Podcast-Transkript ansehen
PODCAST-SCRIPT: Alta Labs Integration mit Purple WiFi: Setup und Konfiguration des Captive Portal
Purple WiFi Intelligence Platform - Technical Briefing Series
Dauer: Ca. 10 Minuten
Stimme: Britisches Englisch, Tonfall eines Senior Consultants - selbstbewusst, nahbar, kompetent
---
[INTRO - 1 MINUTE]
Willkommen zur Purple Technical Briefing Series. Ich bin Ihr Host, und heute analysieren wir die Integration zwischen den Alta Labs Access Points und der Purple WiFi Intelligence-Plattform.
Wenn Sie als IT-Manager, Netzwerkarchitekt oder Venue Operations Director eine robuste, skalierbare Gast-WiFi-Lösung bereitstellen möchten, ist dieses Briefing genau das Richtige für Sie. Wir behandeln die spezifische Einrichtung für die Alta Labs AP6 und AP6 Pro, die Konfiguration der externen Captive Portal-Weiterleitung und die kritischen Walled Garden-Einstellungen, die erforderlich sind, damit Social Logins in der Praxis auch tatsächlich funktionieren. Wir werden auch einen Blick auf AltaPass werfen - die Implementierung von Private Pre-Shared Keys oder PPSK von Alta Labs - und wie Sie damit Multi-Tenant-Umgebungen segmentieren können, ohne Ihre HF-Leistung durch SSID-Überlastung zu beeinträchtigen.
Legen wir los.
---
[TECHNICAL DEEP-DIVE - 5 MINUTEN]
Die Integration zwischen Alta Labs und Purple basiert auf zwei grundlegenden Netzwerkkonzepten: HTTP-Weiterleitung für das Captive Portal und RADIUS für Authentifizierung und Accounting.
Wenn ein Gast Ihr Gebäude betritt - zum Beispiel ein Einzelhandelsgeschäft oder eine Hotellobby - und sich mit Ihrem offenen oder WPA3-OWE-Gastnetzwerk verbindet, fungiert der Alta Labs AP als Gatekeeper. Er fängt die ersten HTTP-Anfragen des Clients ab und leitet sie auf Ihre gebrandete Purple Landingpage weiter.
Um dies in der Alta Labs Cloud-Management-Plattform zu konfigurieren, navigieren Sie zu Ihren WiFi-Einstellungen, wählen Ihre Gast-SSID aus und stellen unter den erweiterten Einstellungen den Netzwerktyp auf Guest ein. Dies ist von entscheidender Bedeutung, da dadurch automatisch die Client-Isolierung angewendet wird, die verhindert, dass Geräte seitlich über das Netzwerk kommunizieren. Als Nächstes wählen Sie im Bereich Hotspot die Option External aus und tragen die in Ihren Standorteinstellungen angegebene Purple Redirect-URL zusammen mit Ihrem Autorisierungs-Secret ein.
Aber an dieser Stelle stoßen die meisten Implementierungen auf ein Hindernis: den Walled Garden.
Der Walled Garden ist die Liste der Domains und IP-Adressen, auf die ein Gerät zugreifen darf, bevor es authentifiziert wurde. Wenn Sie möchten, dass sich Gäste über Google, Facebook oder Apple anmelden, müssen ihre Geräte diese OAuth-Server erreichen können, während sie sich noch im vor-authentifizierten Zustand befinden.
Sie müssen die Domains der Purple-Infrastruktur - wie region1.purpleportal.net und cloudfront.net - explizit auf die Whitelist setzen. Als Nächstes müssen Sie die Captive Portal-Probes des Betriebssystems hinzufügen: captive.apple.com für iOS und connectivitycheck.gstatic.com für Android. Wenn Sie diese blockieren, weiß das Smartphone nicht, dass es sich hinter einem Captive Portal befindet, und die Landingpage wird nie angezeigt.
Schließlich fügen Sie die Social-Login-Domains hinzu. Für Google sind das accounts.google.com, oauth2.googleapis.com und gstatic.com. Für Facebook sind es facebook.com, graph.facebook.com und die fbcdn.net-Domains. Eine statische IP-Whitelist funktioniert hier nicht, da diese Anbieter dynamische Content Delivery Networks nutzen. Sie müssen Domainnamen verwenden und sicherstellen, dass Ihr Controller eine dynamische DNS-Auflösung durchführt.
Sobald der Benutzer die Anmeldung auf der Purple-Splash-Page abschließt, sendet der RADIUS-Server von Purple eine Access-Accept-Nachricht zurück an den Alta Labs AP. Der AP hebt daraufhin die Walled-Garden-Einschränkung auf und gewährt dem Gerät vollen Internetzugang. Es ist ein sauberer, sicherer Ablauf, der First-Party-Daten erfasst und gleichzeitig die Netzwerkintegrität wahrt.
Lassen Sie uns nun über Multi-Tenant-Segmentierung sprechen.
