server, seleccione un tipo de servidor de autenticación y siga el asistente hasta el final.

Validación del acceso de los usuarios

Para probar y validar el éxito de la configuración, conéctese a la red WiFi invitada desde un dispositivo inalámbrico habilitado; el portal de invitados debería cargarse en segundos.
1. [Si usa el inicio de sesión auto-provisionado] Haga clic en la sección de Self Service, introduzca los datos solicitados, y haga clic en Generate Account. Anote sus detalles de inicio de sesión.
2. [Si usa el inicio de sesión auto-provisionado] Haga clic en el botón de inicio de sesión (Login) para volver en el portal a la pantalla de inicio de sesión, ingrese sus datos de inicio de sesión y ahora debería estar registrado en la red WiFi de invitados, y disponer de acceso a Internet.

En la GUI de FortiGate, vaya a Monitor > Firewall User Monitor, y verifique que el invitado haya iniciado sesión:
También puede monitorizar la actividad del usuario en Monitor> WiFi Client Monitor:
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *