Captive Portal for Cisco Meraki

Ein maßgebliches technisches Referenzhandbuch auf mittlerem Niveau für die Integration von Cisco Meraki MR Access Points mit dem Cloud Captive Portal von Purple. Es umfasst schrittweise Konfigurationen für das Meraki Dashboard, RADIUS-Server-Einstellungen (Ports 1812/1813), Walled-Garden-Wildcard-Domain-Ausnahmen und Session-Timeout-Parameter für hochperformante Gast-WiFi-Bereitstellungen.

📖 8 Min. Lesezeit📝 1,892 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zur Purple Technical Briefing Series. Ich bin Ihr Moderator, und heute behandeln wir ein Thema, das bei fast jeder Enterprise-Gast-WiFi-Bereitstellung aufkommt, an der wir arbeiten: die Konfiguration eines Captive Portals auf Cisco Meraki MR Access Points, und insbesondere, wie man dieses über RADIUS-Authentifizierung in die Cloud-Plattform von Purple integriert. Egal, ob Sie ein MSP sind, der einen neuen Kunden aus dem Gastgewerbe anbindet, oder ein interner Netzwerkarchitekt bei einer Einzelhandelskette – diese Episode liefert Ihnen die präzisen Konfigurationsschritte und die Logik hinter jedem einzelnen Schritt.

Stellen wir uns das Szenario vor. Sie haben einen Standort – das kann ein Hotel, ein Konferenzzentrum, ein Stadion oder ein Fachmarktzentrum sein –, an dem Cisco Meraki MR Access Points betrieben werden, die über das Meraki Dashboard verwaltet werden. Der Auftrag lautet, ein gebrandetes Gast-WiFi-Erlebnis bereitzustellen, das First-Party-Daten erfasst, die Zustimmung zu den Nutzungsbedingungen erzwingt und Analysen an eine Marketingplattform zurückmeldet. Genau dafür ist Purple entwickelt worden, und Meraki ist weltweit eine unserer häufigsten Hardware-Bereitstellungen.

Der wichtigste architektonische Punkt, den Sie verstehen müssen, bevor Sie auch nur eine einzige Einstellung ändern, ist folgender: Bei Cisco Meraki wird die RADIUS-Authentifizierung für eine Splash-Page nicht lokal vom Access Point verarbeitet. Der RADIUS-Access-Request wird von der Meraki-Cloud – also von der Dashboard-Infrastruktur – initiiert, nicht vom AP in Ihrem LAN. Dies ist ein entscheidender Unterschied, der viele Techniker bei ihrer ersten Meraki-Bereitstellung überrascht. Das bedeutet, dass Ihr RADIUS-Server, in diesem Fall der Cloud-RADIUS-Endpunkt von Purple, aus dem Internet erreichbar sein muss und Ihre Firewall-Regeln den Datenverkehr aus den IP-Bereichen des Meraki-Dashboards zulassen müssen, nicht nur aus Ihrem lokalen AP-Subnetz. Die aktuellen Dashboard-IP-Bereiche finden Sie in Ihrem Meraki Dashboard unter „Help“ und dann „Firewall Info“.

Gut, gehen wir in die Konfiguration. Ich führe Sie in der Reihenfolge durch, in der Sie dies auch bei einer Live-Bereitstellung tun würden.

Schritt eins: SSID-Konfiguration. Navigieren Sie im Meraki Dashboard zu „Wireless“, dann „Configure“ und schließlich „SSIDs“. Wählen Sie den SSID-Slot aus, den Sie für den Gastzugang nutzen möchten. Geben Sie ihm einen eindeutigen Namen – etwa „GuestWiFi“ oder „Standortname_Guest“. Stellen Sie unter „Association requirements“ die Option „Security“ auf „Open, no encryption“. Das ist so korrekt und beabsichtigt – die Sicherheitsebene für Gäste wird durch das Captive Portal und die RADIUS-Authentifizierung geregelt, nicht durch eine WPA-Verschlüsselung. Wenn Sie in einer PCI-DSS-Umgebung bereitstellen, sollten Sie sicherstellen, dass der Gast-Datenverkehr in einem eigenen VLAN isoliert ist, worauf wir gleich noch eingehen werden.

Schritt zwei: Splash-Page und Authentifizierung. Scrollen Sie auf der Seite „Access Control“ für Ihre SSID nach unten zum Bereich „Splash page“. Stellen Sie diesen auf „Sign-on with“ ein und wählen Sie aus dem Dropdown-Menü „my RADIUS server“ aus. Dies ist die entscheidende Einstellung, die Meraki anweist, Benutzer vor dem Gewähren des Netzwerkzugriffs an einem externen RADIUS-Server zu authentifizieren. Darunter sehen Sie die Option „Captive portal strength“. Stellen Sie diese auf „Block all access until sign-on is complete“ ein. Dies erzwingt den Walled Garden – ohne diese Einstellung könnten Gäste das Captive Portal komplett umgehen.

Schritt drei: RADIUS-Server-Konfiguration. Klicken Sie im Bereich „RADIUS“ auf „Add server“. Sie benötigen drei Informationen aus Ihrem Purple-Konto: die IP-Adresse oder den FQDN des RADIUS-Servers, den Authentifizierungsport (UDP 1812) und das Shared Secret. Purple stellt diese im Bereich für die Standortkonfiguration des Portals bereit. Für Redundanz in Produktivumgebungen sollten Sie einen sekundären RADIUS-Server hinzufügen – Purple bietet hierfür einen Failover-Endpunkt. Stellen Sie den Accounting-Port auf UDP 1813 ein, wenn Sie möchten, dass Sitzungsdaten in die Analytics-Engine von Purple zurückfließen. Dies wird für jeden Standort, an dem Verweildauer und Sitzungsdauer wichtige Kennzahlen sind, dringend empfohlen.

