Cambium cnPilot and guest WiFi: captive portal setup with Purple

Cambium Networks cnPilot- and cnMaestro-Integration mit Purple WiFi. Ein Consultant-Briefing. Willkommen. Wenn Sie eine Cambium Networks-Umgebung betreiben und ein Gäste-WiFi bereitstellen müssen, das Daten erfasst, das Marketing ankurbelt und compliant bleibt - dann ist dieses Briefing genau das Richtige für Sie. Ich werde Sie durch das Zusammenspiel von Cambium cnPilot Access Points, dem cnMaestro Cloud-Controller und Purple WiFi führen. Wir behandeln die Architektur, den RADIUS-Authentifizierungsfluss, die Walled-Garden-Konfiguration, sicheres Mitarbeiter-WiFi mit 802.1X und die Multi-Tenant-Segmentierung mithilfe der ePSK-Funktion von Cambium mit dynamischer VLAN-Zuweisung. Egal, ob Sie ein Hotel-Portfolio, ein Filialnetz im Einzelhandel, ein Konferenzzentrum oder einen Campus im öffentlichen Sektor verwalten - die Prinzipien sind dieselben. Legen wir los. Zuerst eine kurze Orientierung zu den beiden Plattformen. Cambium Networks stellt die cnPilot-Reihe von Enterprise-WiFi-Access-Points her - die e410, e425H, e430H und e505 für den Innen- und Außenbereich. Diese APs werden zentral über cnMaestro verwaltet, die Cloud-Management-Plattform von Cambium. cnMaestro bietet Ihnen zentrale Transparenz, Konfigurationsmanagement und Firmware-Updates für Ihre gesamte AP-Infrastruktur - egal, ob es sich um eine Handvoll Geräte an einem einzelnen Standort oder um Tausende von APs in einem nationalen Filialnetz handelt. Purple WiFi ist eine Enterprise-Gäste-WiFi-Intelligence-Plattform. Sie übernimmt das Captive Portal - die gebrandete Begrüßungsseite, die Ihre Gäste sehen, wenn sie sich verbinden - und fungiert gleichzeitig als RADIUS-Authentifizierungsserver, Engine zur Datenerfassung und Marketing-Automatisierungsplattform. Purple ist an 80.000 Live-Standorten im Einsatz und hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Die Kombination aus Cambium cnMaestro und Purple bietet Ihnen einen hochprofessionellen Gäste-WiFi-Stack, der sowohl technisch robust als auch kommerziell wertvoll ist. Lassen Sie uns nun über die Integrationsarchitektur sprechen. Der Kernmechanismus ist eine Captive Portal-Weiterleitung in Kombination mit einer RADIUS-Authentifizierung. So läuft dieser Prozess in der Praxis ab: Ein Gäste-Endgerät verbindet sich mit Ihrer Gäste-SSID. Diese SSID ist in cnMaestro als offenes Netzwerk konfiguriert - also ohne Pre-Shared Key für Gäste. Der Cambium AP fängt die erste HTTP-Anfrage des Geräts ab und leitet sie an die Captive Portal-URL von Purple weiter. Diese Weiterleitung wird in cnMaestro unter den WLAN-Gästezugriffseinstellungen konfiguriert, wo Sie die externe Seiten-URL auf den Endpunkt Ihres Purple-Standortportals festlegen. Der Gast interagiert dann mit dem Purple-Portal. Er kann sich über Social Login, E-Mail, SMS-Verifizierung oder ein benutzerdefiniertes Formular authentifizieren. Sobald der Authentifizierungsfluss abgeschlossen ist, sendet das Backend von Purple eine RADIUS Access-Accept-Nachricht über den UDP-Port 1812 zurück an den Cambium AP. Der AP verschiebt das Gerät daraufhin vom Status vor der Authentifizierung in den vollständigen Netzwerkzugriff. Ich zeige Ihnen nun die genauen Konfigurationsschritte in cnMaestro. Navigieren Sie zu Konfiguration, dann WiFi-Profile und anschließend zu WLANs. Erstellen Sie ein neues WLAN für Ihr Gastnetzwerk. Legen Sie den SSID-Namen fest - beispielsweise "Hotel Guest WiFi" - und stellen Sie die Sicherheit auf Open ein. Aktivieren