Modelo Homologado:
FortiGate 70D
⚠️ ATENÇÃO: Verifique a firmware do equipamento antes de iniciar a configuração. |
Introdução
O WiFeed possibilita que os clientes que acessarem os pontos de acesso de determinada rede Wi-Fi passem por um processo de liberação antes de terem acesso à Internet. Esse processo irá identificar o cliente através de um cadastro e poderá apresentar um anúncio, propaganda ou questionamento antes da liberação do acesso. O conjunto de telas que o cliente irá visualizar referente a pesquisas e marketing é chamado de Campanha.
Então, em resumo, o cliente ao conectar em um Wi-Fi com o WiFeed configurado, deverá passar pelos seguintes passos:
Cadastro no WiFeed;
Aceite dos Termos de Uso;
Execução da Campanha (se habilitada);
Liberação do acesso.
Este tutorial irá mostrar como realizar a configuração da solução de captive portal do WiFeed no Fortinet Fortigate. Essa configuração deverá ser realizada em 6 etapas:
Configuração do servidor Radius que libera o usuário no final do processo de execução da Campanha;
Liberação dos domínios utilizados pela solução, que permite que os clientes ainda não liberados possam alcançar os serviços do WiFeed que estão na Internet;
Configuração do portal que direciona os clientes para o captive portal externo do WiFeed após conectarem no ponto de acesso;
Liberação do Tráfego do SSID para que tenha acesso a plataforma WiFeed e a Internet.
Registro dos Pontos de Acesso na plataforma WiFeed, que autorizam os pontos de acesso a fazerem parte da solução e mostram para o WiFeed de onde estão vindo os acessos;
E por fim, o teste da solução, que descreve o passo a passo de um cliente ao conectar em um ponto de acesso configurado.
IMPORTANTE: Antes de seguir as etapas deste tutorial, você deverá ter acesso à plataforma WiFeed. A plataforma se encontra disponível no seguinte endereço:
https://system.wifeed.com.br
Etapa 1 - Configuração do Servidor Radius
Primeiramente faça login no Fortigate e vá no canto superior direito e clique em CLI Console.
Com o Terminal aberto, Copie e cole os comandos abaixo nele , Esse comando irá criar o Servidor Radius e o grupo de usuários que ele pertencerá.
config user radius
edit WiFeed-Radius-PRD
set server 52.67.22.243
set secret #WiFeed@newAccess912.
set radius-port 7564
config accounting-server
edit 1
set status enable
set server 52.67.22.243
set secret #WiFeed@newAccess912.
set port 4657
next
end
next
end
config user group
edit Wifeed-Group-Radius
set member "WiFeed-Radius-PRD"
next
end
Etapa 2 - Adicionando os IPs que serão utilizados no Captive e os IP’s do Wallet Garden
⚠️Observação: O WiFeed funcionará com suas próprias URLs liberadas. No entanto, para que algumas funcionalidades adicionais funcionem corretamente, é necessário liberar também as URLs específicas desses serviços. |
Ainda no Terminal , Agora iremos Adicionar os Domínios que serão utilizados no Captive:
A configuração é separada por dois tipos de script para cada funcionalidade. Script para configurar os FQDNs (URLs) e script para criar os grupos relacionados a cada FQDN.