In Umgebungen wie Smart Offices, Studentenwohnheimen oder Mehrfamilienhäusern müssen Sie oft sichere, isolierte Netzwerke für verschiedene Gruppen bereitstellen. In der Vergangenheit haben IT-Teams für jeden Mieter eine eigene SSID ausgestrahlt. Das ist eine schlechte Praxis. Es führt zu einem massiven Verwaltungsaufwand und zerstört Ihre Wireless-Performance aufgrund des Overheads durch Beacon-Frames.
Alta Labs löst dies mit AltaPass, ihrer Version von Private Pre-Shared Keys. Mit AltaPass strahlen Sie eine einzige SSID aus - nennen wir sie BuildingWiFi. Sie generieren jedoch eindeutige Passwörter für verschiedene Benutzer oder Geräte.
Wenn Mieter A sein spezifisches Passwort eingibt, weist der AP ihn dynamisch dem VLAN 101 mit einer Bandbreitenbegrenzung von 100 Megabit zu. Wenn das Management-Team sein Passwort auf derselben SSID eingibt, wird es in das VLAN 200 mit unbegrenzter Bandbreite geleitet. Sie können sogar ein Passwort für IoT-Geräte wie smarte Thermostate erstellen, das sie einem isolierten VLAN zuweist und das Captive Portal vollständig umgeht.
Eine SSID. Unbegrenzte Passwörter. Vollständige Isolation. Das ist Identity-Based Networking an der Edge, und es ist eine wirklich elegante Lösung für ein Problem, das Multi-Tenant-Bereitstellungen seit Jahren plagt.
Lassen Sie mich Ihnen ein konkretes Beispiel geben, wie das in der Praxis funktioniert. Stellen Sie sich einen Apartmentkomplex mit 72 Wohneinheiten vor - ein realer Bereitstellungstyp, für den Alta Labs bereits intensiv genutzt wurde. Anstatt 72 separate SSIDs auszustrahlen, erstellt der Netzwerkadministrator eine einzige SSID und generiert ein eindeutiges Passwort für jede Wohneinheit. Jedes Passwort ist einem dedizierten VLAN und Subnetz zugeordnet. Bewohner im Basis-Tarif erhalten 100 Megabit. Bewohner, die für den Premium-Tarif bezahlt haben, erhalten 300 Megabit. Das Gebäudemanagement-Team erhält uneingeschränkten Zugriff. Die Gebäudeautomation - Türschlösser, HLK, Aufzüge - erhält ihr eigenes isoliertes VLAN mit aktivierter Deep Packet Inspection. Alles über eine einzige SSID. Die HF-Umgebung ist sauberer, die Leistung ist höher und die Verwaltung ist drastisch einfacher.
Kommen wir nun zur 802.1X-Konfiguration für sicheres Mitarbeiter-WiFi.
Für Ihr Mitarbeiternetzwerk sollten Sie überhaupt keinen Pre-Shared Key verwenden. Sie sollten WPA2 oder WPA3 Enterprise mit 802.1X-Authentifizierung nutzen. In der Alta Labs-Plattform konfigurieren Sie dies, indem Sie Ihre Mitarbeiter-SSID auswählen, den Sicherheitsmodus auf WPA2-Enterprise oder WPA3-Enterprise setzen und den AP auf Ihren RADIUS-Server verweisen.
Wenn Sie SecurePass von Purple integrieren, fungiert Purple als RADIUS-Vermittler, der eine Verbindung zu Ihrem Identity Provider herstellt - sei es Microsoft Entra ID, Okta oder Google Workspace - und die entsprechende VLAN-Zuweisung in der Access-Accept-Nachricht zurückgibt. Der Alta Labs AP liest das Attribut Tunnel-Private-Group-Id aus der RADIUS-Antwort und weist dem Gerät automatisch das richtige VLAN zu.
Ein wichtiger Hinweis zur dynamischen VLAN-Zuweisung bei Alta Labs: Wenn Sie RADIUS-zugewiesene VLANs konfigurieren, stellen Sie das Standard-VLAN auf der SSID auf VLAN 1 ein oder lassen Sie es ungetaggt. Es gibt ein bekanntes Verhalten, bei dem der AP das RADIUS-zugewiesene VLAN mit dem konfigurierten Standard überschreibt, wenn das Standard-VLAN auf einen bestimmten Wert eingestellt ist. Wenn Sie den Standardwert auf VLAN 1 festlegen, wird sichergestellt, dass die RADIUS-Zuweisung Vorrang hat.
---
[IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES]
Wenn Sie dies einführen, möchte ich Ihnen einige wichtige Empfehlungen ans Herz legen.
Erstens: Testen Sie Ihren Captive Portal-Ablauf immer mit einem neuen Gerät. Verwenden Sie nicht Ihr eigenes Telefon, wenn Sie sich während des Testens bereits mit dem Netzwerk verbunden haben. Ihr Gerät merkt sich die Autorisierung der MAC-Adresse oder hat DNS-Einträge im Cache, was Fehler im Walled Garden maskiert. Nehmen Sie ein Tablet, das noch nie im Netzwerk war, verbinden Sie es und überprüfen Sie, ob der Captive Portal-Assistent des Betriebssystems automatisch startet.