Sie unter Gastzugriff die Option Externer Hotspot. Dies ist die entscheidende Einstellung, die cnMaestro anweist, nicht authentifizierte Clients an ein externes Portal weiterzuleiten. Stellen Sie die externe Seiten-URL auf die URL Ihres Purple-Veranstaltungsortportals ein. Aktivieren Sie die RADIUS-Authentifizierung, geben Sie die RADIUS-Server-IP-Adresse von Purple und das Shared Secret ein und setzen Sie den Authentifizierungsport auf UDP 1812. Aktivieren Sie das RADIUS-Accounting auf UDP 1813 - dies ist entscheidend für das ordnungsgemäße Funktionieren der Analysen von Purple. Ohne Accounting-Datensätze kann Purple keine Sitzungsdaten, Verweilzeit-Metriken oder Besuchshäufigkeitsanalysen erstellen. Nun zum Walled Garden. Dies ist die Liste der Domains und IP-Adressen, die Gastgeräte vor der Authentifizierung erreichen können. Sie müssen die Portal-Domain von Purple und alle CDN-Endpunkte, die zur Bereitstellung von Portal-Assets verwendet werden, auf die Whitelist setzen. Außerdem müssen Sie alle Domains von Authentifizierungsanbietern auf die Whitelist setzen - wenn Sie Social-Login über Google oder Facebook nutzen, müssen deren OAuth-Domains im Walled Garden enthalten sein. Ein falsch konfigurierter Walled Garden ist die häufigste Ursache für Fehler beim Captive Portal. Das Gastgerät muss in der Lage sein, DNS aufzulösen und das Purple-Portal über HTTPS zu erreichen, bevor es sich authentifizieren kann. In cnMaestro wird der Walled Garden unter den Einstellungen für den externen Hotspot konfiguriert. Fügen Sie Einträge für die Portal-Domain von Purple, alle Social-Login-Anbieter-Domains und alle Payment-Gateway-Domains hinzu, falls Sie kostenpflichtige WiFi-Stufen anbieten. Sprechen wir nun über sicheres Mitarbeiter-WiFi mit IEEE 802.1X. Für Mitarbeiternetzwerke möchten Sie kein Captive Portal. Sie benötigen eine zertifikatsbasierte oder anmeldedatenbasierte Authentifizierung, die geräuschlos auf Geräteebene abläuft. Erstellen Sie in cnMaestro ein separates WLAN für Mitarbeiter. Stellen Sie die Sicherheit auf WPA2-Enterprise ein. Konfigurieren Sie die RADIUS-Server-Details - wiederum die RADIUS-Server-IP von Purple auf UDP 1812. Mitarbeitergeräte authentifizieren sich mit EAP-PEAP unter Verwendung von Benutzernamen und Kennwort oder mit EAP-TLS mit Gerätezertifikaten für ein Höchstmaß an Sicherheit. Purple lässt sich mit Microsoft Entra ID, Okta und Google Workspace als Identity Provider integrieren. Das bedeutet, dass sich Ihre Mitarbeiter mit ihren bestehenden Unternehmensanmeldedaten am WiFi authentifizieren können - kein separates WiFi-Passwort, das verwaltet werden muss. Purple validiert die Anmeldedaten mit Ihrem Identity Provider und sendet ein Access-Accept an den Cambium AP zurück. Die dynamische VLAN-Zuweisung platziert das authentifizierte Mitarbeitergerät dann im richtigen Mitarbeiter-VLAN und isoliert es so vom Gastverkehr. Nun zur mandantenfähigen Segmentierung mit Cambium ePSK. ePSK - enhanced pre-shared key - ist die Implementierung von Cambium für das, was in der Branche als PPSK oder iPSK bezeichnet wird. Das Konzept ist unkompliziert: Anstelle eines gemeinsamen Passworts für eine gesamte SSID erhält jeder Benutzer oder Mieter sein eigenes, eindeutiges Passwort. Alle verbinden sich mit derselben SSID, aber jeder eindeutige Schlüssel wird einem bestimmten VLAN zugeordnet. Dies ermöglicht eine Netzwerktrennung ohne die Komplexität, die der Betrieb mehrerer SSIDs mit sich bringt. cnMaestro unterstützt bis zu 2.000 ePSK-Einträge