Scripts para liberação do WiFeed
Script para adicionar os FQDNs
config firewall address edit "WiFeed-Radius" set subnet 52.67.22.243 255.255.255.255
next edit "WiFeed-Bigbox" set type fqdn set fqdn "bigbox.wifeed.com.br" set cache-ttl 600
next edit "WiFeed-API" set type fqdn set fqdn "api.wifeed.com.br" set cache-ttl 600
next edit "WiFeed-Captive" set type fqdn set fqdn "hs.portalwifeed.com.br" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" set member "WiFeed-Radius" "WiFeed-Bigbox" "WiFeed-API" "WiFeed-Captive"
next end
|
 Scripts para liberação do Facebook
Script para adicionar os FQDNs
config firewall address edit "Facebook - 1" set type fqdn set fqdn "graph.facebook.com" set cache-ttl 600
next edit "Facebook - 2" set type fqdn set fqdn "connect.facebook.net" set cache-ttl 600
next edit "Facebook - 3" set type fqdn set fqdn "www.facebook.com" set cache-ttl 600
next edit "Facebook - 4" set type fqdn set fqdn "static.xx.fbcdn.net" set cache-ttl 600
next edit "Facebook - 5" set type fqdn set fqdn "facebook.com" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" append member "Facebook - 1" "Facebook - 2" "Facebook - 3" "Facebook - 4" "Facebook - 5"
next end
|
Scripts para liberação do Linkedin
Script para adicionar os FQDNs
config firewall address edit "Linkedin - 1" set type fqdn set fqdn "static-exp1.licdn.com" set cache-ttl 600
next edit "Linkedin - 2" set type fqdn set fqdn "www.linkedin.com" set cache-ttl 600
next edit "Linkedin - 3" set type fqdn set fqdn "ponf.linkedin.com" set cache-ttl 600
next edit "Linkedin - 4" set type fqdn set fqdn "platform.linkedin.com" set cache-ttl 600
next edit "Linkedin - 5" set type fqdn set fqdn "lnkd.demdex.net" set cache-ttl 600
next edit "Linkedin - 6" set type fqdn set fqdn "static.licdn.com" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" append member "Linkedin - 1" "Linkedin - 2" "Linkedin - 3" "Linkedin - 4" "Linkedin - 5" "Linkedin - 6"
next end
|
Scripts para liberação do Twitter (X)
Script para adicionar os FQDNs
config firewall address edit "Twitter - 1" set type fqdn set fqdn "twitter.com" set cache-ttl 600
next edit "Twitter - 2" set type fqdn set fqdn "abs.twimg.com" set cache-ttl 600
next edit "Twitter - 3" set type fqdn set fqdn "pbs.twimg.com" set cache-ttl 600
next edit "Twitter - 4" set type fqdn set fqdn "api.twitter.com" set cache-ttl 600
next edit "Twitter - 5" set type fqdn set fqdn "fonts.gstatic.com" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" append member "Twitter - 1" "Twitter - 2" "Twitter - 3" "Twitter - 4" "Twitter - 5"
next end |
Scripts para liberação do Youtube
Script para adicionar os FQDNs
config firewall address edit "Youtube - 1" set type fqdn set fqdn "*youtube.com" set cache-ttl 600
next edit "Youtube - 2" set type fqdn set fqdn "*youtube-ui.l.google.com" set cache-ttl 600
next edit "Youtube - 3" set type fqdn set fqdn "*ytimg.l.google.com" set cache-ttl 600
next edit "Youtube - 4" set type fqdn set fqdn "*ytimg.com" set cache-ttl 600
next edit "Youtube - 5" set type fqdn set fqdn "*googlevideo.com" set cache-ttl 600
next edit "Youtube - 6" set type fqdn set fqdn "*ggpht.com" set cache-ttl 600
next edit "Youtube - 7" set type fqdn set fqdn "*.googleusercontent.com" set cache-ttl 600
next edit "Youtube - 8" set type fqdn set fqdn "*.gstatic.com" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" append member "Youtube - 1" "Youtube - 2" "Youtube - 3" "Youtube - 4" "Youtube - 5" "Youtube - 6" "Youtube - 7" "Youtube - 8"
next end
|
Scripts para liberação do Google Workspace
Script para adicionar os FQDNs
config firewall address edit "Google - 1" set type fqdn set fqdn "accounts.google.com" set cache-ttl 600
next edit "Google - 2" set type fqdn set fqdn "accounts.google.com.br" set cache-ttl 600
next edit "Google - 3" set type fqdn set fqdn "apis.google.com" set cache-ttl 600
next edit "Google - 4" set type fqdn set fqdn "ssl.gstatic.com" set cache-ttl 600
next edit "Google - 5" set type fqdn set fqdn "accounts.youtube.com" set cache-ttl 600
next edit "Google - 6" set type fqdn set fqdn "gstatic.com" set cache-ttl 600
next edit "Google - 7" set type fqdn set fqdn "fonts.gstatic.com" set cache-ttl 600
