Zum Hauptinhalt springen
Deutsch

Captive Portal für Ubiquiti UniFi

Diese massgebliche technische Anleitung beschreibt die Konfiguration eines externen Captive Portals (Purple) auf der Ubiquiti UniFi Network Application. Sie behandelt die zugrunde liegende Netzwerkmechanik, die schrittweise Bereitstellung des Gastnetzwerks, das Walled-Garden-Whitelisting, die RADIUS-Authentifizierung und Fehlerbehebungsstrategien für erfahrene IT-Experten und Netzwerkadministratoren.

📖 10 Min. Lesezeit📝 2,475 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Captive Portal for Ubiquiti UniFi — Ein technisches Briefing von Purple [EINFÜHRUNG & KONTEXT — ca. 1 Minute] Willkommen zur Reihe der Purple Technical Briefings. Ich bin Ihr Moderator, und heute befassen wir uns mit den Besonderheiten der Bereitstellung eines externen Captive Portal auf einer Ubiquiti UniFi-Infrastruktur – einer der am häufigsten genutzten Netzwerkplattformen im Gastgewerbe, im Einzelhandel und in Unternehmensumgebungen weltweit. Wenn Sie als IT-Manager, Netzwerkarchitekt oder Systemintegrator mit UniFi Cloud Gateways, Dream Machines oder der UniFi Network Application arbeiten, ist diese Episode genau das Richtige für Sie. Wir werden genau erläutern, wie der externe Portal-Mechanismus unter der Haube funktioniert, wie man ihn richtig konfiguriert, wo die üblichen Fallstricke liegen und warum die Integration von Purple auf einer UniFi-Bereitstellung die richtige architektonische Entscheidung für Standorte ist, die mehr als eine einfache Landingpage benötigen. Legen wir los. [TECHNISCHER DEEP-DIVE — ca. 5 Minuten] Zunächst sollten wir verstehen, was tatsächlich passiert, wenn sich ein Gast mit einer UniFi-SSID verbindet, für die ein Captive Portal aktiviert ist. Wenn sich ein Gastgerät mit Ihrer Gast-SSID verbindet, weist der UniFi Access Point ihm wie gewohnt eine IP-Adresse über DHCP zu. Das Gerät wird jedoch sofort in einen Zustand versetzt, den UniFi als „ausstehend“ (pending) bezeichnet. In diesem Zustand fängt der im AP integrierte DNSmasq-Prozess jede DNS-Anfrage ab, die das Gerät stellt – unabhängig davon, welchen DNS-Server das Gerät zu verwenden glaubt. Der AP leitet den gesamten DNS-Verkehr an sich selbst weiter. Gleichzeitig führt der AP einen schlanken HTTP-Redirector auf Port 80 aus. Sobald der Browser des Gasts eine HTTP-Anfrage stellt – und das ist das Schlüsselwort, HTTP, nicht HTTPS –, sendet der Redirector eine 302-Weiterleitung zurück und schickt den Browser zur Splash-Page des Captive Portal. Dies ist der Mechanismus, der die Benachrichtigung „Bei WiFi anmelden“ auf iOS- und Android-Geräten auslöst. Hier wird der Unterschied zwischen dem integrierten Portal und einem externen Portal entscheidend. Beim integrierten UniFi Hotspot Portal wird die Splash-Page direkt von der UniFi Network Application bereitgestellt. Das ist funktionell und schnell eingerichtet, aber stark eingeschränkt. Sie erhalten eine einfache Passwort-Authentifizierung, Voucher und Stripe-Zahlungen. Es gibt keine E-Mail-Erfassung, kein Social Login, kein GDPR-Einwilligungsmanagement, keine CRM-Integration und keine aussagekräftigen Analysen über die Anzahl der Sitzungen hinaus. Wenn Sie einen externen Portal-Server konfigurieren – und das ist die Einstellung, auf die wir uns heute konzentrieren –, weisen Sie den UniFi-Controller an, Gäste zu einer völlig separaten Webanwendung weiterzuleiten. In unserem Fall ist das Purple. Die URL, die Sie in das Feld für den externen Portal-Server eingeben, wird zum Ziel für all diese 302-Weiterleitungen.Hier ist das wichtige technische Detail zu dieser Weiterleitungs-URL. Wenn UniFi einen Gast zu Ihrem externen Portal weiterleitet, hängt es mehrere Abfrageparameter an die URL an. Dazu gehören: die AP-MAC-Adresse, die MAC-Adresse des Client-Geräts, ein Unix-Zeitstempel, die ursprüngliche URL, die der Client aufrufen wollte, und der SSID-Name. Ihr externes Portal — in diesem Fall Purple — erfasst diese Parameter, verwendet sie zur Identifizierung des verbindenden Geräts, zeigt die entsprechende Splash-Page an, übernimmt die Authentifizierung und führt dann einen API-Aufruf zurück an die UniFi Network Application aus, um diese MAC-Adresse zu autorisieren. Dieser API-Aufruf ist der entscheidende Handshake. Ab UniFi Network Application 9.1 und neuer gibt es eine offizielle REST-API mit ordnungsgemäßer schlüsselbasierter Authentifizierung. Der Autorisierungsendpunkt ist eine POST-Anfrage an Version 1 der Sites-API, die auf die spezifische Client-ID abzielt, mit einem JSON-Body, der Zeitlimits in Minuten, Datennutzungslimits in Megabyte und Geschwindigkeitsbegrenzungen in Kilobit pro Sekunde festlegen kann. Sobald der Controller diese Autorisierung erhält, leitet er die Anweisung an den AP weiter, und der Gast wechselt von „ausstehend“ auf „autorisiert“. Der Internetzugang wird gewährt. Sprechen wir nun über den Walled Garden, den UniFi als „Pre-Authorization Access“ bezeichnet. Dies ist die Whitelist von Domains und IP-Adressen, die Gäste erreichen können, bevor sie sich authentifiziert haben. Sie ist unerlässlich und eine der häufigsten Fehlerquellen bei der Konfiguration. Ihr Walled Garden muss mindestens den Fully Qualified Domain Name (FQDN) Ihres Purple-Portals sowie die IP-Adressen oder CIDR-Bereiche enthalten, auf die die Infrastruktur von Purple verweist. Wenn Sie Social Login — Facebook, Google, Microsoft — verwenden, müssen Sie auch die OAuth-Endpunkt-Domains dieser Anbieter hinzufügen. Die Login-Endpunkte von Google erstrecken sich über mehrere IP-Bereiche und verschiedene Domains, darunter accounts.google.com und oauth2.googleapis.com. Die Login-Infrastruktur von Facebook erfordert ebenfalls mehrere Einträge. Die Dokumentation von Purple bietet eine gepflegte Liste der genau erforderlichen Einträge, die bei Aktualisierungen der Infrastruktur dieser Anbieter auf dem neuesten Stand gehalten wird. Es gibt eine kritische Besonderheit bei UniFi, die bei vielen Bereitstellungen zu Problemen führt. Der HTTP-Redirector auf dem AP fängt nur reinen HTTP-Verkehr auf Port 80 ab. Moderne Geräte — iOS, Android, Windows, macOS — führen alle eine HTTPS-basierte Captive Portal-Erkennung durch. Apple-Geräte rufen captive.apple.com über HTTPS auf. Android-Geräte rufen connectivitycheck.gstatic.com auf. Wenn diese HTTPS-Anfragen keine spezifische Antwort erhalten, entscheidet das Gerät möglicherweise, dass kein Captive Portal vorhanden ist, und zeigt die Anmeldeaufforderung schlichtweg nicht an. Die Lösung besteht darin, sicherzustellen, dass Ihr Walled Garden die Domains zur Erkennung des Captive Portals für die gängigen Betriebssysteme enthält und dass Ihr Purple-Portal über HTTPS mit einem gültigen, vertrauenswürdigen SSL-Zertifikat erreichbar ist. Selbstsignierte Zertifikate führen zu Sicherheitswarnungen im Browser, die das Laden des Portals verhindern. Dies ist für