Ein kurzer Hinweis zu RADIUS-Attributen. Meraki berücksichtigt das in der RADIUS-Antwort „Access-Accept“ zurückgegebene Attribut „Session-Timeout“. Purple nutzt dieses, um zu steuern, wie lange eine Gastsitzung dauert, bevor eine erneute Authentifizierung erforderlich ist. Für ein Hotel können Sie dies auf 86.400 Sekunden festlegen – das entspricht 24 Stunden. Für ein Café ist ein Wert von 3.600 Sekunden (eine Stunde) angemessener. Das Attribut „Idle-Timeout“ wird ebenfalls berücksichtigt, jedoch nur, wenn das RADIUS-Accounting aktiviert ist. Dies trennt inaktive Sitzungen, was für das Kapazitätsmanagement an Standorten mit hoher Dichte wichtig ist.

Schritt vier: Splash-Page-URL. Navigieren Sie zu „Wireless“, dann „Configure“ und schließlich „Splash page“. Wählen Sie Ihre Gäste-SSID aus dem Dropdown-Menü aus. Stellen Sie die „Custom splash URL“ auf die Purple-Portal-URL für Ihren Standort ein. Dies ist die URL, an die Meraki nicht authentifizierte Clients weiterleitet. Meraki hängt Abfrageparameter an diese URL an – einschließlich des Parameters „login_url“ –, die Purple verwendet, um den Authentifizierungs-Handshake abzuschließen. Diese Parameter dürfen nicht geändert oder entfernt werden.

Schritt fünf: Der Walled Garden. Hier treten bei den meisten Implementierungen Probleme auf. Der Walled Garden ist die Liste von Domains und IP-Bereichen, die ein Gästegerät erreichen kann, bevor es authentifiziert ist. Ohne die korrekten Einträge wird die Captive Portal-Seite selbst nicht geladen, da der Browser daran gehindert wird, das Purple-CDN und die Social-Login-Anbieter zu erreichen.

Navigieren Sie zurück zu Access Control für Ihre Gäste-SSID. Stellen Sie Walled Garden auf Walled Garden ist aktiviert. In das Feld für die Walled Garden-Bereiche müssen Sie Folgendes eintragen. Erstens, die Domänen der Purple-Plattform: star dot purple dot ai und star dot venuewifi dot com. Zweitens, die CDN-Domänen, die Purple zur Bereitstellung von Portal-Assets verwendet: star dot cloudfront dot net und star dot akamaihd dot net. Drittens, die Meraki-Redirect-Infrastruktur: star dot network-auth dot com. Viertens, wenn Sie Social-Login-Optionen anbieten, benötigen Sie die entsprechenden OAuth-Domänen. Für Google: accounts dot google dot com, star dot googleapis dot com, star dot gstatic dot com. Für Facebook: star dot facebook dot com, star dot fbcdn dot net und connect dot facebook dot net. Für Twitter oder X: star dot twitter dot com und star dot twimg dot com.

Ein wichtiger Hinweis dazu, wie Meraki mit Wildcard-Domänen im Walled Garden umgeht. Meraki unterstützt Wildcard-Einträge mit dem Sternchen-Präfix, zum Beispiel star dot cloudfront dot net. Dies ist jedoch ein DNS-basierter Abgleich — Meraki löst die Domäne auf und lässt die resultierenden IP-Adressen zu. Das bedeutet, dass Sie für CDN-Anbieter wie CloudFront oder Akamai, bei denen sich die aufgelösten IPs häufig ändern können, die Domänen-Wildcard anstelle von statischen IP-Bereichen verwenden sollten. Statische IP-Einträge sind für die RADIUS-Endpunkte von Purple, die stabil sind, völlig in Ordnung, nicht jedoch für den CDN-Traffic.

Lassen Sie uns nun über zwei Praxisbeispiele sprechen, an denen ich direkt gearbeitet habe.

Das erste ist ein Hotel mit 350 Zimmern in Großbritannien. Der Kunde betrieb Meraki MR46 Access Points in drei Gebäuden mit etwa 400 gleichzeitigen Gäste-Geräten in Spitzenzeiten. Die ursprüngliche Bereitstellung nutzte eine Click-Through-Splash-Page — kein RADIUS, nur die Akzeptanz der Nutzungsbedingungen. Das Problem war, dass sie keinerlei Einblick hatten, wer sich verbindet, keine E-Mail-Erfassung stattfand und es keine Möglichkeit gab, Marketingkampagnen nach dem Aufenthalt durchzuführen. Wir haben sie auf Purple mit RADIUS-basierter Anmeldung migriert. Die Konfiguration war unkompliziert, aber der Haken war, dass ihre vorgeschaltete Firewall ausgehenden UDP-Traffic auf Port 1812 zu Zielen außerhalb des lokalen Subnetzes blockierte. Sobald wir die IP-Bereiche des Meraki Dashboards zur Allow-List der Firewall hinzugefügt hatten, funktionierte die Authentifizierung sofort. Nach der Bereitstellung erfasste das Hotel im ersten Monat E-Mail-Adressen von etwa 68 Prozent der sich verbindenden Gäste, und das Marketingteam startete eine Reaktivierungskampagne, die zu einer messbaren Steigerung der Direktbuchungen führte.

Das zweite Szenario ist eine Einzelhandelskette mit 45 Filialen, in denen jeweils Meraki MR33 Access Points im Einsatz sind. Die Herausforderung lag hier in der Skalierung und Konsistenz. Die manuelle Konfiguration von 45 SSIDs mit den korrekten RADIUS-Einstellungen und Walled-Garden-Listen wäre fehleranfällig und zeitraubend gewesen. Die Lösung bestand darin, die vorlagenbasierte Konfiguration von Meraki zu nutzen. Wir haben eine einzige Netzwerkvorlage mit den korrekten SSID-, RADIUS- und Walled-Garden-Einstellungen erstellt und dann alle 45 Filialnetzwerke an diese Vorlage gebunden. Jede Änderung – wie beispielsweise das Hinzufügen eines neuen Social-Login-Anbieters zum Walled Garden – wird einmal in der Vorlage vorgenommen und automatisch auf alle Filialen übertragen. Die Analytics von Purple aggregierten anschließend die Besucherzahlen und Verweildaten über alle Filialen hinweg und boten dem Retail-Operations-Team ein einziges Dashboard zur Analyse des Gastverhaltens nach Filiale, Region und Tageszeit.