next edit "Google - 8" set type fqdn set fqdn "lh3.googleusercontent.com" set cache-ttl 600
next edit "Google - 9" set type fqdn set fqdn "play.google.com" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" append member "Google - 1" "Google - 2" "Google - 3" "Google - 4" "Google - 5" "Google - 6" "Google - 7" "Google - 8" "Google - 9"
next end
|
Scripts para liberação do Active Directory (Azure)
Script para adicionar os FQDNs
config firewall address edit "Active Directory - 1" set type fqdn set fqdn "login.microsoftonline.com" set cache-ttl 600
next edit "Active Directory - 2" set type fqdn set fqdn "logincdn.msftauth.net" set cache-ttl 600
next edit "Active Directory - 3" set type fqdn set fqdn "aadcdn.msftauth.net" set cache-ttl 600
next edit "Active Directory - 4" set type fqdn set fqdn "login.live.com" set cache-ttl 600
next edit "Active Directory - 5" set type fqdn set fqdn "in.appcenter.ms" set cache-ttl 600
next edit "Active Directory - 6" set type fqdn set fqdn "enterpriseregistration.windows.net" set cache-ttl 600
next edit "Active Directory - 7" set type fqdn set fqdn "mobileappcommunicator.auth.microsoft.com" set cache-ttl 600
next edit "Active Directory - 8" set type fqdn set fqdn "mobile.pipe.aria.microsoft.com" set cache-ttl 600
next edit "Active Directory - 9" set type fqdn set fqdn "aadcdn.msauth.net" set cache-ttl 600
next edit "Active Directory - 10" set type fqdn set fqdn "aadcdn.msauthimages.net" set cache-ttl 600
next edit "Active Directory - 11" set type fqdn set fqdn "autologon.microsoftazuread-sso.com" set cache-ttl 600
next edit "Active Directory - 12" set type fqdn set fqdn "aadcdn.msftauthimages.net" set cache-ttl 600
next edit "Active Directory - 13" set type fqdn set fqdn "*.msauth.net" set cache-ttl 600
next edit "Active Directory - 14" set type fqdn set fqdn "*.msftauth.net" set cache-ttl 600
next
end
Script para adicionar os grupos
config firewall addrgrp
edit "WiFeed Domains" append member "Active Directory - 1" "Active Directory - 2" "Active Directory - 3" "Active Directory - 4" "Active Directory - 5" "Active Directory - 6" "Active Directory - 7" "Active Directory - 8" "Active Directory - 9" "Active Directory - 10" "Active Directory - 11" "Active Directory - 12" "Active Directory - 13" "Active Directory - 14"
next end
|
No tipo de Portal de Convidado selecione Externa .
Na Url do Servidor insira A url do WiFeed abaixo:
bigbox.wifeed.com.br/api/redirect/hs-fortigate
Em Url de Redirecionamento Insira a URL do Google.
https://google.com.br
Etapa 3 - Configuração do SSID
Vá em WiFi & Switch Controller e SSID.
Clique em Create New > SSID
No SSID adicione um nome no Interface Name, e em Address adicione um IP que será utilizado como Gateway do DHCP desse SSID caso esteja utilizando em Tunnel no Traffic Mode. E Habilite o HTTPS, HTTP, PING e RADIUS Accounting em Administrative Access
Continuando a configuração , escolha o range de DHCP.
Agora iremos configurar o Captive em si.
Em SSID insira o SSID que os clientes irão ver ao conectar no WiFi.
Em Security Mode, selecione Captive-Portal .
Em Authentication Portal selecione External e Adicione a URL abaixo no campo logo abaixo:
bigbox.wifeed.com.br/api/redirect?rt=hs-fortigate
Em User Group Adicione o Grupo, criado Anteriormente WiFeed-Radius-PRD
Em Exempt Sources e Exempt Destination adicione o Grupo de IP’s WiFeed Domains
Em Redirect After Captive Portal coloque um dominio para redirecionamento (ele não ser considerado) no nosso caso :
https://google.com.br
Basta Clicar em OK.
Etapa 4 - Liberação do Tráfego do SSID
Vá em Policy & Objects > IPv4 Policy e clique em Create New no canto superior esquerdo.
Crie uma Policy que Chamado WiFeed- Domains e adicione o SSID criado como Incoming Interface e a sua WAN como Outgoing Interface. E escolha o Destination WiFeed Domains e em Service adicione HTTP e HTTPS e salve.
Crie uma Policy que Chamado WiFeed-Internet e adicione o SSID criado como Incoming Interface e a sua WAN como Outgoing Interface. E escolha Source , Destination e Service em ALL e salve a regra.
Com a configuração terminada, basta iniciar a configuração da Plataforma do WiFeed.