produktive Bereitstellungen nicht verhandelbar. Die andere UniFi-spezifische Überlegung betrifft die Erreichbarkeit des Controllers. Die UniFi Network Application – ob sie nun auf einem Cloud Gateway, einem Cloud Key oder einem selbst gehosteten Server läuft – muss von der Infrastruktur von Purple aus erreichbar sein, damit die API-Autorisierungsaufrufe erfolgreich sind. Wenn sich Ihr Controller in einem privaten Netzwerk hinter NAT befindet, müssen Sie sicherstellen, dass die relevanten API-Ports zugänglich sind. Bei selbst gehosteten Controllern ist dies in der Regel Port 8443 für die Legacy-API oder der Standard-HTTPS-Port 443 für die neuere API, die in Version 9.1 eingeführt wurde. Die Support-Dokumentation von Purple spezifiziert die genauen IP-Bereiche, die eingehenden Zugriff auf Ihren Controller benötigen. Für die RADIUS-basierte Authentifizierung – die relevant ist, wenn Sie Purple zusammen mit WPA2-Enterprise- oder WPA3-Enterprise-SSIDs anstelle des offenen Gast-SSID-Modells bereitstellen – unterstützt der integrierte RADIUS-Server von UniFi die Standard-802.1X-EAP-Methoden. Sie konfigurieren das RADIUS-Profil unter „Settings“, „Networks“, „RADIUS Servers“ und verweisen dann in Ihrer SSID-Konfiguration auf dieses Profil. UniFi unterstützt ab Version 8.4 auch RADIUS über TLS (bekannt als RADSEC), wodurch der RADIUS-Verkehr zwischen dem AP und dem Authentifizierungsserver verschlüsselt wird. Bei Multi-Site-Bereitstellungen, bei denen der RADIUS-Verkehr über das öffentliche Internet läuft, wird RADSEC dringend empfohlen. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS — ungefähr 2 Minuten] Hier ist die praktische Implementierungs-Checkliste, die ich mit jedem Kunden durchgehen würde, der Purple auf UniFi bereitstellt. Erstens: Netzwerksegmentierung. Ihre Gast-SSID muss sich in einem dedizierten VLAN befinden, isoliert von Ihren Unternehmens- und IoT-Netzwerken. UniFi macht dies einfach: Erstellen Sie ein dediziertes Netzwerk unter „Settings“, „Networks“, weisen Sie ihm eine VLAN-ID zu und verknüpfen Sie Ihre Gast-SSID mit diesem Netzwerk. Aktivieren Sie die Client-Isolierung im Gastnetzwerk, um den Datenverkehr von Gast zu Gast zu verhindern. Zweitens: Der Controller muss über einen gültigen FQDN und ein vertrauenswürdiges SSL-Zertifikat verfügen. Verlassen Sie sich nicht auf die IP-Adresse. Verwenden Sie einen ordnungsgemäßen Domainnamen, besorgen Sie sich ein Let's Encrypt- oder kommerzielles Zertifikat dafür und konfigurieren Sie UniFi so, dass dieses Zertifikat verwendet wird. Dies behebt die Mehrheit der HTTPS-Weiterleitungsprobleme. Drittens: Erstellen Sie Ihren Walled Garden sorgfältig und testen Sie ihn. Die Mindesteinträge sind: Ihre Purple-Portal-Domain und deren IP-Bereiche, die Captive Portal-Erkennungsdomains für iOS, Android und Windows sowie alle von Ihnen verwendeten OAuth-Anbieter-Domains. Testen Sie mit einem Gerät, das noch nie zuvor mit dem Netzwerk verbunden war – ein zwischengespeicherter DNS- und Netzwerkstatus kann Lücken im Walled Garden beim Testen maskieren. Viertens: Verwenden Sie für die API-Integration ein dediziertes lokales Admin-Konto in der UniFi Network Application mit den minimal erforderlichen Berechtigungen. Verwenden Sie nicht Ihre primären Admin-Zugangsdaten. Wenn Sie Network Application 9.1 oder neuer verwenden, nutzen Sie den neuen API-Schlüsselmechanismus unter „Control Plane“, „Integrations“ – dieser ist sicherer und erfordert keine zugangsdatenbasierte Authentifizierung. Fünftens: Bedenken Sie die Sitzungsdauer sorgfältig. Der standardmäßige Ablauf der Gastsitzung bei UniFi kann nur acht Stunden betragen. Konfigurieren Sie bei Bereitstellungen im Gastgewerbe, bei denen Gäste möglicherweise mehrere Nächte bleiben, die entsprechende Sitzungsdauer in den Purple-Portaleinstellungen und stellen Sie sicher, dass diese Dauer im API-Autorisierungsaufruf korrekt übergeben wird. Die häufigste Falle, die ich sehe, ist die Bereitstellung auf einem selbst gehosteten Controller, der nicht öffentlich zugänglich ist. Wenn Purple Ihren Controller nicht erreichen kann, um Gäste zu autorisieren, wird das Portal geladen, aber die Authentifizierung schlägt stillschweigend fehl. Überprüfen Sie vor dem Live-Gang immer die API-Konnektivität von der Purple-Infrastruktur aus. [SCHNELLE FRAGERUNDE — ca. 1 Minute] Funktioniert das auf der UniFi Dream Machine Pro? Ja. Alle UniFi OS-Konsolen — UDM, UDM Pro, UDM SE, UCG Ultra, UCG-Max — unterstützen die Konfiguration des externen Portalservers. Die Network Application läuft direkt auf dem Gerät. Kann ich Purple auf mehreren UniFi-Standorten über ein einziges Purple-Konto nutzen? Ja. Die Multi-Site-Architektur von Purple ist genau hierfür ausgelegt. Jeder Standort wird in Purple als separater Standort konfiguriert und dem entsprechenden UniFi-Standort zugewiesen. Muss ich Firewall-Ports auf dem UniFi-Gateway öffnen? Sie müssen sicherstellen, dass der Datenverkehr des Gast-VLANs die Purple Captive Portal-Domain auf Port 443 erreichen kann. Der API-Port des Controllers muss ebenfalls von den Purple-Servern aus erreichbar sein. Die Dokumentation von Purple enthält die spezifischen IP-Bereiche. Wie sieht es mit WPA3 aus? UniFi unterstützt WPA3 Personal und WPA3 Enterprise. Der Captive Portal-Mechanismus funktioniert mit WPA3 Personal auf Gastnetzwerken. WPA3 Enterprise verwendet 802.1X und RADIUS, was ein anderer Authentifizierungsfluss ist. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ca. 1 Minute] Zusammenfassend lässt sich sagen: Die Bereitstellung von Purple als externes Captive Portal auf UniFi ist eine gut unterstützte, architektonisch solide Integration. Die wichtigsten Schritte sind: Konfigurieren Sie Ihre Gast-SSID mit der Option "Externer Portalserver", die auf Ihre Purple-Portal-URL verweist, erstellen Sie eine umfassende Walled Garden-Liste, die die Purple-Infrastruktur und alle von Ihnen genutzten OAuth-Anbieter abdeckt, stellen Sie sicher, dass Ihr UniFi-Controller über ein gültiges SSL-Zertifikat verfügt und von den Purple-API-Servern aus erreichbar ist, und konfigurieren Sie die entsprechende Sitzungsdauer für Ihren Standorttyp. Der Business Case liegt auf der Hand. Das integrierte UniFi-Portal bietet Ihnen eine Splash-Page. Purple bietet Ihnen eine DSGVO-konforme, analysebasierte Plattform für das Gasterlebnis, die sich in Ihr CRM integrieren lässt, First-Party-Daten mit GDPR-Zustimmung erfasst und die Analysen zu Besucherzahlen und Verweildauer liefert, die Betreiber von Standorten und Marketingteams tatsächlich benötigen. Wenn Sie als MSP oder Systemintegrator UniFi in großem Umfang bereitstellen, ist Purple dank seiner Multi-Site-Verwaltung und White-Label-Funktionen das richtige Overlay für Ihre Kunden. Detaillierte Konfigurationsdokumente, Walled-Garden-IP-Listen und API-Integrationshandbücher finden Sie unter purple.ai. Vielen Dank fürs Zuhören.