Zweitens: Achten Sie darauf, nicht zu viele Whitelists anzulegen. Ich erlebe oft, dass Techniker bei Fehlern beim Social-Login frustriert sind und einfach ganze Wildcard-Domains oder riesige IP-Blöcke auf die Whitelist setzen. Dies schafft eine Sicherheitslücke, durch die versierte Benutzer Ihr Captive Portal komplett umgehen können. Beschränken Sie sich auf die spezifischen Domains, die für den OAuth-Ablauf erforderlich sind.
Drittens: Wenn Sie AltaPass PPSK mit dynamischen VLANs bereitstellen, stellen Sie sicher, dass Ihre gesamte Switching-Infrastruktur korrekt konfiguriert ist. Die Switch-Ports, die mit Ihren Alta Labs APs verbunden sind, müssen als Trunks konfiguriert sein, damit alle getaggten VLANs zum Gateway durchgelassen werden. Wenn der AP den Datenverkehr für VLAN 101 taggt, der Switch-Port jedoch im Access-Modus auf VLAN 1 konfiguriert ist, wird der Datenverkehr verworfen und der Client erhält keine IP-Adresse.
Viertens: Führen Sie eine vierteljährliche Überprüfung Ihrer Walled Garden-Konfiguration durch. OAuth-Anbieter und Content Delivery Networks ändern ihre Domain-Strukturen. Apple hat seine Domains für "Anmelden mit Apple" im Jahr 2023 zweimal aktualisiert. Ein Walled Garden, der bei der Bereitstellung korrekt war, wird ohne aktive Wartung mit der Zeit nicht mehr funktionieren.
---
[RAPID-FIRE Q&A - 1 MINUTE]
Gehen wir kurz ein paar Fragen durch, die uns in der Praxis häufig gestellt werden.
Frage eins: Kann ich WPA3 mit dem Purple Captive Portal auf Alta Labs-Hardware verwenden?
Ja. Sie sollten WPA3-OWE verwenden, was für Opportunistic Wireless Encryption steht. Dies verschlüsselt die Daten über die Luft und schützt die Privatsphäre der Gäste, während es gleichzeitig als offenes Netzwerk fungiert, das die Weiterleitung zum Captive Portal auslöst. Es ist die richtige Wahl für jede neue Gäste-WiFi-Bereitstellung im Jahr 2026.
Frage zwei: Welche Ports muss ich auf meiner Firewall für den RADIUS-Verkehr öffnen?
Die RADIUS-Server von Purple kommunizieren über den UDP-Port 1812 für die Authentifizierung und den UDP-Port 1813 für das Accounting. Stellen Sie sicher, dass Ihre Edge-Firewall ausgehenden Datenverkehr auf diesen Ports von den Alta Labs APs zur Purple-Infrastruktur zulässt.
Frage drei: Kann ich AltaPass PPSK zusammen mit dem Purple Captive Portal auf derselben SSID verwenden?
Ja, und das ist tatsächlich eine sehr nützliche Konfiguration. Sie können ein AltaPass-Passwort erstellen, das das Captive Portal für bekannte Geräte - wie Ihre Point-of-Sale-Terminals oder digitale Beschilderung - umgeht, während Standardverbindungen mit derselben SSID weiterhin über die Purple-Splash-Page geleitet werden. Dies bietet Ihnen eine einzige, saubere SSID, die sowohl authentifizierte Geräte als auch Gastbenutzer verarbeitet.
-
[ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - 1 MINUTE]
Zusammenfassend lässt sich sagen: Die Integration von Alta Labs mit Purple WiFi bietet Ihnen eine sichere, skalierbare Plattform zur Erfassung von First-Party-Daten und zur Bereitstellung einer gebrandeten Gästeerfahrung.
Denken Sie an die drei Säulen einer erfolgreichen Bereitstellung. Konfigurieren Sie erstens die externe Hotspot-Weiterleitung und die RADIUS-Einstellungen in der Alta Labs Cloud-Management-Plattform korrekt. Definieren Sie zweitens Ihre Walled-Garden-Domains sorgfältig, um sicherzustellen, dass OS-Probes und Social Logins ordnungsgemäß funktionieren. Und drittens nutzen Sie AltaPass PPSK, um Identity-Based Networking zu implementieren und Ihren Datenverkehr zu segmentieren, ohne Ihren Luftraum mit unnötigen SSIDs zu belasten.
Purple ist in über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet. Die Plattform ist ISO 27001-zertifiziert, GDPR-konform und so konzipiert, dass sie von einem einzelnen Boutique-Hotel bis hin zu einem nationalen Filialnetz skaliert werden kann. Wenn Sie dies mit der Leistung und Flexibilität der Alta Labs-Hardware kombinieren, erhalten Sie einen überzeugenden Enterprise-WiFi-Stack.
Wenn Sie diesen Leitfaden befolgen, werden Sie ein nahtloses, konformes WiFi-Erlebnis bereitstellen, mit dem sowohl Ihr Marketing- als auch Ihr Sicherheitsteam hochzufrieden sein werden.
Vielen Dank, dass Sie die Purple Technical Briefing Series verfolgt haben. Bis zum nächsten Mal - halten Sie Ihre Netzwerke sicher und Ihre Daten nutzbar.
