Configurar FortiAP220B

[ArielMB]

buenas, estoy queriendo configurar el FortiAP con mi Fortigate 80c, creo el AP Virtual, le asigno un profile, el estado del fortiap esta habilitado.
luego voy a sistema- interfaces, y aqui esta mi duda, si o si le tengo que asignar una ip? porque yo quiero que todos los clientes que se conectan a ese access point tomen dhcp de mi server interno.

como puedo hacer esto?

Gracias

[gabyrossi]

Hola, tendrias que hacer un softswitch entre tu red lan y la interfacevirtual AP.
pero para hacer tendras que re-configurar el equipo, ya que la interface lan ya las estas usando...

[Debes identificarte para poder ver enlaces.]

saludos

[ArielMB]

decis que no puedo hacer ese proceso sin configurar otra cosa?
como cual?

Gracias

[ArielMB]

si me decis que no se puede, todo bien, hago politicas nuevas y todo el wifi lo dejo con otra ip, no habria inconveniente.
ahora. lo que me pasa es que yo tengo una vpn armada con dos router internos antes del forti. para los cliente internos tengo un ruteo estatico para cuando hagan una peticion a la ip 192.168.2.x salgan por el gateway 192.168.1.x, pero para redireccionar desde la otra lan wifi nueva no me deja, tendrias alguna idea para ayudarme?

si hago la configuracion de switchear dos interfaces me va a afectar toda la configuracion?
gracias

[gabyrossi]

Hola, como estas?
como poder se puede, pero no podes hacerlo asi tan facilmente ya que la interface de lan ya las estas usando...
la tenes en politicas, en address, etc.
y luego de hacer un sowft switch no tendras mas esa interface lan... tendras un soft switch entre la lab y la intrface ap.
por eso digo, poder se puede, pero hay que hacerlo a nivel texto con el backup de la config.

no entendi lo que dijiste de la vpn...
saludos

[ArielMB]

ok, entendi, tendria que hacer todas las politicas o reconfigurarlas nuevamente para que funcionen con los nuevos nombres de interfase, ahora.... podria probar crearlas con 2 interfases libres que tengo para probar o me afectaria el resto de las interfaces?

el tema de la vpn es asi.

tengo dos router dentro de la lan para crear una punto a punto contra otro sitio, o sea uno en la lan del forti y otro en la lan del la otra ciudad.

LAN CIUDAD 1
192.168.1.X

LAN CIUDAD 2
192.168.2.X

LAN WIFI CREADA 192.168.10.X con dns configurados de la lan ciudad 1 y 2

en la lan interna del punto numero uno routeo todo hacia el destino de la lan dos a travez de la ruta estatica que configuro en el forti, para darte una idea le digo que todo lo que pida de la red 192.168.2.x lo busque a travez del gateway 192.168.1.150 por ejemplo...

el tema que en el forti cree una politica

LAN WIFI --->LAN INTERNA (la lan interna contempla las direcciones de la ciudad 1 y de la ciudad 2)

ORIGEN-DESTINO-HORARIO-SERVICIO
all---> alll--- always---- ANY

y lo mismo para el sentido contrario, ambas lan se ven correctamente. pero no puedo hacer ping al router de la vpn y al destino 2, intente hacer una politica de routeo pero sin resultado.

Espero explicarme correctamente

Gracias

[ArielMB]

a ver.. una propuesta distinta, si armo la vpn en el forti contra el otro router, como podria hacer para que la red de la interface wifi vea la red vpn configurada en la otra interface.

si la red wifi se ve con la red de la interface que tengo configurada la vpn pero no me deja acceder a la red tras la vpn.

me podrian ayudar con su correcta configuracion.

Gracias

[gabyrossi]

Esta nueva red wifi tu res destino, no la conoces.
o nateas la politica de wifi hacia el destino2
o ruteas esta nueva red wifi en los router para que se va a traves del fortigate.

saludos

[ArielMB]

ya lo solucione creando la vpn en el forti y creando politicas de accceso.

ahora lo que me gustaria saber es como crear switch entre interfaces cuando ya tengo todo configurado, para evitar duplicar las politicas.

intente con el soft switch que me pasaste
[Debes identificarte para poder ver enlaces.] ... 2033711067
con dos interfases que no estaban configuradas pero no me dejo.


o tendria que eliminar todas las politacas o toda la configuracion y reconfigurar todo de cero?

[gabyrossi]

hola, ok
si las in terfaces no se estan usando (no en politicas, ni en dhcp, ni en firewall address) podes armar el swoft switch.
si se estan usando, tendras que re-configurarlo.
o tomando un backup y haciendolo por ahi o empezando de cero (no muy recomendable).

saludos

[ArielMB]

OK, una ultima y no molesto mas. no note que tenga un filtro por mac para las conexiones wifi, o sea que solo permita conectar a las mac que yo indique, esto esta o yo no lo encuentro?

Gracias

[gabyrossi]

Hola, esta por cli.
config wireless-controller vap
edit <vap_name>
set auth {usergroup | radius}
set broadcast-ssid {enable | disable}
set encrypt {AES | TKIP}
set fast-roaming {enable | disable}
set intra-vap-privacy {enable | disable}
set key <key_str>
set keyindex {1 | 2 | 3 | 4}
set mac-filter {enable | disable}
set mac-filter-policy-other {allow | deny}
set max-clients <int>
set passphrase <hex_str>
set portal-message-override-group <repl-msg-group_name>
set radius-server <server_name>
set security {captive-portal | open | wep128 | wep64 | wpa-enterprise
| wpa-only-enterprise | wpa-only-personal | wpa-personal
| wpa2-only-enterprise | wpa2_only-personal}
set selected-usergroups <groups_str>
set ssid <string>
set usergroup <group_name>
set vdom <vdom_name>
config mac-filter-list
edit <id>
set mac <mac_addr>
set mac-filter-policy {allow | deny}
end
end

saludos

[ArielMB]

muchas gracias Gabriel!!!

el tema del soft switch no me deja hacerlo porque no lo tengo habilitado en mi forti!

[ArielMB]

buen dia, cuando tipeo
set mac-filter enable
me sale el siguiente error

command parse error before 'mac-filter'
Command fail. Return code -61


que podra ser?

[gabyrossi]

Ariel, eso es para mr3 seguramente tenes otra version.
prueba con estos comandos:
config wireless-controller wtp-profile
edit guest_prof
config deny-mac-list
edit 1
set mac 11:11:11:11:11:11
next
end
end

recuerda que toda la info podes verla em:

[Debes identificarte para poder ver enlaces.]

saludos