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

Executive Summary

Da physische Unternehmensstandorte — von großen Einzelhandelsketten [1] und Multi-Standort-Hotelgruppen [2] bis hin zu großen Verkehrsknotenpunkten [3] und Bildungseinrichtungen [4] — den Wert ihrer Drahtlosinfrastruktur maximieren möchten, werden die Einschränkungen integrierter Hotspot-Controller zu einem erheblichen betrieblichen Engpass. Das Ubiquiti UniFi-Ökosystem bietet äußerst zuverlässige, kosteneffiziente und skalierbare Hardware. Allerdings fehlen seinem nativen Gästeportal die fortschrittliche Datenerfassung, Multi-Standort-Analysen, CRM-Integration, globale Datenschutz-Compliance (GDPR, CCPA, PCI DSS) und die Monetarisierungsfunktionen, die für moderne Unternehmensabläufe erforderlich sind.

Dieses technische Referenzhandbuch bietet einen umfassenden architektonischen Leitfaden für die Integration von Purple's Enterprise WiFi Intelligence Platform [5] in eine Ubiquiti UniFi-Netzwerkarchitektur. Durch die Nutzung der UniFi External Portal Server-Funktion können Netzwerkarchitekten und Systemintegratoren die Einschränkungen lokaler Controller umgehen. Diese Integration leitet die Gäste-Authentifizierung über die sichere, in der Cloud gehostete Identitäts- und Analyse-Engine von Purple und verwandelt ein einfaches Tool in ein wertvolles Marketing- und Betriebsinstrument auf Enterprise-Niveau.

Technical Deep-Dive

Um ein sicheres und stabiles externes Captive Portal bereitzustellen, müssen Netzwerkingenieure die Low-Level-Kommunikation und die Zustandsübergänge verstehen, die auftreten, wenn sich ein nicht authentifizierter Client mit dem drahtlosen Netzwerk verbindet.

Der Lebenszyklus der Gästeverbindung und -weiterleitung

Der Workflow des UniFi Captive Portals basiert auf einem streng zustandsbasierten Modell. Wenn sich ein Client mit einer für Gäste aktivierten SSID verbindet, wird der folgende sequenzielle Prozess initiiert:

Phase Komponente Aktion / Zustandsübergang Technischer Mechanismus
1. Assoziierung Client & Access Point Client assoziiert sich mit der SSID; DHCP-Server weist IP-Adresse, Subnetzmaske, Gateway und DNS-Server zu. Standardmäßige 802.11-Assoziierung und DHCP-Lease.
2. Quarantäne UniFi Access Point (AP) Der AP versetzt die MAC-Adresse des Clients in den Zustand Quarantined / Pending (authorized: false). Lokal auf der virtuellen Schnittstelle des APs angewendete Layer-2/3-Blockierungsregeln.
3. DNS-Abfangung Lokaler AP-Daemon Der AP führt einen lokalen DNSmasq-Prozess aus, der alle DNS-Anfragen von ausstehenden Clients abfängt. Der AP leitet den gesamten Datenverkehr über Port 53 (UDP/TCP) an seinen lokalen DNS-Resolver weiter, unabhängig von den DNS-Einstellungen des Clients.
4. HTTP-Abfangung AP-Redirector Der AP führt einen schlanken HTTP-Redirector-Daemon auf Port 80 aus. Jede vom Client gestellte HTTP-Anfrage wird abgefangen. Der AP antwortet mit einer HTTP 302 Found-Weiterleitung.
5. Redirection Client Browser Der Browser des Clients (oder der Captive Portal-Assistent des Betriebssystems) wird an die konfigurierte URL des externen Portals weitergeleitet. Der 302-Weiterleitungs-URL werden kritische Abfrageparameter mit Client- und AP-Metadaten angehängt.
6. Authentication Externes Portal (Purple) Der Client interagiert mit der Purple-Splash-Page und schließt die Authentifizierung ab (z. B. Social Login, E-Mail-Registrierung, SMS-OTP). Sichere HTTPS-Sitzung, gehostet auf der Cloud-Infrastruktur von Purple.
7. API Handshake Purple Cloud & UniFi Controller Purple validiert die Anmeldedaten und sendet einen sicheren API-Aufruf an die UniFi-Netzwerkanwendung. REST-API-Aufruf (POST-Anfrage), der die Client-MAC-Adresse, die Standort-ID und die Sitzungsparameter enthält.
8. Authorization UniFi Controller & AP Der UniFi Controller aktualisiert den Client-Status auf authorized: true und überträgt die aktualisierte ACL an den AP. Der AP hebt die Layer-2/3-Sperren für die Client-MAC-Adresse auf und gewährt vollständiges Routing zum Internet-Gateway.