Hier sind drei Faustregeln, die Ihnen bei jeder Bereitstellung eines Meraki Captive Portals Zeit sparen werden.

Regel eins: Überprüfen Sie immer die IP-Bereiche des Meraki Dashboards, bevor Sie RADIUS konfigurieren. Die Bereiche ändern sich gelegentlich. Wenn Ihre Firewall diese blockiert, schlägt die Authentifizierung aus Sicht des Nutzers geräuschlos fehl – die Portal-Seite bleibt einfach hängen. Nutzen Sie das integrierte RADIUS-Testtool im Dashboard unter „Access Control“, um die Konnektivität vor dem Live-Gang zu überprüfen.

Regel zwei: Verwenden Sie im Walled Garden Domain-Wildcards anstelle von IP-Bereichen für alle über CDNs gehosteten Inhalte. CDN-IP-Bereiche sind groß und ändern sich häufig. Ein Wildcard-Domain-Eintrag ist wartungsfreundlicher und zuverlässiger.

Regel drei: Aktivieren Sie das RADIUS-Accounting auf Port 1813, selbst wenn Sie glauben, dass Sie es noch nicht benötigen. Sitzungsdaten sind wertvoll für die Behebung von Verbindungsproblemen und für die Bereitstellung präziser Verweildaten in Ihrer Analytics-Plattform. Die Aktivierung kostet nichts und ist im Nachhinein nur sehr schwer nachzurüsten.

Nun zu einigen kurzen Fragen, die mir regelmäßig gestellt werden.

Kann ich die integrierte Splash-Page von Meraki anstelle von Purple verwenden? Ja, aber Sie verlieren die Datenerfassung, die Analytics, die Marketing-Automatisierung und das GDPR-konforme Einwilligungsmanagement. Die integrierte Splash-Page ist für ein einfaches Click-Through in Ordnung, aber sie ist keine Plattform für Guest Intelligence.

Funktioniert diese Konfiguration sowohl auf Meraki MX Firewalls als auch auf MR Access Points? Die RADIUS-Splash-Page-Konfiguration wird auf MR Access Points unterstützt. MX-Appliances handhaben die Client-VPN-Authentifizierung anders. Speziell für das Gäste-WiFi konfigurieren Sie die MR SSIDs.

Wie sieht es mit WPA3 aus? Meraki MR Access Points unterstützen WPA3 auf Enterprise-SSIDs. Bei Bereitstellungen von Captive Portals für Gäste ist die SSID in der Regel „Open“, sodass WPA3 nicht direkt anwendbar ist. Wenn Sie jedoch eine Passpoint- oder OpenRoaming-SSID parallel zu Ihrer Captive Portal-SSID bereitstellen – was von Purple unterstützt wird –, verwendet diese SSID WPA3-Enterprise mit 802.1X, und genau dort wird WPA3 relevant.

Zusammenfassend lässt sich sagen: Die Integration von Cisco Meraki und Purple ist bewährt und zuverlässig, erfordert jedoch Aufmerksamkeit in drei Bereichen: RADIUS-Quell-IP-Routing, Vollständigkeit des Walled Gardens und Konfiguration des Session-Timeouts. Wenn Sie diese drei Punkte richtig umsetzen, ist die Bereitstellung unkompliziert. Der Business Case ist eindeutig – Standorte, die eine ordnungsgemäß konfigurierte Gäste-WiFi-Plattform mit Datenerfassung implementieren, verzeichnen durchgehend messbare Erfolge beim Marketing-Engagement und bei den operativen Erkenntnissen.

Wenn Sie tiefer in das Thema einsteigen möchten, lesen Sie den Leitfaden von Purple zur Implementierung der 802.1X-Authentifizierung mit Cloud-RADIUS sowie unseren Cisco Wireless AP-Bereitstellungsleitfaden im Purple-Blog. Beide sind in den Show Notes verlinkt.

Vielen Dank fürs Zuhören. Wenn Sie ein bestimmtes Bereitstellungsszenario haben, das wir behandeln sollen, wenden Sie sich an das technische Team von Purple. Wir sehen uns in der nächsten Folge.

Wichtigste Erkenntnisse

✓RADIUS-Anfragen für Cisco Meraki Guest Splash Pages stammen aus dem Meraki Cloud Dashboard, nicht von den lokalen MR Access Points.
✓Die Entkopplung des Gäste-WiFi in eine herstellerunabhängige Ebene wie Purple ermöglicht eine fortschrittliche Datenerfassung und GDPR-konforme Marketing-Analysen.
✓Ein robustes Walled Garden muss Purple-Domains, CDN-Hosts (*.cloudfront.net, *.akamaihd.net) und Social-OAuth-Endpunkte enthalten.
✓Cisco Meraki verarbeitet Wildcard-Domains im Walled Garden dynamisch über Echtzeit-DNS-basiertes Whitelisting.
✓Die RADIUS-Attribute Session-Timeout und Idle-Timeout sind für die Verwaltung von DHCP-Lease-Pools an Standorten mit hoher Dichte unerlässlich.
✓Vorlagenbasierte Konfigurationen im Meraki Dashboard ermöglichen konsistente, fehlerfreie Gäste-WiFi-Bereitstellungen an mehreren Standorten.

📚 Part of our core series: Multi-Tenant WiFi →

Executive Summary

Dieser maßgebliche Leitfaden bietet einen umfassenden, schrittweisen Konfigurationsrahmen für die Integration von Cisco Meraki-Drahtlosnetzwerken mit dem cloudbasierten Captive Portal von Purple. Dieses Dokument wurde für IT-Manager, Netzwerkarchitekten und Managed Service Provider (MSPs) entwickelt und beschreibt die genauen Konfigurationen, die im Meraki Dashboard erforderlich sind, um eine sichere, leistungsstarke Gast-WiFi-Lösung bereitzustellen [1].

