FortiAP FortiGate Konfigürasyonu

FortiGate ile FortiAP arasında iletişim kurulabilmesi açısından bir network oluşturulmalıdır. FortiAP’nin bir interface’inin FortiGate’in bir interface’ine erişmesi gerekmektedir. FortiGate tarafında interface açılırken Administrative Access olarak Security Fabric Connection açık olmalıdır. ( 6.2li sürümlerden öncesi için CAPWAP)

Aynı networkte olmadan iletişim kurulması isteniyorsa FortiAP üzerinden controller olarak FortiGate’in ya da herhangi bir marka firewallun yani gateway ne ise gatewayin ilgili portunun IP adresi girilmelidir.

FortiAP yapılandırırken Tunnel ve Bridge olmak üzere iki mod kullanılabilir.

Tunnel Mode: SSID oluşturulurken, hangi subnetten yayın yapılacağı girilir. Örnek olarak 192.168.1.0/24 networkünden yayın yapılması isteniyorsa bu adres SSID interface’i oluşturulurken girilir.

Bu şekilde FortiGate ile FortiAP arasında oluşturulan network tüneli üzerinden oluşturulan subnet taşınacaktır.

FortiGate ile FortiAP arasındaki networkte problem olmadığı sürece; oluşturduğum SSID’leri ve subnetleri bu tünel üzerinden Access Pointe ulaştırabilirim.

Oluşturulan SSID’ler FortiGate üzerinde bir interface olarak görünecek olup üzerinden kurallar da yazılabilir olacaktır.

Bridge Mode: Bridge mode için Vlan mode denilebilir. Herhangi bir subnet girişi yapılamaz, bunun yerine vlan ID girişi yapılmaktadır.

Bir SSID oluşturulur ve Vlan ID girilir. Bu Vlan ID aradaki network cihazlarından örneğin switchlerden trunk ya da access olarak geçirilir ve Access Pointe ulaştırılır. Ulaşan vlan’lara bağlı subnetlerden ıp dağıtmaya başlar.

Access olarak yalnız 1 SSID geçirilmek istenirse Vlan ID kısmına 0 girilmelidir ve switchte FortiAP’nin bağlı olduğu portta access *vlan ıd* konfigürasyonu yapılır.

Birden fazla SSID yayınlanacaksa, her SSID içinde vlan ID’ler belirtilir ve belirtilen SSID’ler switchin ilgili portundan trunk *vlan_ıd1, vlan_ıd2, vlan_ıd3* olarak geçirilir.

Bridge mode için aradaki switchlerde bir konfigürasyon yapmak gerekmektedir fakat tunnel mod için herhangi bir ara konfigürasyon gerekmez, oluşturulan network üzerinden ssıd subnetler geçirilir.

Yapımızda 2 adet FortiAP yapılandırılacaktır, daha önce belirtilen Vlan’ları FortiGate üzerinde yapılandırmıştık. DHCP Relay işlemine tabii tutup DHCP Server üzerinden IP almalarını sağlamıştık. Bu makalede FortiAP’lerimiz üzerinden SSID yayınlarını yapacağız. İşlemler tamamlandığında FortiAP yayınlarına bağlanan kullanıcıların belirtilen Vlan’lar üzerinden IP aldıkları görüntülenecektir.

FortiGate Feature Visibility menüsü altından WiFi Controller özelliği aktif edilmelidir.

FortiAP’lerin erişeceği interface üzerinde Security Fabric Connection erişimi aktif edilmelidir. LAB üzerinde FortiAP’leri yönetmek için management vlanı oluşturulmuştu. Bu vlan üzerinden ıp almaları sağlanacağı için portun DHCP özelliği de açılmalıdır.

FortiSwitch üzerinde gerekli tanımlamalar yapılacaktır. Access olarak mgmt_vlan trunk olarak ise yayınlanacak olan ssıd’lerin vlan’ları eklenmelidir. FortiAP’ler ilgili portlara takılmalıdır.

Wifi & Switch Controller Menüsü altından SSIDs sekmesine girilir ve ilgili SSID’ler Bridge Mode seçilerek ve Vlan ID’leri girilerek oluşturulur. Pre-shared Key altından SSID yayın parolası oluşturulur.

Managed FortiAPs sekmesi altından Deauthorize olarak gelen FortiAP’ler Authorize edilir.

FortiAP üzerinde uygulamak için profiller oluşturulur. 2 ayrı AP için 2 ayrı profil oluşturulacak.
Ap Login Password AP arayüzüne bağlanırken girilen admin parolasıdır.
WIDS Profile altından Security Profile’lar gibi wifi security profilleri uygulanabilir.
Band; Radio 1 için 5GHz, Radio 2 için 2.4GHz olarak belirlenmiştir. Hangi Radyodan yayın yapılacaksa işlemler o radio altında yapılmalıdır.
SSIDs sekmesi altından oluşturulan profilin uygulandığı AP’lerde hangi SSID’ler yayın yapacaksa seçilir.

VIP ve Yonetim için de bir profil oluşturulacaktır.

Oluşturulan profiller FortiAP’ler altında tanımlanmalıdır. Managed FortiAPs sekmesi altından bir Ap için sağ tıklayıp edit butonuna basılır.

FortiAP1 için yapılandırma esnasında, daha önce oluşturulan bt_guest profili uygulanacaktır.
FortiAP Profile sekmesi altından, oluşturulan profilleri AP’lere uygulayarak yapılandırma tamalanabilir.
Firmware seçeneği altında manage edilen FortiAP’nin sürüm bilgisi yer alır, bu sekme altından upgrade edilebilir.

FortiAP2 için oluşturulan diğer profil uygulanmıştır.
Oluşturulan profil haricinde bir SSID yayınlanmak istenirse override radio sekmeleri kullanılmalıdır. 2.4GHz yayın override edileceği için Override Radio 2 sekmesi altından işlem gerçekleştirilecektir.
SSIDs altında profilin yayınladığı SSID’ler görüntülenmektedir.
Ekstra olarak tunnel mode olarak yayın yapan SSID’ler bu AP üzerinde yayınlanmak istenirse tunnel seçilir.
Bridge Mode yayınlanan SSID’ler yayınlansın isteniyorsa bridge seçilir.
Hangi SSID’ler yayınlanacak seçimi elle yapılacaksa Manual seçeneği seçilip, altından SSIDler eklenir.

Managed FortiAPs menüsü altında FortiAP için override işlemi yapıldığı görüntülenmektedir.

FortiAPlerimiz belirtilen SSID’lerden yayın yapmaktadır.

Herhangi bir sorunuz olması durumunda doğrudan iletişime geçebilirsiniz.

PaylaşShareTwitterPinterest

0Comments 868Views

Hakkında zehrataskoparan

Merhabalar, ben F. Zehra Taşkoparan. İskenderun Teknik Üniversitesi Bilgisayar Mühendisliğini tamamladığımdan beri Siber Güvenlik alanında kendimi geliştiriyorum. Network Security Engineer olarak görev yapmaktayım. Bu süreçte toparladığım notlarımı faydalı olabilmesi adına bu sitede paylaşıyor olacağım.

Bütün mesajları zehrataskoparan göster