Die Redirection-Abfrageparameter

Wenn der UniFi-AP die HTTP-302-Weiterleitung ausgibt, hängt er einen standardisierten Satz von Abfrageparametern an die URL des externen Portals an. Das externe Portal muss diese Parameter erfassen, um den Client zu identifizieren und die anschließende API-Autorisierung durchzuführen:

https://portal.purplehotspot.com/guest/s/default/?ap=94:2a:6f:d0:30:57&id=1c:71:25:63:e4:24&t=1742398732&url=http://connectivitycheck.gstatic.com%2F&ssid=purple-guest
  • ap: Die MAC-Adresse des spezifischen UniFi Access Points, mit dem der Client verbunden ist.
  • id: Die MAC-Adresse des Client-Geräts, das den Netzwerkzugriff anfordert.
  • t: Ein Unix-Epochen-Zeitstempel, der den Zeitpunkt der Initiierung der Weiterleitung darstellt und für die Sicherheitsüberprüfung verwendet wird.
  • url: Die ursprüngliche URL, auf die der Client zugreifen wollte (häufig ein Endpunkt zur Erkennung des Captive Portal des Betriebssystems).
  • ssid: Der SSID-Name, mit dem sich der Client verbunden hat, damit das Portal standortspezifisches Branding anzeigen kann.

architecture_overview.png

Der Walled Garden (Zugriffskontrolle vor der Autorisierung)

Bevor ein Client autorisiert wird, wird der gesamte Datenverkehr blockiert, mit Ausnahme von Zielen, die explizit in der Liste für den Pre-Authorization Access (allgemein als Walled Garden bezeichnet) definiert sind. Da moderne Client-Geräte automatisierte Captive Portal-Assistenten (CPAs) ausführen, die die Konnektivität über HTTPS testen, und da die externe Authentifizierung häufig auf Identitätsanbietern (IdPs) von Drittanbietern basiert, ist die Konfiguration eines robusten und präzisen Walled Gardens von entscheidender Bedeutung.

Wenn eine erforderliche Domain oder ein IP-Bereich im Walled Garden ausgelassen wird, wird die Splash-Page nicht geladen, Social-Login-Buttons frieren ein oder das Client-Gerät trennt die WiFi-Verbindung vollständig, da es von einem fehlerhaften Netzwerk ausgeht.

Implementierungsleitfaden

Dieser Abschnitt beschreibt Schritt für Schritt die Konfiguration, die für die Integration des External Captive Portal von Purple in die Ubiquiti UniFi Network Application (Controller) erforderlich ist.

Schritt 1: Netzsegmentierung und VLAN-Konfiguration

Um Sicherheit und Compliance auf Enterprise-Niveau (wie PCI DSS und GDPR) zu gewährleisten, muss der Gastdatenverkehr vollständig von Unternehmensressourcen, Kassensystemen (POS) und IoT-Netzwerken isoliert werden.

  1. Navigieren Sie in der UniFi Network Application zu Settings > Networks.
  2. Klicken Sie auf Create New Network.
  3. Konfigurieren Sie die Netzwerkeinstellungen wie folgt:
    • Name: Purple Guest Network
    • VLAN ID: 90 (oder ein beliebiges dediziertes Gast-VLAN-Tag)
    • Network Type: Guest (dies wendet automatisch die Client-Isolierung an und verhindert die Kommunikation von Gast zu Gast).
    • Gateway IP/Subnet: Konfigurieren Sie ein geeignetes Subnetz (z. B. 10.90.0.1/22, um bis zu 1022 gleichzeitige Gast-Leases zu unterstützen).
    • DHCP Range: Aktivieren Sie DHCP und definieren Sie den Bereich (z. B. 10.90.0.10 bis 10.90.3.254).
    • DNS Server: Stellen Sie zuverlässige öffentliche Resolver ein (z. B. Cloudflare 1.1.1.1 und Google 8.8.8.8), um eine schnelle DNS-Auflösung zu gewährleisten.

Schritt 2: Konfiguration der Gast-SSID

  1. Navigieren Sie zu Settings > WiFi und klicken Sie auf Create New WiFi Network.
  2. Konfigurieren Sie die SSID-Parameter:
    • Name (SSID): Purple Guest WiFi
    • Security Protocol: Open (das Captive Portal übernimmt die Authentifizierung).
    • Network: Wählen Sie das in Schritt 1 erstellte Purple Guest Network (VLAN 90) aus.
    • Client Device Isolation: Stellen Sie sicher, dass dies auf ON geschaltet ist.
  3. Scrollen Sie nach unten zu Hotspot Portal und aktivieren Sie das Kontrollkästchen für Enable Captive Portal.

Schritt 3: Konfiguration des External Portal Server

Sobald das Hotspot Portal aktiviert ist, müssen Sie die Authentifizierung auf die sicheren Cloud-Server von Purple umleiten.

  1. Navigieren Sie zu Settings > Profiles > Guest Hotspot (oder Settings > Guest Control in älteren Controller-Versionen).
  2. Wählen Sie unter Authentication die Option External Portal Server.
  3. Konfigurieren Sie die folgenden Felder:
    • IP / FQDN: Geben Sie den von Purple bereitgestellten FQDN ein (z. B. portal.purplehotspot.com).
    • Use Secure Portal (HTTPS): Schalten Sie dies auf ON (zwingend erforderlich für Sicherheit und die Kompatibilität mit modernen Browsern).
    • Redirect Using Hostname: Schalten Sie dies auf ON und geben Sie den FQDN portal.purplehotspot.com ein.
    • Port: 443 (Standard-HTTPS).
    • HTTPS Redirection: Schalten Sie dies auf ON (dies ermöglicht es dem AP, erste HTTPS-Anfragen abzufangen und umzuleiten, erfordert jedoch ein sorgfältiges DNS-Management).

Schritt 4: Konfiguration des Pre-Authorization Access (Walled Garden)

Damit nicht authentifizierte Gäste die Splash Page von Purple laden und sich über Drittanbieter-IdPs authentifizieren können, fügen Sie die folgenden Domains und IP-Bereiche zur Liste Pre-Authorization Access unter Settings > Profiles > Guest Hotspot > Pre-Authorization Access hinzu:

[
  "portal.purplehotspot.com",
  "*.purple.ai",
  "*.purplehotspot.com",
  "accounts.google.com",
  "ssl.gstatic.com",
  "*.googleapis.com",
  "*.facebook.com",
  "*.facebook.net",
  "*.fbcdn.net",
  "*.apple.com",
  "captive.apple.com",
  "connectivitycheck.gstatic.com",
  "*.microsoft.com",
  "*.live.com"
]

Hinweis: Bei Bereitstellungen, die die Stripe-Zahlungsabwicklung nutzen, fügen Sie *.stripe.com und *.stripe.network zur Liste für die Vorautorisierung hinzu.