Durch die Entkopplung der Gast-Intelligence-Ebene von der Hardware können Unternehmen die zertifizierten Plattformen für Guest WiFi und WiFi Analytics von Purple nutzen, um wertvolle, GDPR-konforme First-Party-Daten zu erfassen und gleichzeitig die Netzwerkintegrität und die Einhaltung gesetzlicher Vorschriften zu gewährleisten [2]. Dieser Leitfaden behandelt kritische Integrationsparameter, einschließlich RADIUS-Authentifizierung (Ports 1812/1813), Walled-Garden-Domänen-Ausnahmen, CDN-Wildcard-Auflösung und Mechanismen zur Weiterleitung von Gästen in verschiedenen physischen Veranstaltungsorten wie Retail , Healthcare , Hospitality und Transport Hubs.

Technische Vertiefung

Um Cisco Meraki MR Access Points (APs) erfolgreich in ein externes Captive Portal wie Purple zu integrieren, müssen Netzwerkingenieure die zugrunde liegende Control- und Data-Plane-Architektur verstehen. Im Gegensatz zu herkömmlichen On-Premise-Wireless-Controllern, bei denen RADIUS-Authentifizierungsanfragen vom physischen Controller oder den einzelnen APs ausgehen, verwendet Cisco Meraki eine Cloud-verwaltete Architektur [1].

Trennung von Control Plane und Data Plane

Wenn sich ein Gast-Client mit einer offenen SSID verbindet, die für ein externes Captive Portal konfiguriert ist, versetzt der Meraki MR AP den Client in einen Pre-Authentication-Status. In diesem Zustand wird der gesamte Datenverkehr blockiert, mit Ausnahme von DNS-Abfragen, DHCP und Datenverkehr, der an IP-Adressen oder Hostnamen gerichtet ist, die explizit im Walled Garden definiert sind [3].

Die eigentlichen RADIUS Access-Request-Nachrichten werden nicht vom lokalen Meraki MR AP generiert. Stattdessen stammen sie aus der Cisco Meraki Dashboard Cloud Infrastructure [1]. Dies ist eine entscheidende architektonische Unterscheidung:

> "RADIUS-Zugriffsanfragen für eine Splash-Page stammen aus dem Dashboard, nicht von den lokalen Meraki-Geräten. Daher kann die private LAN-IP-Adresse des RADIUS-Servers hier nicht angegeben werden." [1]

Folglich müssen die vorgeschalteten Firewalls, die Ihre RADIUS-Server schützen, eingehenden Datenverkehr aus dem gesamten Block der ausgehenden IP-Bereiche des Meraki Dashboards zulassen, welche dynamisch und regionsspezifisch sind [1]. Diese Bereiche können dynamisch über das Meraki Dashboard unter Hilfe > Firewall-Info abgerufen werden [1].

RADIUS-Authentifizierungsprotokoll (PAP)

Für die Authentifizierung auf der Sign-On-Splash-Page verwendet Meraki das Password Authentication Protocol (PAP) [1]. Obwohl PAP historisch gesehen unverschlüsselt ist, mindert die Meraki-Purple-Integration Sicherheitsrisiken durch eine mehrschichtige Verschlüsselung:

Client-to-Cloud-Verschlüsselung: Der Gast-Client baut eine sichere HTTPS-Sitzung (SSL/TLS) direkt mit dem gehosteten Captive Portal von Purple auf. Die Anmeldedaten (z. B. Social-Login-Token, E-Mail-Formulare) werden auf dem Transportweg vom Browser des Clients zu den Servern von Purple verschlüsselt [1].
Verschlüsselung über den RADIUS Shared Secret: Wenn die Meraki Cloud den RADIUS Access-Request an den Cloud-RADIUS-Server von Purple sendet, verschlüsselt sie das Passwort des Benutzers unter Verwendung des konfigurierten RADIUS Shared Secret und einer Standard-XOR-Funktion gemäß RFC 2865 [1]. Dies stellt sicher, dass niemals Klartext-Anmeldedaten über das öffentliche Internet übertragen werden.

Unterstützte RADIUS-Attribute

Die Meraki Cloud und der Purple Cloud RADIUS tauschen während des Authentifizierungs-Handshakes mehrere Schlüsselattribute aus, um Sitzungsparameter und Richtlinien durchzusetzen:

RADIUS-Attribut	Typ	Richtung	Beschreibung & praktischer Kontext
User-Name	String	Request	Die Kennung des Gastbenutzers (z. B. E-Mail-Adresse, MAC-Adresse) [1].
User-Password	String	Request	Das verschlüsselte Benutzerpasswort oder Sitzungs-Token [1].
Called-Station-ID	String	Request	Formatiert als `AP_MAC:SSID_NAME` (z. B. `AA-BB-CC-DD-EE-FF:GuestWiFi`). Entscheidend für das standortbasierte Richtlinien-Routing [1].
Calling-Station-ID	String	Request	Die physische MAC-Adresse des Clients (z. B. `11-22-33-44-55-66`). Verwendet für Geräte-Tracking und Sitzungswiederaufnahme [1].
Session-Timeout	Integer	Accept	Die maximale Sitzungsdauer in Sekunden. Nach Ablauf wird der Client zurück zum Captive Portal geleitet [1].
Idle-Timeout	Integer	Accept	Die maximale Inaktivitätszeit in Sekunden. Wenn keine Daten übertragen werden, wird die Sitzung beendet. Erfordert RADIUS-Accounting [1].
Filter-Id	String	Accept	Überträgt den Namen einer spezifischen Meraki-Gruppenrichtlinie, die auf den Client angewendet werden soll (z. B. zur Bandbreitenbegrenzung oder zum Blockieren bestimmter Kategorien) [1].

Implementierungsleitfaden

Diese Schritt-für-Schritt-Konfigurationsanleitung beschreibt, wie Sie Cisco Meraki MR Access Points in das externe Captive Portal von Purple integrieren.

Schritt 1: SSID-Zugriffskontrolle konfigurieren

Navigieren Sie im Meraki Dashboard zu Wireless > Configure > Access control [1]. Wählen Sie Ihre Ziel-Gäste-SSID aus und konfigurieren Sie die folgenden Parameter:

Association Requirements: Stellen Sie dies auf Open (no encryption) ein [1]. Dies sorgt für ein reibungsloses Onboarding-Erlebnis. Wenn Sie eine verschlüsselte Gästeübertragung benötigen, sollten Sie die Implementierung von Passpoint / Hotspot 2.0 mit Cloud RADIUS in Betracht ziehen [4].
Splash Page: Wählen Sie Sign-on with und wählen Sie my RADIUS server aus dem Dropdown-Menü [1].
RADIUS Servers: Klicken Sie auf Add server und geben Sie die primären und sekundären Endpunkte von Purple Cloud RADIUS ein [1]:
- Host IP: 116.203.120.121 (Primär) und 195.201.123.149 (Sekundär)
- Port: 1812 (Authentifizierung) [1]
- Secret: [Ihr Purple Shared Secret]
RADIUS Accounting: Stellen Sie dies auf RADIUS accounting is enabled ein und fügen Sie die Accounting-Server hinzu:
- Host IP: 116.203.120.121 (Primär) und 195.201.123.149 (Sekundär)
- Port: 1813 (Accounting)
- Secret: [Ihr Purple Shared Secret]
Captive Portal Strength: Wählen Sie Block all access until sign-on is complete [1]. Dies stellt strikt sicher, dass Clients nicht auf das Internet zugreifen können, ohne die Splash Page zu durchlaufen.

Schritt 2: Konfigurieren Sie die benutzerdefinierte Splash Page URL

Navigieren Sie zu Wireless > Configure > Splash page [1]. Wählen Sie Ihre Gäste-SSID aus und konfigurieren Sie:

Custom Splash URL: Wählen Sie Or point to a custom URL und geben Sie die Purple Weiterleitungs-URL ein:
- https://login.venuewifi.com/ip/v2/meraki
Splash Page Redirect: Stellen Sie dies auf The URL they were trying to fetch ein oder leiten Sie sie auf eine bestimmte Landingpage weiter (z. B. die Homepage Ihres Standorts) [3].

Schritt 3: Konfigurieren Sie die Walled Garden Domain-Ausnahmen

Um sicherzustellen, dass Gäste-Clients das Captive Portal laden, Assets von Content Delivery Networks (CDNs) herunterladen und die Social-Media-Authentifizierung (z. B. Google oder Facebook OAuth) abschließen können, müssen Sie den Walled Garden aktivieren und konfigurieren [3].

Navigieren Sie zurück zu Wireless > Configure > Access control und suchen Sie den Bereich Walled Garden [1].

Stellen Sie Walled Garden auf Walled garden is enabled ein [1].
Geben Sie im Feld Walled garden ranges die erforderlichen FQDNs und Wildcard-Domains ein [1].

Wie Meraki mit Wildcards und CDN-Traffic umgeht

Cisco Meraki MR Access Points unterstützen Wildcard-Domains im Walled Garden mithilfe des Sternchen-Präfixes (z. B. *.purple.ai) [1]. Es ist jedoch wichtig, die zugrunde liegende Funktionsweise zu verstehen:

DNS-basiertes Whitelisting: Der Meraki AP fängt die DNS-Anfragen des Clients ab. Wenn der Client eine Domain anfordert, die mit einem Eintrag im Walled Garden übereinstimmt, löst der AP die Domain in ihre aktuelle IP-Adresse auf und erlaubt dem Client vorübergehend, mit dieser IP zu kommunizieren [3].
Dynamische CDN-IPs: CDNs wie Amazon CloudFront (*.cloudfront.net) und Akamai (*.akamaihd.net) lösen in hochgradig dynamische, geografisch verteilte IP-Adressen auf, die sich häufig ändern. Das DNS-basierte Whitelisting von Meraki bewältigt dies nahtlos, indem es die Domains in Echtzeit auflöst. Verwenden Sie niemals statische IP-Adressen für CDN-Ressourcen in Ihrem Walled Garden, da dies zu sporadischen Ladefehlern von Portal-Assets führt.

Best Practices

Um eine hohe Verfügbarkeit, Sicherheit und ein optimales Benutzererlebnis zu gewährleisten, halten Sie sich an diese branchenüblichen Best Practices für die Bereitstellung:

1. Netzwerksegmentierung und VLAN-Isolierung

Leiten Sie Gast-Traffic niemals direkt an Ihr Unternehmens-LAN weiter. Konfigurieren Sie Ihre Meraki MR APs so, dass sie Gast-Traffic mit einem dedizierten Gast-VLAN (z. B. VLAN 30) taggen [4]. Stellen Sie sicher, dass dieses VLAN in einer DMZ oder einer separaten VRF-Instanz (Virtual Routing and Forwarding) auf Ihrer Upstream-Firewall endet. Dies minimiert das Risiko von Lateral Movement und gewährleistet die Einhaltung von Sicherheitsstandards wie PCI DSS und GDPR [2] [4].

2. Failover und Sitzungs-Resilienz konfigurieren

Netzwerkverbindungen können ausfallen. Um zu verhindern, dass Gäste während eines Ausfalls des Authentifizierungsservers vom Internet ausgesperrt werden, konfigurieren Sie die RADIUS-Failover-Richtlinie im Meraki Dashboard:

Failover-Richtlinie: Stellen Sie für maximale Sicherheit auf Zugriff verweigern ein, oder auf Zugriff erlauben, wenn die Aufrechterhaltung der Gast-Konnektivität während eines Ausfalls Vorrang vor der Datenerfassung hat.
Sekundäre Server: Konfigurieren Sie immer sowohl primäre als auch sekundäre RADIUS-Server, um die Last zu verteilen und ein automatisches Failover bereitzustellen [1].

3. Sitzungs- und Inaktivitäts-Timeouts implementieren

Verwalten Sie Ihr Funkspektrum und Ihre DHCP-Pool-Leases, indem Sie entsprechende Timeout-Parameter konfigurieren [1]:

Sitzungs-Timeout: Stellen Sie für das Gastgewerbe auf 1440 Minuten (24 Stunden) ein, damit Gäste während ihres gesamten Aufenthalts ohne ständige Neuauthentifizierung verbunden bleiben können [1]. Reduzieren Sie diesen Wert für den Einzelhandel oder den öffentlichen Nahverkehr auf 120 Minuten (2 Stunden), um neue Interaktionen zu fördern und DHCP-Leases freizugeben.
Inaktivitäts-Timeout: Stellen Sie auf 15 Minuten ein. Wenn ein Client-Gerät in den Ruhezustand wechselt oder den Standort verlässt, beendet der AP die Sitzung und gibt Netzwerkressourcen wieder frei [1].

Fehlerbehebung & Risikominimierung

Bei der Bereitstellung externer Captive Portals auf Cisco Meraki stoßen Techniker häufig auf drei primäre Fehlerszenarien. Nutzen Sie diese Diagnosematrix, um Probleme schnell zu isolieren und zu beheben:

Symptom	Ursache	Diagnoseschritt	Behebung
Die Splash-Page lädt nicht; der Browser zeigt 'Verbindung abgelaufen' an.	Die Upstream-Firewall blockiert ausgehenden DNS- oder HTTP/HTTPS-Traffic zum CDN von Purple [1].	Versuchen Sie, `login.venuewifi.com` von einem kabelgebundenen Gerät im selben VLAN aufzulösen.	Stellen Sie sicher, dass das Gast-VLAN ausgehenden Zugriff auf öffentliches DNS (UDP 53) und HTTP/HTTPS (TCP 80/443) hat.
Splash page loads, but user credentials fail to authenticate.	Upstream firewall is blocking RADIUS traffic sourced from the Meraki Cloud [1].	Use the RADIUS Test utility in the Meraki Dashboard under Access Control [1].	Add the Meraki Dashboard outbound IP ranges (found under Help > Firewall info) to your firewall's outbound allow-list for UDP ports 1812 and 1813 [1].
Social login (e.g., Google OAuth) fails with a redirect error.	Missing required OAuth helper domains in the Meraki Walled Garden [1].	Check the browser console on the client device for blocked resource loads.	Append the mandatory OAuth domains (e.g., `.googleapis.com`, `.gstatic.com`) to the Walled Garden list [1].

ROI & Business Impact

Integrating Cisco Meraki with Purple transforms guest WiFi from a cost-centre into a strategic business asset. By leveraging enterprise-grade hardware alongside advanced analytics, organizations achieve measurable returns across multiple dimensions:

Data Monetization & Marketing Reach: By capturing verified email addresses and social profiles, venues build a clean, compliant database of first-party customer data [2]. This feeds directly into customer relationship management (CRM) and marketing automation systems, enabling highly targeted, hyper-local marketing campaigns.
Operational Efficiency: Automated onboarding via Purple reduces the burden on front-desk and IT support staff. In hospitality environments, this translates to fewer guest complaints regarding WiFi connectivity and lower operational overhead.
Advanced Footfall Analytics: By combining Meraki's location APIs with Purple's analytics engine, venue operators gain deep insights into visitor behavior, including footfall, dwell times, return rates, and peak busy hours [2]. This data drives informed decisions regarding staffing, store layouts, and real estate valuation.

References

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die neu verbundenen Benutzern eines Wi-Fi-Netzwerks angezeigt wird, bevor ihnen ein umfassenderer Zugriff auf Netzwerkressourcen gewährt wird.

Wird von Veranstaltungsorten genutzt, um Nutzungsbedingungen durchzusetzen, Benutzerdaten zu erfassen und Gäste über RADIUS zu authentifizieren, bevor der Internetzugang freigegeben wird.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für Benutzer bereitstellt, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Meraki APs fragen die Cloud-RADIUS-Server von Purple ab, um die Anmeldedaten von Gästen zu überprüfen und den Netzwerkzugriff zu autorisieren.

Walled Garden

Eine eingeschränkte Auswahl an IP-Adressen oder Domainnamen, auf die nicht authentifizierte Gast-Clients zugreifen dürfen, bevor sie den Anmeldeprozess im Captive Portal abgeschlossen haben.

Entscheidend dafür, dass Clients die gehostete Splash-Page erreichen, CSS/JS-Assets von CDNs herunterladen und mit OAuth-Endpunkten für Social Logins kommunizieren können.

Session-Timeout

Ein RADIUS-Attribut nach RFC 2865, das die maximale Anzahl von Sekunden angibt, die eine Benutzersitzung aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist.

Wird von Purple RADIUS im Access-Accept-Paket zurückgegeben, um zu steuern, wie lange ein Gast eingeloggt bleibt (z. B. 24 Stunden für Hotelgäste).

Idle-Timeout

Ein RADIUS-Attribut, das die maximale Dauer der Inaktivität (keine Datenübertragung) definiert, die zulässig ist, bevor die Sitzung des Benutzers beendet wird.

Wird verwendet, um inaktive Geräte zu trennen und IP-Adressen in Umgebungen mit hoher Dichte wie Stadien oder Einzelhandelsgeschäften freizugeben.

PAP (Password Authentication Protocol)

Ein einfaches, unverschlüsseltes Authentifizierungsprotokoll, das von RADIUS zur Validierung von Benutzeranmeldedaten verwendet wird.

Erforderlich von Cisco Meraki für die RADIUS-Authentifizierung auf externen Splash-Pages. Die Sicherheit wird durch die Verschlüsselung der Übertragung vom Client zum Portal via HTTPS und die Verschlüsselung des Passwortfelds im RADIUS-Paket mittels Shared Secret gewährleistet.

Passpoint (Hotspot 2.0)

Ein von der Wi-Fi Alliance entwickelter Branchenstandard, der ein mobilfunkähnliches, automatisches Roaming und eine sichere Verbindung mit Wi-Fi-Netzwerken ermöglicht.

Unterstützt von Meraki MR Access Points und Purple, um ein nahtloses, zertifikatsbasiertes Onboarding von Gästen ohne Captive Portals zu ermöglichen.

CMX (Cisco Meraki Location APIs)

Ein API-Framework, das es Meraki Access Points ermöglicht, Echtzeit-Standort- und Präsenzdaten (Probe Requests) an Analyseplattformen von Drittanbietern zu exportieren.

Integriert mit Purple, um detaillierte Analysen zu Besucherzahlen, Verweildauer und Rückkehrraten für physische Standorte bereitzustellen.

Ausgearbeitete Beispiele

Ein Luxushotel mit 350 Zimmern, das Cisco Meraki MR46 Access Points nutzt, möchte ein sicheres Gast-WiFi-Netzwerk bereitstellen. Es sollen E-Mail-Adressen der Gäste erfasst, die Bandbreite auf 5 Mbps pro Gast begrenzt und sichergestellt werden, dass sich Gäste nur einmal alle 7 Tage anmelden müssen. Wie sollte der Netzwerkarchitekt das Meraki Dashboard und die RADIUS-Einstellungen konfigurieren?

SSID-Einrichtung: Konfigurieren Sie eine offene SSID namens 'Hotel_Guest' mit der Splash-Page-Einstellung 'Sign-on mit' und 'mein RADIUS-Server'.\n2. RADIUS-Konfiguration: Tragen Sie die primäre (116.203.120.121) und sekundäre (195.201.123.149) RADIUS-IP von Purple ein. Setzen Sie den Authentifizierungs-Port auf 1812 und den Accounting-Port auf 1813. Konfigurieren Sie das Shared Secret.\n3. Timeout-Parameter: Setzen Sie im RADIUS-Serverprofil oder im Purple-Dashboard das Attribut 'Session-Timeout' auf 604800 Sekunden (7 Tage) und 'Idle-Timeout' auf 1800 Sekunden (30 Minuten), um inaktive DHCP-Leases freizugeben.\n4. Traffic Shaping: Wählen Sie im Meraki Dashboard unter Wireless > Konfigurieren > Firewall & Traffic Shaping die SSID aus, aktivieren Sie Traffic Shaping und legen Sie ein Limit pro Client von 5 Mbps im Downstream und 2 Mbps im Upstream fest.\n5. Walled Garden: Aktivieren Sie den Walled Garden und fügen Sie *.purple.ai, *.venuewifi.com sowie erforderliche CDN-Wildcards wie *.cloudfront.net hinzu, damit die Splash-Page vor der Authentifizierung geladen werden kann.

Kommentar des Prüfers: Diese Lösung bietet eine ausgewogene Balance zwischen Benutzerfreundlichkeit und Netzwerkleistung. Ein Session-Timeout von 7 Tagen verhindert eine wiederholte Anmeldung bei Langzeitgästen, während das Idle-Timeout von 30 Minuten eine Erschöpfung der IP-Adressen im DHCP-Pool verhindert. Die Konfiguration des Traffic Shaping direkt auf den Meraki APs ist der Nutzung von RADIUS-Attributen (wie Maximum-Data-Rate-Downstream) vorzuziehen, da dies die CPU-Last auf den APs reduziert und eine konsistentere Durchsetzung gewährleistet.

Eine nationale Einzelhandelskette mit 45 Filialen möchte an allen Standorten ein Gast-WiFi mit Meraki MR33 APs bereitstellen. Es muss eine konsistente Konfiguration gewährleistet, der Zugriff auf das Unternehmensnetzwerk blockiert und Besucheranalysen erfasst werden. Wie sollte dies im großen Stil implementiert werden?

Konfigurationsvorlagen: Erstellen Sie eine einzige Netzwerkkonfigurationsvorlage im Meraki Dashboard. Konfigurieren Sie die Gast-SSID mit den RADIUS-Einstellungen von Purple, den Walled-Garden-Domains und der benutzerdefinierten Splash-URL: https://login.venuewifi.com/ip/v2/meraki. Verknüpfen Sie alle 45 Filialnetze mit dieser Vorlage.\n2. VLAN-Segmentierung: Konfigurieren Sie auf dem lokalen Switch und der Firewall jeder Filiale ein dediziertes Gast-VLAN (z. B. VLAN 50). Setzen Sie in den Meraki-SSID-Einstellungen die Client-IP-Zuweisung auf 'Externer DHCP-Server' und geben Sie VLAN 50 an. Stellen Sie sicher, dass die Firewall jegliches Routing von VLAN 50 zu Unternehmens-Subnetzen blockiert.\n3. Standort-Analysen: Aktivieren Sie die Meraki Scanning API (CMX) im Meraki Dashboard unter Netzwerkweit > Konfigurieren > Allgemein. Geben Sie die Purple Post-URL und den Secret Validator ein. Dadurch können Meraki APs Echtzeit-Probe-Request-Daten an die Analyse-Engine von Purple senden, um Berichte über Besucherzahlen und Verweildauer zu erstellen.

Kommentar des Prüfers: Eine Bereitstellung in dieser Größenordnung erfordert Automatisierung und vorlagenbasiertes Management. Durch die Verknüpfung aller Netzwerke mit einer einzigen Vorlage können zukünftige Walled-Garden-Updates (wie das Hinzufügen eines neuen Social-Login-Anbieters) sofort an alle 45 Filialen übertragen werden, was manuelle Konfigurationsfehler ausschließt. Die Aktivierung der Meraki Scanning API parallel zum RADIUS-Accounting stellt sicher, dass der Einzelhändler sowohl aktive Gast-Sitzungsdaten als auch passive Besucherfrequenzen erfasst, was den geschäftlichen Nutzen der Bereitstellung maximiert.

Übungsfragen

Q1. Ein Netzwerktechniker stellt eine neue Meraki-Gast-SSID mit einem Captive Portal von Purple bereit. Nicht authentifizierte Clients werden erfolgreich auf die Anmeldeseite umgeleitet. Wenn sie jedoch versuchen, sich über "Mit Google anmelden" einzuloggen, lädt die Seite endlos und bricht schließlich mit einem DNS- oder Timeout-Fehler ab. Andere Anmeldemethoden (wie das E-Mail-Formular) funktionieren einwandfrei. Was ist die wahrscheinlichste Ursache für dieses Problem und wie sollte es behoben werden?

Hinweis: Überlegen Sie, welche externen Domains der Browser des Clients erreichen muss, um den Google OAuth-Handshake abzuschließen, bevor die RADIUS-Authentifizierung beendet ist.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist, dass die Google OAuth-Hilfsdomains in der Walled Garden-Konfiguration der Meraki-SSID fehlen. Während die Kern-Domains von Purple und die CDN-Domains freigegeben sind (weshalb die Splash-Page geladen wird), werden die Google-Authentifizierungsserver durch die Pre-Authentication-Firewall-Regeln des APs blockiert. Um dies zu beheben, navigieren Sie zu Wireless > Configure > Access control, wählen Sie die Gast-SSID aus und fügen Sie die folgenden Google OAuth-Domains zur Walled Garden-Liste hinzu: accounts.google.com, *.googleapis.com, *.gstatic.com und *.googleusercontent.com. Nach dem Speichern erlaubt der AP dem Client, den Google-Authentifizierungs-Handshake abzuschließen und zurück zu Purple umzuleiten, um den RADIUS-Login zu beenden.

Q2. Bei einem Post-Deployment-Audit eines hochfrequentierten Stadion-WiFi-Netzwerks stellt das IT-Team fest, dass der DHCP-Pool für das Gast-VLAN (ein /21-Subnetz mit 2048 IPs) innerhalb der ersten 2 Stunden einer Veranstaltung vollständig erschöpft ist, obwohl die aktiven gleichzeitigen Verbindungen nie 800 überschreiten. RADIUS-Accounting ist aktiviert. Wie kann der Netzwerkarchitekt die Meraki- und RADIUS-Einstellungen anpassen, um dieses Problem zu beheben?

Hinweis: Analysieren Sie die Beziehung zwischen Client-Session-Timeouts, Idle-Timeouts und DHCP-Lease-Zeiten in hochfrequentierten, transienten Umgebungen.

Musterlösung anzeigen

Die Erschöpfung des DHCP-Pools wird durch transiente Clients verursacht (Benutzer, die am Stadion vorbeigehen oder es kurz betreten), die sich verbinden, eine IP-Adresse beziehen und den Veranstaltungsort dann wieder verlassen. Da das standardmäßige Meraki Session-Timeout oder die DHCP-Lease-Zeit zu lang ist, bleiben diese IP-Adressen reserviert, obwohl die physischen Geräte nicht mehr vorhanden sind. Um dies zu beheben, sollte der Architekt drei koordinierte Änderungen implementieren: 1) DHCP-Lease-Zeit verkürzen: Reduzieren Sie auf dem DHCP-Server (oder der Meraki Security Appliance, die DHCP verwaltet) die Lease-Zeit auf 10 oder 15 Minuten. 2) Idle-Timeout konfigurieren: Stellen Sie sicher, dass RADIUS-Accounting auf Port 1813 aktiviert ist, und konfigurieren Sie ein Idle-Timeout von 10 Minuten (600 Sekunden) im RADIUS Access-Accept-Profil. Dies weist den Meraki AP an, die Sitzung jedes Clients zu beenden, der 10 Minuten lang inaktiv ist. 3) Session-Timeout verkürzen: Reduzieren Sie das globale Session-Timeout für das Stadionprofil auf 120 Minuten (7200 Sekunden), um eine regelmäßige Neuüberprüfung aktiver Geräte zu erzwingen.

Q3. Ein MSP konfiguriert eine Meraki-Gast-SSID mit einem Captive Portal von Purple. Er hat die korrekten Purple RADIUS-Server-IPs und -Ports (1812/1813) im Meraki Dashboard eingegeben, aber beim Testen mit dem integrierten RADIUS-Test-Tool können alle Access Points den Server nicht erreichen. Der MSP überprüft, ob das gemeinsame RADIUS-Geheimnis korrekt ist und die Purple-Cloud online ist. Welche Routing- oder Firewall-Konfiguration hat der MSP wahrscheinlich übersehen?

Hinweis: Rufen Sie sich ins Gedächtnis, von wo aus RADIUS-Authentifizierungsanfragen in einer Cloud-verwalteten Cisco Meraki-Architektur gesendet werden.

Musterlösung anzeigen

Der MSP hat wahrscheinlich seine lokalen Netzwerk-Firewalls so konfiguriert, dass sie ausgehenden RADIUS-Verkehr aus den lokalen AP-Subnetzen zulassen, aber vergessen, dass bei einer Meraki Splash-Page-Bereitstellung die RADIUS Access-Requests direkt von der Cisco Meraki Dashboard Cloud-Infrastruktur gesendet werden und nicht von den lokalen APs. Um dies zu beheben, muss der MSP die ausgehenden IP-Bereiche des Meraki Dashboards ermitteln (zu finden im Meraki Dashboard unter Help > Firewall info) und seine vorgelagerte Unternehmens-Firewall so konfigurieren, dass eingehender und ausgehender UDP-Verkehr auf den Ports 1812 (Authentifizierung) und 1813 (Accounting) zwischen diesen Meraki Dashboard-IP-Bereichen und den Cloud-RADIUS-Servern von Purple zugelassen wird. Darüber hinaus muss sichergestellt werden, dass die Meraki Dashboard-IPs als gültige RADIUS-Clients in der Purple-Portalkonfiguration hinzugefügt werden.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.