Настройка Wi-Fi авторизации по SMS или звонку (hotspot captive portal) на FortiGate Fortinet

Для настройки авторизации пользователей гостевой Wi-Fi сети на оборудовании FortiGate с помощью сервиса Global Hotspot следуйте данной инструкции. Вам необходимо будет создать личный кабинет, создать в нем конфигурацию для оборудования и настроить оборудование в соответствии с этой конфигурацией.

Для входа в административный интерфейс вам необходимо перейти по ссылке https://admin.v8.global-hotspot.ru и ввести имя пользователя (email) и пароль, которые вы получили при регистрации.

Шаг 1: Создание темы, профиля, места и конфигурации

Шаг 2: Создание конфигурации для выбранного места

переходите в раздел “Заведения” подраздел “Места”, затем выбираете место, для которого вы хотите настроить портал авторизации, и в верхнем правом углу нажимаете кнопку “Создать конфигурацию”

В открывшемся окне выбираете и нажимаете кнопку “Далее”.

В следующем окне ничего настраивать не надо. Нажимаете кнопку “Далее”.

На последнем этапе будет создана конфигурация, которая вам понадобится для настройки гостевой политики captive portal в маршрутизаторе . Следуйте подсказкам мастера конфигурации.

Шаг 3: Настройка Hotspot на оборудовании FortiGate

Перед настройкой Hotspot на Fortigate необходимо настроить сам контроллер, точки доступа, создать гостевую Wi-Fi сеть и протестировать её работу без пароля и авторизации.

Перейдите в раздел WiFi & Switch Controller > Managed FortiAPs и убедитесь, что точки доступа доступны.

Для настройки Hotspot необходимо создать следующие сущности:

  1. RADIUS Server.
  2. Configuration WLAN.
  3. Walled Garden.
  4. Firewall Policy.

Добавление RADIUS сервера

Переходим в раздел User & Device > Authentication > RADIUS Servers > +Create New и создаем новый RADIUS сервер.

Указываем следующие параметры:

 Name: Имя RADIUS сервера
 IP/Name: 5.101.126.175
 Secret: captive_v8_radpass

Создание группы (User Group)

Переходим в раздел User & Device > User > User Groups создаем новую группу и выбираем ранее созданный сервер RADIUS и нажмите ОК.

Настройка Wi-Fi сети

Переходим в раздел WiFi & Switch Controller > SSIDs добавляем новую Wi-Fi сеть, либо используем уже созданную.

Создаем новую Wi-Fi сеть, следующие параметры являются обязательными:

 Interface Name: укажите имя интерфейса SSID
 Type: выберите Wi-Fi SSID
 Traffic Mode: вы можете настроить в режиме Tunnel (по умолчанию) клиентский трафик будет туннелироваться на контроллере
    Bridge - режим бриджа, клиентский трафик будет туннелироваться на порту AP.
    Mesh - частный случай Tunnel. 
 IP/Network Mask: укажите IP адрес и маску гостевой сети.
 Включить DHCP-сервер и сохранить диапазон адресов по умолчанию, либо укажите иной.

в разделе WiFi Settings указываем следующие параметры:

 SSID: имя WiFi сети
 Security Mode: Captive Portal
 Authentication Portal: External, и в открытое поле указываем ссылку из личного кабинета (шаг 2).
 User Group: extradius

Настройка политики Captive Portal

Настройка политики для веб-аутентификации

Переходим в раздел Policy & Objects > Firewall Policy и добавляем новое правило + Create New.

Указываем следующие значения:

 Name: имя правила firewall.
 Incoming Interface: Входящий интерфейс. 
 Outgoing Interface: Исходящий интерефейс. 
 Source: Источник.
 Destination: Адрес назначения.
 Service: Сервис, указываем ALL.
 Action: Действие, указываем ACCEPT.

Дополнительно выполняем команду в консоли терминала для включения обхода внутренного портала на внешний портал (external service)

В поле указываем id правила firewall.

config firewall policy
  edit 
    set captive-portal-exempt enable
  end

В нашем случае это значение 2

config firewall policy
  edit <2>
    set captive-portal-exempt enable
  end

Пользователя можно отследить в разделе Log & Report > Monitor > WiFi Client Monitor, на некоторых версиях эта информация отображается в разделе WiFi & Switch Controller > WiFi Clients.

На этом настройка Hotspot окончена.

Подключитесь к гостевой сети и проверьте результат. Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Не забудьте установить “детский доступ” в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.