Schritt 5: Einrichten des API-Handshakes

Damit Purple Gäste autorisieren kann, müssen die Cloud-Server mit Ihrer UniFi-Netzwerkanwendung kommunizieren.

Für UniFi-Netzwerkanwendung 9.1 und höher (Empfohlene REST-API)

  1. Navigieren Sie im UniFi-Controller zu Settings > Control Plane > Integrations.
  2. Klicken Sie im Bereich API Keys auf Generate New API Key.
  3. Vergeben Sie einen Namen (z. B. Purple Integration Key) und legen Sie die Berechtigungen auf Administrator fest.
  4. Kopieren Sie den generierten API-Schlüssel.
  5. Melden Sie sich in Ihrem Purple Portal an, navigieren Sie zu Venue Settings > Integration > Ubiquiti UniFi und fügen Sie den API-Schlüssel zusammen mit dem öffentlichen FQDN Ihres UniFi-Controllers ein (z. B. unifi.yourdomain.com:443).

Für ältere Controller (Anmeldedatenbasierte API)

  1. Navigieren Sie zu Settings > System > Admins.
  2. Erstellen Sie ein dediziertes lokales Administrator-Konto (z. B. purple_api).
  3. Weisen Sie die Berechtigungen Administrator oder Hotspot Operator zu.
  4. Konfigurieren Sie ein sicheres, eindeutiges Passwort.
  5. Geben Sie im Purple Portal diese Anmeldedaten auf der Registerkarte „UniFi-Integration“ ein.

Best Practices

1. SSL-Zertifikatsanforderungen

Verwenden Sie niemals ein selbstsigniertes SSL-Zertifikat auf einem produktiven UniFi-Controller oder einem externen Portal-Server. Moderne Webbrowser und die Captive Portal Assistants (CPAs) der Betriebssysteme erzwingen eine strenge SSL/TLS-Validierung. Ein selbstsigniertes Zertifikat führt zu einer sehr deutlichen Sicherheitswarnung (z. B. „Ihre Verbindung ist nicht privat“), was zu hohen Abbruchraten und einer Beschädigung der Marke führt.

  • Installieren Sie ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat (z. B. Let's Encrypt oder ein kommerzielles CA-Zertifikat) auf dem FQDN des UniFi-Controllers.
  • Stellen Sie sicher, dass der FQDN des Controllers sowohl aus dem internen Gäste-VLAN als auch aus dem öffentlichen Internet korrekt aufgelöst wird.

2. DNS-Konfiguration

Eine langsame DNS-Auflösung ist die Hauptursache für eine träge Weiterleitung zum Captive Portal.

  • Verweisen Sie das Gäste-DNS nicht auf die lokale IP des UniFi-Gateways, es sei denn, auf dem Gateway ist ein hochleistungsfähiges DNS-Forwarding konfiguriert.
  • Konfigurieren Sie stattdessen den DHCP-Bereich für Gäste so, dass schnelle, ausfallsichere öffentliche DNS-Server direkt an die Clients verteilt werden (z. B. Primär: 1.1.1.1, Sekundär: 8.8.8.8).

3. RADIUS Guest WiFi-Konfiguration (Enterprise-Alternative)

Für Standorte, die anstelle einer offenen SSID mit einem Webportal eine zertifikatsbasierte oder anmeldedatenbasierte 802.1X-Sicherheit benötigen, unterstützt UniFi die Integration von externem Cloud-RADIUS [6].

  • Konfigurieren Sie ein RADIUS Profile unter Settings > Profiles > RADIUS.
  • Geben Sie die von Purple bereitgestellten primären und sekundären RADIUS-Server-IPs und Shared Secrets ein.
  • Aktivieren Sie RADIUS Accounting und stellen Sie das Interim Update Interval auf 300 Sekunden ein, um eine Sitzungsverfolgung in Echtzeit zu gewährleisten.
  • Stellen Sie unter den SSID-Einstellungen das Sicherheitsprotokoll auf WPA2 Enterprise oder WPA3 Enterprise [7] ein und wählen Sie das RADIUS-Profil aus.

comparison_chart.png

Fehlerbehebung & Risikominderung

Bei der Bereitstellung externer Captive Portals stoßen Netzwerkadministratoren häufig auf einige typische Fehlerbilder. Die folgende Tabelle beschreibt diese Probleme, ihre Ursachen und die genauen Schritte zur Behebung:

Symptom Ursachenanalyse Behebungs- & Minderungsmaßnahmen
Weißer Bildschirm / Portal lädt nicht Das Client-Gerät kann den FQDN des externen Portalservers nicht auflösen oder erreichen. 1. Überprüfen Sie, ob portal.purplehotspot.com in der Pre-Authorization Access-Liste eingetragen ist.
2. Stellen Sie sicher, dass der Gast-Client eine gültige IP und einen DNS-Server über DHCP erhalten hat.
3. Führen Sie einen DNS-Lookup auf dem Client-Gerät durch, um die Auflösung des Portal-FQDN zu überprüfen.
"Verbindung nicht privat" SSL-Fehler Der UniFi Controller verwendet ein selbstsigniertes Zertifikat oder der Weiterleitungs-FQDN stimmt nicht mit dem Common Name des SSL-Zertifikats überein. 1. Installieren Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat auf dem UniFi Controller.
2. Überprüfen Sie, ob Redirect Using Hostname aktiviert ist und exakt mit dem FQDN auf dem Zertifikat übereinstimmt.
3. Deaktivieren Sie "Redirect HTTPS" in den UniFi-Gästesteuerungseinstellungen, um zu verhindern, dass der AP versucht, HTTPS-Verkehr auf Port 443 abzufangen, was unweigerlich SSL-Warnungen auslöst.
Authentifizierung erfolgreich, aber Internet ist blockiert Die Purple Cloud konnte den Benutzer authentifizieren, aber der API-Aufruf zur Autorisierung der Client-MAC-Adresse auf dem UniFi Controller ist fehlgeschlagen. 1. Überprüfen Sie die Firewall-Regeln, um sicherzustellen, dass Port 443 (oder 8443 für Legacy-Systeme) für eingehende Verbindungen von den IP-Bereichen von Purple zum UniFi Controller geöffnet ist.
2. Überprüfen Sie, ob der API-Key oder die lokalen Admin-Zugangsdaten, die im Purple Portal eingegeben wurden, gültig sind und über Administratorrechte verfügen.
3. Überprüfen Sie die Protokolle des UniFi Controllers (server.log) auf API-Authentifizierungsfehler.
Social-Login-Buttons (z. B. Google) funktionieren nicht Die Authentifizierungsdomänen des IdP werden durch die Zugriffskontrollliste des AP blockiert. 1. Fügen Sie die vollständigen Wildcard-Domains des spezifischen IdP zur Pre-Authorization Access-Liste hinzu (z. B. *.google.com, *.googleapis.com).
2. Stellen Sie bei der Verwendung von Facebook sicher, dass die Facebook SDK-Domains vollständig auf der Whitelist stehen.
Häufige Verbindungsabbrüche / Re-Authentifizierungsaufforderungen Das Sitzungs-Timeout des UniFi-Controllers ist kürzer als die Purple-Sitzungsdauer oder die DHCP-Lease-Zeiten sind zu kurz. 1. Passen Sie die Einstellung Session Timeout des UniFi Guest Hotspots an die Purple-Sitzungsrichtlinie an (z. B. 24 Stunden).
2. Erhöhen Sie die DHCP-Lease-Zeit auf dem Gäste-VLAN auf mindestens 12 oder 24 Stunden, um eine Erschöpfung der IP-Adressen und eine Re-Authentifizierung während der Sitzung zu verhindern.

