Fortigate Firewall Üzerinde Forti AP ile Sanal Misafir Wifi Yayını Oluşturma İşlemi
Merhaba, bu makalemizde Fortigate Firewall yapılarında, Forti AP kullanılarak tamamen izole ve sadece misafirlerin kullanabileceği sanal bir Wi-Fi ağı oluşturma işlemini ele alıyor olacağız. Bir önceki makalemizde ele aldığımız konular sonrasında sistemimiz üzerinde tanımlı iki adet AP var ve bu AP’ler üzerinden aşağıdaki görüldüğü gibi bir tane Wifi SSID yayını yapıyoruz.
Kullanmakta olduğumu iki Forti AP cihazımız üzerinde Test-FortiAP SSDI yayını yapılmakta.
Biz aşağıdaki gibi Fortigate Firewall sistemimiz üzerine bağlı olan 2 adet FortiAP cihazımız üzerinden şirketimize gelen misafirlerin erişim sağlayabileceği, şirket ağından izole olacağı bir SSID yayını oluşturarak bu SSDI üzerinden bizim belirlediğimiz kurallara göre internete çıkışlarını sağlayacağız.
Fortigate Firewall üzerinde WIFI & Switch Controller menüsüne geldiğimizde SSID menüsüne giriş sağladığımızda mevcutta yayını yapılan SSID bilgisini görebiliyoruz.
Biz aynı ekran üzerinde bulunan +Create New butonuna tıklayalım ve açılan menüden yeni bir SSID yayını oluşturmak için SSID menüsüne tıklayalım.
- 1:Name kısmında SSID’imize isim verelim.
- 2:Alias alanında bu SSDI için bir tanım girelim.
- 3:Traffic Mode olarak Tunnel seçimi yapmamız gerekli.
- 4:Address kısmında ise misafirler için oluşturulacak olan izole SSID yayını için bir network tanımı yapmamız gerekli. Ben yapımda olmayan 172.31.31.1/255.255.255.0’lı network üzerinden ip alıp nete çıkmalarını istediğim için bu bloğu belirliyorum.
- 5:Administrative Access alanından ise erişim yöntemlerini belirliyorum.
- 6:Bu blok üzerinden bağlantı kurmak isteyen misafirlerin otomatik olarak ip adresi alabilmeleri için DHCP özelliğini aktif ediyorum.
- 7-8-9:DHCP dağıtım aralığını ve gerekli DNS tanımlarını yapıyorum. Bu işlemler sonrasında ekran sığmadığı için bir sonraki ekran resmi üzerinden ilerliyoruz.
- 10:Wifi-Settings kısmından oluşturacak olduğumu SSID için isim belirliyoruz.
- 11:Security Mode alanından güvenlik protokolünü belirliyoruz.
- 12:Pre-shared key alanından SSID bağlantısı sırasındaki güvenlik anahtarını belirliyoruz.
Bu ekranımızda birçok detay ayar mümkün. Bu ayarları kendi yapınızdaki durumlara göre devreye alabilir veya varsayılan olarak bırakabilirsiniz. Biz makale yapımıza göre detay ayarlara girmeden ana hat üzerindeki işlemleri yapıyoruz ve SSID yayınımızı oluşturmak için OK butonumuza tıklıyoruz.
Yeni tanımladığımız SSID yayınımız oluştu. UP olarak aktif durumda.
Managed FortiAPs konsolunda Sistemimizde Test-FortiAP isimli tek bir SSID yayınını 2.4 GHZ ve 5 GHZ olarak yapan iki Forti AP cihazımızı görüyoruz.
Bu cihazlarımızın Misafirler için kullanılacak olan SSID yayınını yapabilmesi için daha önce oluşturduğumuz profil içerisine eklememiz gerekiyor. Yeni bir profil oluşturabiliriz. Ancak ben mevcut profil üzerinde bu işlemi yapacağım için mevcut profil seçili durumdayken Edit menüsüne tıklıyorum.
Açılan ekranımızda SSIDs alanındaki + butonuna tıklıyorum.
Sağ kısımda açılan ekrandan oluşturduğumuz Test-Misafir SSID öğesini seçiyorum.
Mevcut profilimize Test-Misafir SSID öğesi eklendi.
OK butonu ile ayarlarımızı kaydedelim.
Profilimiz aşağıdaki gibi içerisinde Test-Misafir SSID öğesini aldı.
Forti AP cihazlarımız üzerinden artık Test-Misafir SSID yayını yapılmaya başlandı.
Bir kullanıcım üzerinden test ettim ve bağlantı sağlandı.
Bağlantı özelliklerimize bakalım.
IP adresi olarak belirlediğimiz DHCP ip aralığından ip alındığını görebiliyoruz.
Şimdi farklı bir cihaz üzerinden test işlemi yapalım. Gerekli parola bilgisini girdikten sonra bağlanıyorum ancak internet erişimi sağlayamıyorum. Bu işlem için Fortigate Firewall üzerinden oluşturduğumuz SSID için kural yazmamız gerekli.
Policy & Objects konsolunda IPv4 Policy menüsünü açalım. Açılan ekrandan + Create New butonuna tıklayalım.
Ben bir kısıtlama yapmadan genel bir kural yazıyorum. Siz bunu mimarinize göre detaylandırabilirsiniz. Ben Test-Misafir SSID üzerinden gelen trafiğin, Firewall üzerinde konumlanmış olan WAN2 internet bacağından, Her Yöne, Zaman kısıttı olmaksızın, Tüm servislere erişebilecek şekilde internete çıkabilmesi için izin kuralı yazıyorum ve OK ile tamamlıyorum.
Bu işlemden sonra cihazımız Test-Misafir SSID yapısı üzerinden internet erişimi sağlıyor.
Umarım yararlı olur. Makalelerimi yazabilmek için konsinye cihaz desteği konusunda yardımcı olan KAYRASYS firmasından Burak YILMAZ beye teşekkür ederim. Bir sonraki makalemizde görüşmek dileği ile.
Eline sağlık Rıza, çok güzel bir makale olmuş.