Etapa 5 - Configuração dos pontos de acesso na plataforma WiFeed
Ao logar na plataforma, clique no seu avatar, no canto superior direito da tela e posteriormente clique em Configurações.
Na próxima tela clique no botão Locais.
Tela de Configurações
Na tela de configuração de Locais será possível criar Locais, Grupos de Locais, Pontos de Acesso e Grupos de Pontos de Acesso, sendo que um Ponto de Acesso deverá sempre estar dentro de um Local. Já os grupos são uma forma de organizar todos esses registros.
5.1. Cadastro do Local
Um local é um ambiente físico onde os pontos de acesso serão instalados. Ele pode ser um hotel, um supermercado ou um restaurante por exemplo. Ao cadastrar um local podemos definir um nome para identificá-lo dentro da plataforma e definir o tempo de conexão, que será o tempo que o usuário poderá utilizar a Internet após a liberação no captive portal, além disso deve-se informar os dados referentes ao endereço.
Para criar um local, clique no botão Registrar Local na parte superior da tela.
Uma nova janela será aberta permitindo definirmos algumas informações sobre o Local.
Tela de cadastro de Local
Preencha as informações, salve o registro e ative o local na listagem.
5.2. Cadastro do Ponto de Acesso
O ponto de acesso é o equipamento que irá permitir os clientes acessarem o captive portal e visualizarem os anúncios veiculados para posteriormente terem acesso a Internet. Mas antes de realizar o teste de acesso é necessário registrar os pontos de acesso na plataforma. Ao registrar um ponto de acesso você está informando à plataforma WiFeed que este equipamento poderá realizar requisições para a plataforma. Então é importante registrar todos os pontos de acessos instalados.
Para cadastrar um ponto de acesso, ou Aparelho como é chamado dentro da plataforma WiFeed, vá até um registro de Local e clique no ícone de soma ( + ) e depois na opção Novo Aparelho, como mostrado na imagem abaixo.
Na janela do cadastro defina um nome para o Aparelho, selecione Fortinet Fortigate no campo Tipo de Aparelho e informe no campo Chave do Aparelho o MAC Address do Ponto de Acesso.
IMPORTANTE: Verifique se o MAC Address informado é realmente o MAC Address do Ponto de Acesso. É possível encontrar essa informação tanto no próprio equipamento, quanto na lista de Devices da Controller. Lembrando que o MAC Address deve estar no formato 00:00:00:00:00:00.
Preencha as informações e salve o registro.
Etapa 6 - Testando a solução
Com a controladora configurada e os pontos de acesso registrados na plataforma é hora de conectar no Wi-Fi e ver se está tudo funcionando corretamente.
Ao conectar, o ponto de acesso deverá direcionar você para o captive portal, apresentando a seguinte tela caso você não seja um usuário cadastrado:
O próximo passo é realizar o login no captive portal caso já possua um email cadastrado, ou caso contrário, realizar um novo cadastro.
É importante lembrar aqui que caso você opte por realizar o login ou cadastro via Facebook e ocorra algum problema no carregamento da página, é possível que você tenha esquecido de liberar algum domínio no Access Control da Etapa 4.
Continue o teste realizando o cadastro e aceitando os Termos de Uso como mostrado nas telas abaixo:
Após o aceite dos Termos de Uso, caso exista uma campanha vinculada ao local, você deverá vê-la, caso contrário, você será liberado no captive portal e poderá navegar na Internet.
Caso queira visualizar o tempo restante de conexão, poderá ir até o menu Conexões, na plataforma WiFeed, para ver a lista de usuários liberados pela plataforma.
Considerações Finais
Como foi visto, a configuração da solução WiFeed é realizada tanto na plataforma, quanto na rede do estabelecimento que irá disponibilizar Wi-Fi para seus clientes.
E é normal ocorrer alguns problemas até deixar a solução funcionando corretamente. Isso porque esta solução na verdade depende de outras soluções. Depende do ponto de acesso ser integrado, depende do smartphone permitir a identificação de um captive portal em uma rede pública, depende da rede do estabelecimento estar corretamente configurada, entre outros fatores que podem interferir na solução, como firewalls e proxies.
Mas caso você tenha problemas para realizar esta configuração, entre em contato com nossa central de atendimento que iremos ajudá-lo.