ROI & geschäftliche Auswirkungen

Obwohl die Bereitstellung eines externen Captive Portals eine sorgfältige Netzwerkplanung erfordert, überwiegen die geschäftlichen Ergebnisse und der Return on Investment (ROI) die anfängliche Komplexität der Implementierung bei Weitem.

Datenerfassung im Unternehmen und CRM-Anreicherung

Das native UniFi-Gästeportal ist ein „blindes“ Tool – es gewährt Internetzugang, ohne die Identität der Benutzer zu erfassen. Durch die Integration von Purple können Standorte wertvolle First-Party-Daten (E-Mails, Telefonnummern, Social-Media-Profile) in einer vollständig GDPR- und CCPA-konformen Weise erfassen. Diese Daten werden automatisch und in Echtzeit mit CRM-Systemen, Marketingplattformen (z. B. Salesforce, HubSpot, Mailchimp) und Treueprogrammen synchronisiert, was hochgradig zielgerichtete Marketingkampagnen ermöglicht, die wiederkehrende Besuche und den Customer Lifetime Value steigern.

Multi-Standort-Management und White-Labeling

Für Managed Service Providers (MSPs) und Betreiber von Multi-Standort-Unternehmen ist die Verwaltung von Gäste-WiFi über Hunderte von Standorten hinweg über einzelne UniFi-Controller äußerst ineffizient. Purple bietet ein einziges, zentralisiertes Cloud-Dashboard zur Verwaltung von Splash-Pages, Compliance-Bedingungen und Analysen für alle Standorte weltweit, unabhängig von der zugrunde liegenden UniFi-Controller-Verteilung.

Echtzeitanalysen und räumliche Intelligenz

Purple verwandelt das drahtlose UniFi-Netzwerk in ein leistungsstarkes Sensor-Array. Durch die Analyse von Probe Requests und Verbindungsmetadaten liefert Purple tiefe räumliche Einblicke, darunter:

  • Besucherstrom-Analysen: Gesamtzahl der Besucher, Passantenverkehr und Konversionsraten (vom Passanten zum Besucher).
  • Verweildauer: Durchschnittliche Dauer der Besuche, segmentiert nach Kundentyp (neu vs. wiederkehrend).
  • Aktualität und Häufigkeit: Wie oft Kunden wiederkehren und die vergangene Zeit zwischen den Besuchen.
  • Standort-Heatmaps: Visuelle Darstellung des Besucherflusses und der Besucherdichte, sodass Einzelhandels- und Standortbetreiber Layouts und Personaleinsatz optimieren können.

Monetarisierung über Retail Media Networks

Für große Veranstaltungsorte wie Stadien, Einkaufszentren und Flughäfen stellt die Captive Portal-Splash-Page eine äußerst wertvolle digitale Werbefläche dar. Purple ermöglicht es Standorten, diesen Bereich zu monetarisieren, indem es in Retail Media Networks integriert wird, um zielgerichtete programmatische Werbung, gesponserte Login-Erlebnisse und lokalisierte Werbeaktionen direkt im Moment der Verbindung an die Gäste auszuliefern.

Referenzen

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die die erste Netzwerkverbindung eines Gastes abfängt und eine Authentifizierung, Registrierung oder die Zustimmung zu Nutzungsbedingungen erfordert, bevor der volle Internetzugang gewährt wird.

Tritt sofort nach der Verbindung mit einer offenen Gast-SSID auf; wird durch den AP-Redirector und den externen Portalserver verwaltet.

External Portal Server

Eine Webanwendung eines Drittanbieters (wie Purple), die die Gast-Splashpage hostet und die Benutzerauthentifizierung verarbeitet, wodurch die Portal-Einschränkungen des integrierten Controllers umgangen werden.

In den UniFi Guest Hotspot-Einstellungen konfiguriert, um die native UniFi-Landingpage zu ersetzen.

Walled Garden (Pre-Authorization Access)

Eine Whitelist von Domains, Subdomains oder IP-Adressen, auf die nicht authentifizierte Clients zugreifen können, bevor sie den Captive Portal-Anmeldevorgang abschließen.

Zwingend erforderlich für das Laden der Portalseite selbst, von CSS/JS-Assets und von OAuth-Login-Endpunkten von Drittanbietern.

DNSmasq

Ein leichtgewichtiger DNS-Forwarder und DHCP-Server, der lokal auf UniFi Access Points ausgeführt wird, um Gast-DNS-Abfragen im Vorautorisierungszustand abzufangen und umzuleiten.

Übernimmt die erste DNS-Weiterleitung, die Client-Geräte dazu zwingt, ihre integrierten Captive Portal-Assistenten auszulösen.

API Authorization Handshake

Der Prozess, bei dem der externe Portalserver (Purple) einen sicheren API-Aufruf zurück an den UniFi-Controller sendet, um die MAC-Adresse eines Clients von "Quarantäne" in "Autorisiert" zu überführen.

Findet unmittelbar statt, nachdem der Benutzer den Login-Flow auf der Splashpage erfolgreich abgeschlossen hat.

Client Device Isolation

Eine Sicherheitsfunktion, die verhindert, dass drahtlose Clients auf derselben SSID oder demselben VLAN miteinander kommunizieren, wodurch das Risiko von lokalen Netzwerkangriffen minimiert wird.

In den UniFi WiFi- und Netzwerkeinstellungen aktiviert, um die Privatsphäre der Gäste zu schützen und das Netzwerk des Standorts zu sichern.