pro WLAN. Jedem ePSK kann eine bestimmte VLAN ID, ein Bandbreitenlimit und ein Ablaufdatum zugewiesen werden. Dies ist ideal für Umgebungen mit mehreren Mietern - denken Sie an ein Konferenzzentrum, in dem jeder Aussteller sein eigenes isoliertes Netzwerksegment erhält, oder an ein Mietwohngebäude, in dem jeder Bewohner sein eigenes privates Bereichsnetzwerk hat. Um ePSK in cnMaestro zu konfigurieren, navigieren Sie zu Configuration, WiFi Profiles, WLANs. Erstellen Sie ein neues WLAN. Stellen Sie die Sicherheit auf WPA2 Pre-Shared Key ein. Aktivieren Sie die ePSK-Option. Sie können dann einzelne ePSK-Einträge manuell hinzufügen oder die cnMaestro API verwenden, um sie programmatisch bereitzustellen - der bevorzugte Ansatz für Großprojekte. Legen Sie für jeden ePSK-Eintrag das Passwort, die zugewiesene VLAN ID und optional das Bandbreitenlimit und den Ablauf fest. Wenn sich ein Gerät mit diesem Passwort verbindet, weist der Cambium AP es automatisch dem zugewiesenen VLAN zu. Für den ePSK-Flow selbst ist kein RADIUS erforderlich - die VLAN-Zuweisung wird lokal vom AP basierend auf dem verwendeten Passwort verarbeitet. Purple lässt sich in dieses Modell integrieren, indem es den ePSK-Lebenszyklus über die cnMaestro API verwaltet. Purple kann neue ePSK-Einträge bereitstellen, wenn ein neuer Mieter aufgenommen wird, die VLAN-Zuweisung aktualisieren, Ablaufdaten festlegen und den Zugriff widerrufen, wenn ein Mieter auszieht. Dies eliminiert den manuellen Aufwand für die Verwaltung von Hunderten oder Tausenden von einzelnen Schlüsseln. Kommen wir nun zu den potenziellen Fehlern und wie man sie vermeidet. Die häufigste Fehlerquelle ist der Walled Garden. Wenn Ihre Walled-Garden-Einträge unvollständig sind, wird die Weiterleitung zum Captive Portal nie abgeschlossen. Gäste sehen eine Verbindungszeitüberschreitung anstelle einer Login-Seite. Testen Sie immer mit einem neuen Gerät - nicht mit einem, das zuvor bereits verbunden war - und überprüfen Sie, ob das Purple-Portal vor der Authentifizierung geladen wird. Stellen Sie sicher, dass die DNS-Auflösung für die Domain des Purple-Portals im Pre-Authentifizierungsstatus funktioniert. Zweitens: Abweichende RADIUS Shared Secrets. Bei großen Bereitstellungen an mehreren Standorten kann es leicht passieren, dass ein Shared Secret in cnMaestro anders konfiguriert ist als bei Purple hinterlegt. Überprüfen Sie das Shared Secret vor der Liveschaltung immer auf beiden Seiten. Verwenden Sie ein starkes, zufällig generiertes Secret von mindestens 32 Zeichen und speichern Sie es in einem Secrets Manager, nicht in einer Tabellenkalkulation. Drittens: RADIUS-Accounting. Überspringen Sie diesen Schritt nicht. Die Accounting-Daten werden von Purple verwendet, um Sitzungsanalysen zu erstellen - Verweildauer, Besuchshäufigkeit, Gerätetyp. Konfigurieren Sie das RADIUS-Accounting auf UDP 1813 in cnMaestro. Ohne diese Konfiguration verlieren Sie den Analysewert, den Purple bietet. Es ist ein Konfigurationsschritt von nur fünf Minuten.Viertens: VLAN Trunking. Damit die dynamische VLAN-Zuweisung funktioniert, müssen die VLANs auf den Switch-Ports getrunkt sein, die mit Ihren Cambium APs verbunden sind. Wenn VLAN 100 für Gäste auf dem Trunk nicht zulässig ist, erhalten authentifizierte Gäste keine IP-Adresse und haben scheinbar keinen Internetzugang, selbst nach erfolgreicher Authentifizierung. Überprüfen Sie Ihre Switch-Trunk-Konfiguration vor dem Testen. Fünftens: ePSK-VLAN-Bereichskonflikte. Stellen Sie sicher, dass Ihr ePSK-VLAN-Bereich