FortiGate キャプティブポータルの設定手順とゲスト Wi-Fi 構築のポイント

はじめに

前回は、ブラウザに認証ポップアップを表示させてアクセス制御を行う「Explicit Proxy 認証」の設定方法を紹介しました。

詳細は関連記事『FortiGate Explicit Proxy の仕組みと基本設定手順』を参照してください。

今回は、もう一つの代表的な認証方式である 「キャプティブポータル (Captive Portal)」 について解説します。

ホテルや空港のフリー Wi-Fi に接続した際、最初に「ログイン画面」や「利用規約の同意画面」がブラウザに表示された経験はないでしょうか。あの仕組みが「キャプティブポータル」です。ユーザーが Web サイトへアクセスしようとすると認証ページへ自動的にリダイレクトし、認証が完了するまでインターネットへのアクセスをブロックする技術です。

プロキシ認証とキャプティブポータルの使い分け

FortiGate には複数の認証機能がありますが、前回紹介した「プロキシ認証（Explicit Proxy）」と、今回の「キャプティブポータル」はどう使い分ければよいのでしょうか。

最大の違いは 「ユーザー（クライアント端末）側の設定が必要かどうか」 です。

例えば、来客用のゲスト Wi-Fi でお客様に「ブラウザのプロキシ設定を開いてアドレスを入力してください」と案内するのは現実的ではありません。キャプティブポータルであれば、ユーザーは端末を Wi-Fi に接続してブラウザを開くだけで認証画面に到達できます。

この手軽さが、不特定多数が利用するゲスト Wi-Fi にキャプティブポータルが選ばれる主な理由です。

ゲスト Wi-Fi 向け認証方式の選定フロー

キャプティブポータルを採用するとしても、その中で 「認証の器」をどう構築するか は用途によって選択肢が分かれます。規模や運用要件に合わせて、以下のフローで検討するとミスマッチを避けやすくなります。

判断の軸

• 利用者数が少なく、すぐ運用を始めたい → ローカル認証
• 利用者の身元を残す必要がある（来訪者記録・ログ保全） → SMS / Email 認証
• 独自デザインの認証ページを使いたい → 外部 Web ポータル
• 社員端末のみの運用で、パスワード入力も省きたい → 802.1X

本記事ではもっとも小さく始められる 「ローカル認証」 を例に解説を進めます。

キャプティブポータルの設定手順

手順

ユーザーとグループの作成

まず「誰にアクセスを許可するか」というアカウント情報を作成します。

ローカルユーザーの作成

1. ユーザー&認証 ＞ ユーザー定義 へ移動し、新規作成 をクリックします。
2. タイプは「ローカルユーザー」を選択します。
3. ユーザー名（例:userA）とパスワードを入力し、OK をクリックします。

ユーザーグループの作成

FortiGate の設定では、ユーザー単体ではなくグループに対して権限を割り当てるのが基本です。

1. ユーザー&認証 ＞ ユーザーグループ へ移動し、新規作成 をクリックします。
2. 名前（例:Internet-Group）を入力します。
3. メンバーに、先ほど作成した userA を追加して OK をクリックします。

ユーザーをグループに入れておくことで、後から userB や userC を追加した場合も、グループ設定を変えるだけで済むため管理が容易になります。

手順

キャプティブポータルの有効化

次に、LAN 側のインターフェースでキャプティブポータル機能を有効化します。ここが今回の設定の核となる部分です。

1. ネットワーク ＞ インターフェース へ移動します。
2. 対象の LAN 側インターフェース（例:internal1）をダブルクリックして編集画面を開きます。
3. 画面中ほどの セキュリティモード を有効化し、キャプティブポータル を選択します。
4. 以下を設定します。

• 認証ポータル:ローカル を選択（FortiGate 内蔵の標準ログインページを使用）
• ユーザーグループ:先ほど作成した Internet-Group を指定

5. 設定が完了したら、画面最下部の OK をクリックして保存します。

参考:FortiGate 7.6 Administration Guide – Captive portals
“A captive portal is used to enforce authentication before web resources can be accessed. Until a user authenticates successfully, any HTTP request returns the authentication page.”
（キャプティブポータルは、Web リソースへのアクセス前に認証を強制するために使用されます。ユーザーが認証に成功するまで、あらゆる HTTP リクエストは認証ページを返します。）
https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/934626/captive-portals

CLI で同じ設定を行う場合は以下の通りです。

config system interface
    edit "internal1"
        set security-mode captive-portal
        set security-groups "Internet-Group"
    next
end

手順

ファイアウォールポリシーの設定

最後に、認証を通過したユーザーがインターネットへ出られるように、ファイアウォールポリシーを作成します。

1. ポリシー＆オブジェクト ＞ ファイアウォールポリシー へ移動します。
2. 新規作成 をクリックし、通常のインターネットアクセス許可ポリシーを作成します。

項目	設定内容
送信元インターフェース	internal1（キャプティブポータルを有効化したインターフェース）
宛先インターフェース	WAN 側インターフェース
送信元	all
宛先	all
サービス	ALL
アクション	ACCEPT
NAT	有効

3. OK をクリックして保存します。

今回はインターフェース設定（手順 2）の段階で認証をかけているため、ポリシーの送信元は all でも問題ありません。認証が済んでいないユーザーは、そもそもこのポリシーまで到達できないためです。

手順

タイムアウト設定（CLI）

GUI での設定は以上ですが、ゲスト Wi-Fi などを運用する場合、「1 時間経ったら自動で切断したい」といった要件が出ることがあります。

詳細なタイムアウト設定は GUI には用意されていないため、CLI で設定を行います。ここでは「ログインから 1 分後に強制切断する（動作確認用）」設定を例として紹介します。

コマンドの入力

FortiGate の CLI コンソール（画面右上の >_ アイコン）を開き、以下のコマンドを実行します。

config user setting
    set auth-timeout 1                  # 1 分でタイムアウト（動作確認用）
    set auth-timeout-type hard-timeout
end

参考:FortiGate 7.4 Administration Guide – User and user group timeouts
“Timeouts are measured in minutes (1 – 1440, default = 5).”
（タイムアウトは分単位で指定します。設定範囲は 1〜1440、デフォルトは 5 分です。）
https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/779401/user-and-user-group-timeouts

auth-cert "Fortinet_Factory" は工場出荷時の既定値として設定されているため、既存環境では通常、明示的に再設定する必要はありません（証明書を独自のものに差し替えた環境のみ調整します）

3 つのタイムアウトタイプの違い

auth-timeout-type には以下の 3 つのモードがあり、運用に合わせて使い分けます。

モード	動作	推奨される用途
idle-timeout（デフォルト）	通信がない状態が継続すると切断。使用中は切断されない。	社内ユーザー向け
hard-timeout	通信の有無に関わらず、設定時間経過で強制切断。	ゲスト Wi-Fi
new-session	時間経過後の新しい通信発生時に再認証。既存のダウンロード等は継続。	利便性重視

不特定多数が使うフリー Wi-Fi の場合、長時間の占有を避けるために hard-timeout を設定するのが一般的です。

タイムアウト値の適用優先順位

authtimeout は複数の階層で設定可能で、以下の優先順位で適用されます。

1. 個別ユーザー設定（config user local 配下の authtimeout）:最優先
2. ユーザーグループ設定（config user group 配下の authtimeout）
3. グローバル設定（config user setting 配下の auth-timeout）

ユーザー単体やグループで authtimeout が 0（デフォルト値）の場合、グローバル設定の値が適用されます。特定のユーザーだけ異なるタイムアウトを適用したい場合は、個別ユーザー設定で上書きする方法が有効です。

参考:Fortinet Community – Authentication timeout value for firewall user
“‘authtimeout’ values are selected in the following order. User # (a specific user) ← Highest level. User group. User setting (global level setting).”
（authtimeout 値は次の順で選択されます:個別ユーザー（最優先）、ユーザーグループ、user setting グローバル設定。）
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Authentication-timeout-value-for-firewall-user/ta-p/193705

動作確認

実際にクライアント PC を接続して、期待通りの動作をするか確認します。

認証リダイレクトの確認

1. PC を対象のインターフェース（または Wi-Fi）に接続します。
2. ブラウザを開き、Web サイトへアクセスします。

HSTS による制約について
Google や YouTube などの HTTPS サイトは HSTS（HTTP Strict Transport Security）により、認証画面へのリダイレクトがブラウザ側でブロックされる場合があります。初回確認時は http://neverssl.com や http://captive.apple.com などの HTTP サイトへアクセスすると、スムーズに認証画面が表示されます。
詳細は後述の「導入前に知っておきたい制約・ハマりポイント」セクションで解説します。

3. FortiGate の認証画面に自動的にリダイレクトされます。
4. 作成したユーザー名 userA とパスワードを入力し、続行 をクリックします。
5. 認証が成功すると、元の Web サイトが表示されます。

セキュリティ機能の確認（EICAR テスト）

キャプティブポータルの価値は「ただインターネットに繋がる」ことだけではありません。FortiGate の強みは 「認証した上で、従来のセキュリティチェックが併用できる」 点にあります。

試しに、テスト用ウイルスファイル（EICAR）をダウンロードしてみます。

EICAR

Download Anti Malware Testfile – EICAR Download Anti Malware Testfile, What is the eicar test file? Who needs the Anti-Malware Testfile, Download Anti Malware Testfile

以下のように、認証済みのユーザーであっても、危険なファイルはアンチウイルスプロファイルによりブロックされます。

ステータスの詳細確認（CLI）

FortiGate がユーザーをどう認識しているかを、以下の CLI コマンドで確認できます。

FortiGate# diagnose firewall auth list

192.168.101.200, userA
    src_mac: e8:d8:d1:3f:99:e5
    type: fw, duration: 3, ...
    flag(804): hard no_idle          # 適用中のタイムアウトタイプ
    group_name: Internet-Group       # 所属ユーザーグループ

表示された内容の読み方は以下の通りです。

• userA:認証されているユーザー名
• flag: hard:設定した hard-timeout（強制切断）が適用されていることを示す
• group_name:ユーザーが所属するユーザーグループ名

ステータスの詳細確認（GUI）

ログ＆レポート ＞ セキュリティイベント を開くと、ブロックログにユーザー名が紐付いて記録されています。

導入前に知っておきたい制約・ハマりポイント

キャプティブポータルは仕組みがシンプルな一方、実環境に導入すると「想定通りに動かない」トラブルが発生しがちです。ここでは導入前に押さえておきたい 5 つの制約事項 を整理します。

HSTS 対応サイトではリダイレクトがブロックされる

Google、YouTube、Facebook など多くの主要サイトは HSTS（HTTP Strict Transport Security） を有効化しており、FortiGate が認証ポータルへリダイレクトしようとしても、ブラウザが証明書の不一致を検出して接続を拒否します。

参考:Fortinet Community – Redirecting to a captive portal gets a certificate warning
“Increasingly, more browsers and webpages support HTTP Strict Transport Security (HSTS). This defines exactly what certificates are expected for a web page, and as redirect to the captive portal involves a different one, the browser will refuse to connect, and the resulting error message is impossible to override.”
（HSTS 対応ページではリダイレクト用の異なる証明書を受け入れられず、ブラウザは接続を拒否します。警告は回避できません。）
https://community.fortinet.com/t5/FortiAP/Troubleshooting-Tip-Redirecting-to-a-captive-portal-gets-a/ta-p/191375

回避策

• 初回アクセスは HTTP サイトに誘導する（以下は代表的な CNA 検出用 URL）
• http://neverssl.com
• http://captive.apple.com（iOS / macOS が使用）
• http://www.msftconnecttest.com/connecttest.txt（Windows が使用）
• FortiGate に正規の SSL 証明書を導入し、FQDN 経由でリダイレクトする構成に変更する