RADSEC (RADIUS over TLS)

Ein Protokoll, das den RADIUS-Authentifizierungs- und Accounting-Verkehr sichert, indem es ihn in einen sicheren TLS-Tunnel einpackt, um Abhören und Manipulationen in öffentlichen Netzwerken zu verhindern.

Unterstützt in UniFi Network 8.4+ für sichere Enterprise-Bereitstellungen an mehreren Standorten unter Verwendung von WPA2/WPA3 Enterprise.

CPA (Captive Portal Assistant)

Ein integriertes Betriebssystem-Dienstprogramm unter iOS, Android, Windows und macOS, das ein Captive Portal automatisch erkennt, indem es versucht, einen bekannten HTTP/HTTPS-Endpunkt abzurufen.

Löst das Pop-up-Fenster "Bei WiFi anmelden" auf dem Gerät des Benutzers unmittelbar nach der Verbindung aus.

Ausgearbeitete Beispiele

Ein stark frequentiertes Einkaufszentrum mit 150 UniFi APs und einer selbst gehosteten UniFi Network Application auf AWS möchte Purple implementieren. Das IT-Team möchte Social Login über Google und Facebook für die Gastauthentifizierung nutzen. Bei ersten Tests stossen Gäste, die auf die Social-Login-Buttons klicken, jedoch auf einen leeren Bildschirm oder einen DNS-Auflösungsfehler.

Das Problem wird durch einen restriktiven Walled Garden (Pre-Authorization Access) verursacht, der verhindert, dass das Gerät des Gasts die Authentifizierungsendpunkte von Google und Facebook auflöst oder erreicht, bevor es autorisiert ist. Um dies zu beheben, muss sich der Netzwerkadministrator an der UniFi Network Application anmelden, zu Settings > Profiles > Guest Hotspot navigieren und den Bereich Pre-Authorization Access erweitern. Dort müssen die vollständigen Wildcard-Domains für die Identitätsanbieter von Google und Facebook hinzugefügt werden. Für Google umfasst dies accounts.google.com, ssl.gstatic.com und *.googleapis.com. Für Facebook sind *.facebook.com, *.facebook.net und *.fbcdn.net erforderlich. Stellen Sie ausserdem sicher, dass der DHCP-Bereich des Gastnetzwerks so konfiguriert ist, dass schnelle, öffentliche DNS-Server (z. B. 1.1.1.1 und 8.8.8.8) direkt an die Clients verteilt werden, anstatt sie auf das lokale UniFi-Gateway zu verweisen, das bei Pre-Authorization-DNS-Anfragen zu einem Engpass werden kann.

Kommentar des Prüfers: Dies ist ein klassischer Fehler durch eine Lücke im Walled Garden. Da Social-Login-Abläufe auf komplexen OAuth-Weiterleitungen über mehrere Subdomains hinweg basieren, führt das Fehlen einer einzigen Domain zur Bereitstellung von Inhalten (wie dem CDN von Facebook `fbcdn.net`) dazu, dass das Rendern der Seite fehlschlägt. Netzwerkarchitekten sollten immer Wildcards (`*.domain.com`) verwenden, sofern diese vom Controller unterstützt werden, und die DNS-Auflösung von einem nicht authentifizierten Client aus mit Standard-Tools wie `nslookup` oder `dig` für die auf der Whitelist stehenden Domains überprüfen.

Ein MSP stellt Purple in einer Kette von 50 Boutique-Hotels bereit. Jedes Hotel verfügt über ein lokales UniFi Cloud Gateway Max vor Ort. Der MSP möchte alle Standorte über ein einziges Purple-Konto verwalten, ist jedoch besorgt über die Sicherheit und die Frage, wie die Cloud von Purple mit den einzelnen lokalen Controllern kommuniziert, um Gast-MAC-Adressen zu autorisieren, da sich die lokalen Gateways hinter dynamischen öffentlichen IPs mit NAT befinden.

Die optimale Architektur nutzt die offizielle REST API von UniFi mit eingehender Portweiterleitung oder einem Reverse Proxy, kombiniert mit Dynamic DNS (DDNS). Für jedes Hotel: 1) Konfigurieren Sie einen DDNS-Hostnamen auf dem Cloud Gateway Max (z. B. hotel01.mspdomain.com), sodass die öffentliche IP des Gateways immer nachverfolgbar ist. 2) Richten Sie eine Portweiterleitungsregel auf dem Gateway ein, um eingehenden HTTPS-Traffic auf einem hohen, nicht standardmässigen Port (z. B. 10443) an die Management-IP des lokalen Gateways auf Port 443 weiterzuleiten. 3) Navigieren Sie im UniFi-Controller zu Settings > Control Plane > Integrations und generieren Sie einen eindeutigen API Key. 4) Konfigurieren Sie im Purple Portal einen eindeutigen „Venue“ für jedes Hotel und wählen Sie die Ubiquiti UniFi-Integration aus. Geben Sie die eindeutige DDNS-Adresse mit dem weitergeleiteten Port (z. B. hotel01.mspdomain.com:10443) und den für diesen Standort generierten spezifischen API Key ein. Sichern Sie schliesslich die eingehende Portweiterleitung auf jedem Gateway, indem Sie die Quell-IPs auf die öffentlichen Cloud-IP-Bereiche von Purple beschränken, um unbefugten Zugriff aus dem restlichen Internet zu verhindern.

Kommentar des Prüfers: Die Verwendung eines hohen, nicht standardmässigen Ports für die Portweiterleitung in Kombination mit einer strengen Quell-IP-Whitelist, die nur die Cloud-IP-Blöcke von Purple zulässt, mindert die Sicherheitsrisiken, die mit der Freigabe des API-Ports des Controllers für das öffentliche Internet verbunden sind. Diese Architektur vermeidet die Notwendigkeit teurer statischer öffentlicher IPs an jedem Standort, während gleichzeitig robuste MAC-Autorisierungsfunktionen in Echtzeit erhalten bleiben.

Übungsfragen

Q1. Ein Netzwerkadministrator hat ein externes Captive Portal in einem UniFi-Gastnetzwerk konfiguriert. Beim Testen stellen sie fest, dass die Splashpage des Captive Portals erfolgreich geladen wird, aber nachdem der Gast seine E-Mail-Adresse eingegeben und auf "Verbinden" geklickt hat, hängt der Browser und zeigt schließlich einen Timeout-Fehler an. Der Client bleibt unter Quarantäne. Was ist die wahrscheinlichste Ursache für dieses Problem und wie sollte es untersucht werden?