nicht mit vorhandenen VLANs in Ihrem Netzwerk kollidiert - insbesondere mit Management-VLANs oder Infrastruktur-VLANs. Dokumentieren Sie Ihre VLAN-Zuweisung, bevor Sie beginnen. Sechstens: Firmware-Version. Stellen Sie sicher, dass auf Ihren cnPilot APs die Firmware-Version 6.0 oder neuer läuft, um vollen Support für externe Hotspots und ePSK-Funktionalität zu gewährleisten. Ältere Firmware-Versionen weisen bekannte Probleme beim Captive Portal Weiterleitungsverhalten auf. Nun zu einigen schnellen Fragen. Kann ich Purple mit Cambium ohne RADIUS nutzen - also nur mit einer einfachen Weiterleitung? Ja, aber Sie verlieren die dynamische VLAN-Zuweisung und die Sitzungsdaten (Session Accounting). Für alles, was über eine einfache Splash Page hinausgeht, wird RADIUS dringend empfohlen. Unterstützt Purple WPA3 auf Cambium APs? Ja. Die portalbasierte Authentifizierung von Purple ist mit WPA3-SAE auf der SSID kompatibel. Der RADIUS-Fluss ist unabhängig vom Wireless-Sicherheitsprotokoll. Kann ich Purple über mehrere Cambium-Standorte hinweg mit einem einzigen Purple-Konto betreiben? Absolut. Die Multi-Venue-Architektur von Purple ist genau dafür ausgelegt. Jeder Standort wird einem Veranstaltungsort (Venue) in Purple zugeordnet, und die Netzwerkrichtlinien von cnMaestro lassen sich problemlos über einen nationalen Bestand hinweg skalieren. Wie viele ePSK-Einträge kann cnMaestro unterstützen? Bis zu 2.000 pro WLAN. Für Bereitstellungen, die mehr erfordern, nutzen Sie einen RADIUS-basierten Ansatz für das Schlüsselmanagement. Zusammenfassend lässt sich sagen: Die Integration von Cambium cnMaestro und Purple WiFi ist eine bewährte Architektur, die Gäste-WiFi mit Datenerfassung, RADIUS-Authentifizierung, dynamischer VLAN-Segmentierung und vollständigen Analysen bietet - alles zentral über die Cloud-Konsole von cnMaestro verwaltet. Die wichtigsten Schritte für den Live-Betrieb: Konfigurieren Sie Ihr Gäste-WLAN in cnMaestro mit aktiviertem externen Hotspot und der Purple-Portal-URL, fügen Sie die RADIUS-Serverdetails von Purple für Authentifizierung und Accounting hinzu, konfigurieren Sie Ihre Walled-Garden-Einträge, überprüfen Sie das VLAN Trunking auf Ihren Switches und testen Sie die Lösung vor dem Go-live mit einem neuen Gerät. Konfigurieren Sie für mandantenfähige Bereitstellungen ePSK auf einem dedizierten WLAN, weisen Sie jedem Mandanten eine VLAN-ID zu und nutzen Sie die cnMaestro API für das Lifecycle-Management in großem Maßstab. Der ROI-Case ist einfach. Die Analyseplattform von Purple verwandelt Ihr Gäste-WiFi von einem Kostenfaktor in ein wertvolles First-Party-Daten-Asset. Harrods erzielte mit seiner Purple Gäste-WiFi-Implementierung einen 57-fachen Marketing-ROI. AGS Airports generierte einen ROI von 842 %. In Kombination mit der Enterprise-Infrastruktur von Cambium erhalten Sie eine Lösung, die ohne architektonische Änderungen vom einzelnen Standort bis hin zum nationalen Bestand skaliert.Für Ihre nächsten Schritte: Fordern Sie die Details zum RADIUS-Server von Purple bei Ihrem Purple Account Manager an, rufen Sie die cnMaestro WLAN-Konfiguration für Ihre Gäste-SSID auf und gehen Sie die Konfigurations-Checkliste durch. Die meisten Bereitstellungen für einzelne Standorte gehen innerhalb eines Tages live. Vielen Dank fürs Zuhören. Wenn Sie tiefer in das Captive Portal-Design, die VLAN-Segmentierungsstrategie oder das ePSK-Lebenszyklusmanagement einsteigen möchten, sind die Purple-Dokumentation und das Support-Team Ihre nächsten Ansprechpartner.