認証ポータル用のポート（1000 / 1003）を許可する必要がある

FortiGate のローカル認証ポータルは、以下の固定ポートを使用します。上位 FW や ACL でこれらを閉じているとリダイレクト自体が失敗します。

ポート番号は config system global 配下の auth-http-port / auth-https-port で変更可能ですが、通常は既定値のままで運用することが一般的です。

HTTP プロトコルが auth-type に含まれていないとリダイレクトされない

FortiGate の認証設定で HTTP プロトコルが有効化されていないと、HTTP リクエストのリダイレクト自体が発生せず、キャプティブポータル画面に到達できません。

参考:Fortinet Community – Captive Portal Disclaimer does not display
“For the redirection to the Captive Portal to occur, the HTTP protocol option must be enabled in the User Authentication Options.”
（キャプティブポータルへリダイレクトするには、認証オプションで HTTP プロトコルを有効にする必要があります。）
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Captive-Portal-Disclaimer-does-not-display/ta-p/325530

CLI での確認と設定は以下の通りです。

# 現在の設定を確認
config user setting
    show
end

set auth-type http もしくは set auth-type http https が含まれていることを確認します。含まれていない場合は明示的に設定します。

config user setting
    set auth-type http https
end

DHCP リース時間と auth-timeout の整合が必要

FortiGate が DHCP サーバーを兼ねている場合、クライアントが DHCPRELEASE を送出すると、auth-timeout の残り時間に関わらず認証セッションがクリアされます。

参考:Fortinet Community – Configure hard timeout for authenticated user
“If FortiGate receives ‘DHCPRELEASE’ from the DHCP Clients, it will clear the auth session. As a result, the authtimeout is not honored. DHCP lease-time needs to be aligned with authtimeout.”
（FortiGate が DHCP サーバーの場合、クライアントから DHCPRELEASE を受信すると認証セッションはクリアされ、authtimeout は適用されません。DHCP リース時間と authtimeout の整合が必要です。）
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configure-hard-timeout-for-authenticated-user/ta-p/189617

ゲスト Wi-Fi で「1 時間で強制切断」を実現したい場合は、DHCP リース時間も同程度に揃えることを推奨します。

Wi-Fi ブリッジモード SSID では Disclaimer（同意画面）が使えない

FortiAP を組み合わせた無線運用の場合、Bridge モードの SSID では Disclaimer（利用規約同意画面）機能が非対応です。規約同意が必要な運用では SSID を Tunnel モード で構成する必要があります。この制約はインターフェース単独で認証をかける本記事の構成には影響しませんが、無線に展開する際に設計変更が発生しやすいポイントです。

トラブルシューティング

認証が通らない、リダイレクトされないといったトラブルが発生した場合、以下の順序で切り分けを行います。

diagnose firewall auth list

# 特定 IP アドレスのセッションをクリア
diagnose firewall auth clear <IP アドレス>

# 全ユーザーをまとめてクリア
diagnose firewall auth clear

diagnose debug reset
diagnose debug console timestamp enable
diagnose debug application authd -1
diagnose debug application fnbamd -1
diagnose debug enable

diagnose debug disable
diagnose debug reset

diagnose sniffer packet <インターフェース名> "host <クライアント IP> and (port 80 or port 1000 or port 1003)" 4 0 l

よくあるエラーと対処一覧

まとめ

本記事では、ゲスト Wi-Fi 構築に適した キャプティブポータル認証 の設定手順と、運用で押さえておきたいポイントを解説しました。

• キャプティブポータルはクライアント設定不要でゲスト Wi-Fi に適している
• GUI での設定の核は「インターフェースのセキュリティモード」
• タイムアウトは 3 モード（idle / hard / new-session）を用途で使い分ける
• auth-timeout は個別ユーザー > グループ > グローバルの順で適用される
• HSTS 対応サイトではリダイレクトがブロックされる点に注意
• 認証済みでもアンチウイルス等のセキュリティプロファイルは継続適用される

「不特定多数に使わせたいが、セキュリティも確保したい」というシーンで、キャプティブポータルの導入を検討することを推奨します。

以上、最後までお読みいただきありがとうございました。