Hinweis: Die Portalseite wurde geladen, was bedeutet, dass DNS und der Walled Garden funktionieren. Der Fehler tritt auf, *nachdem* der Gast seine Zugangsdaten übermittelt hat.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Fehler beim API-Autorisierungs-Handshake zwischen der Purple-Cloud und dem UniFi-Controller. Da die Portal-Seite geladen wurde und der Gast mit ihr interagieren konnte, sind die DNS- und Pre-Authorization-Zugriffskonfigurationen (Walled Garden) korrekt. Wenn der Gast jedoch die Authentifizierung abschließt, versucht Purple, einen sicheren REST-API-Aufruf (POST-Anfrage) an den UniFi-Controller zu senden, um die MAC-Adresse des Clients zu autorisieren. Wenn sich der UniFi-Controller hinter einer Firewall, NAT oder in einem privaten Netzwerk ohne ordnungsgemäße Portweiterleitung befindet oder wenn die API-Anmeldedaten (oder der API-Key) falsch sind, schlägt die Autorisierungsanfrage fehl oder läuft in ein Timeout. Zur Untersuchung: 1) Überprüfen Sie, ob der FQDN und der Port des UniFi-Controllers aus den IP-Bereichen von Purple öffentlich erreichbar sind. 2) Überprüfen Sie die eingehenden Firewall-Regeln auf dem Gateway, das den UniFi-Controller schützt, um sicherzustellen, dass Port 443 (oder 8443) geöffnet ist. 3) Überprüfen Sie im Purple-Portal, ob die UniFi-Integrationseinstellungen den korrekten API-Key oder die Administrator-Anmeldedaten enthalten und ob die Controller-URL korrekt ist. 4) Überprüfen Sie die Datei server.log des UniFi-Controllers auf eingehende Verbindungsversuche oder API-Authentifizierungsfehler von den IPs von Purple.

Q2. Eine Unternehmensbereitstellung erfordert die Einrichtung eines Gastnetzwerks mit einem externen Captive Portal. Der Netzwerkarchitekt möchte HTTPS für den gesamten Captive Portal-Verkehr verwenden, um das Ausspähen von Anmeldedaten zu verhindern. Sie aktivieren 'Sicheres Portal verwenden (HTTPS)' und 'Weiterleitung unter Verwendung des Hostnamens' in UniFi und verweisen auf den externen Portal-FQDN. Wenn sich Clients jedoch verbinden, zeigen ihre Browser sofort eine schwerwiegende Warnung 'SSL Certificate Common Name Mismatch' oder 'Zertifikat nicht vertrauenswürdig' an und blockieren den Zugriff. Wie kann dies gelöst werden?

Hinweis: Überlegen Sie, welches Gerät die ursprüngliche Weiterleitung durchführt und welches SSL-Zertifikat es dem Client präsentiert.

Musterlösung anzeigen

Dieses Problem tritt auf, weil der UniFi Access Point oder Controller versucht, eine HTTPS-Anfrage des Clients abzufangen und an das Captive Portal weiterzuleiten. Wenn sich ein Client verbindet und versucht, eine HTTPS-Website (z. B. https://www.google.com) aufzurufen, fängt der Redirector des AP den Datenverkehr ab. Um die Weiterleitung über HTTPS durchzuführen, muss der AP ein SSL-Zertifikat vorlegen. Da der AP kein gültiges SSL-Zertifikat für www.google.com besitzt, erkennt der Browser des Clients eine Man-in-the-Middle-Situation (MITM) und gibt eine schwerwiegende SSL-Warnung aus. Um dies zu beheben: 1) Stellen Sie sicher, dass auf dem UniFi-Controller selbst ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat installiert ist, das seinem konfigurierten FQDN entspricht. 2) Deaktivieren Sie in den Einstellungen des UniFi-Gastnetzwerks 'HTTPS-Weiterleitung' (lassen Sie nur die HTTP-Weiterleitung aktiviert). Dies verhindert, dass der AP versucht, HTTPS-Verkehr abzufangen. Stattdessen verlässt sich das Netzwerk auf den Captive Portal Assistant (CPA) des Betriebssystems des Client-Geräts, der die Konnektivität über einfache HTTP-Endpunkte testet (z. B. http://captive.apple.com oder http://connectivitycheck.gstatic.com). Der AP kann diese HTTP-Anfragen auf Port 80 sicher abfangen und an die sichere HTTPS-URL des Purple-Portals (https://portal.purplehotspot.com) weiterleiten, ohne SSL-Warnungen im Browser auszulösen.

Q3. Eine Hotelkette möchte WPA3-Enterprise-Sicherheit für ihr VIP-Gastnetzwerk implementieren und gleichzeitig die Integration in die Analyseplattform von Purple beibehalten. Das lokale IT-Team ist sich unsicher, ob es die Standard-Captive-Portal-Weiterleitung über einen externen Portalserver mit WPA3-Enterprise nutzen kann. Was ist der richtige architektonische Ansatz für dieses Szenario?

Hinweis: WPA3-Enterprise verwendet die 802.1X-Authentifizierung, die in der Assoziierungsphase stattfindet, bevor eine IP-Adresse zugewiesen wird. Dies unterscheidet sich grundlegend von einer offenen SSID mit einem Captive Portal.

Musterlösung anzeigen

WPA3-Enterprise (und WPA2-Enterprise) verwendet die 802.1X-Authentifizierung, die im Grunde nicht mit der standardmäßigen Web-Weiterleitung von Captive Portal kompatibel ist. In einem 802.1X-Netzwerk erfolgt die Authentifizierung in der Zuordnungsphase (Layer 2) mithilfe von EAP-Methoden (wie EAP-TLS oder PEAP), bevor dem Client eine IP-Adresse zugewiesen oder der Zugriff auf das Netzwerk gestattet wird. Daher können Sie einen Client nicht auf eine webbasierte Landingpage weiterleiten. Um WPA3-Enterprise mit Purple zu integrieren: 1) Wechseln Sie vom Modell 'External Portal Server' zu einem External RADIUS-Modell. 2) Konfigurieren Sie ein RADIUS-Profil in der UniFi-Netzwerkanwendung, indem Sie die Cloud-RADIUS-Server-IP-Adressen von Purple, die Authentifizierungsports (normalerweise 1812), die Accounting-Ports (normalerweise 1813) und das Shared Secret eingeben. 3) Aktivieren Sie RADIUS Accounting und legen Sie ein Interim Update Interval von 300 Sekunden fest. 4) Konfigurieren Sie die VIP-SSID zur Verwendung von WPA3 Enterprise und wählen Sie das RADIUS-Profil aus. Wenn sich ein VIP-Gast verbindet, authentifiziert sich sein Gerät direkt am Cloud-RADIUS-Server von Purple mit seinen eindeutigen Enterprise-Anmeldeinformationen oder seinem Zertifikat. Der RADIUS-Server von Purple autorisiert die Verbindung und empfängt die Accounting-Updates. Dadurch kann der Standort Verbindungsanalysen, Sitzungsdauer und Datennutzung erfassen, ohne dass eine webbasierte Landingpage erforderlich ist.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →