Captive Portal for Cisco Meraki

Executive Summary

Dieses maßgebliche Referenzhandbuch bietet einen umfassenden, schrittweisen Konfigurationsrahmen für die Integration von drahtlosen Cisco Meraki-Netzwerken mit dem Cloud-basierten Captive Portal von Purple. Dieses Dokument wurde für IT-Manager, Netzwerkarchitekten und Managed Service Provider (MSPs) entwickelt und beschreibt die genauen Konfigurationen, die im Meraki Dashboard erforderlich sind, um eine sichere, leistungsstarke Guest-WiFi-Lösung bereitzustellen [1].

Durch die Entkopplung der Guest-Intelligence-Ebene von der Hardware können Unternehmen an ihren Standorten die zertifizierten Plattformen Guest WiFi und WiFi Analytics von Purple nutzen, um wertvolle, GDPR-konforme First-Party-Daten zu erfassen und gleichzeitig die Netzwerkintegrität und die Einhaltung gesetzlicher Vorschriften zu gewährleisten [2]. Dieses Handbuch behandelt kritische Integrationsparameter, einschließlich RADIUS-Authentifizierung (Ports 1812/1813), Walled-Garden-Domain-Ausnahmen, CDN-Wildcard-Auflösung und Mechanismen zur Weiterleitung von Gästen in verschiedenen physischen Umgebungen wie Einzelhandel , Gesundheitswesen , Gastgewerbe und Transportwesen .

Technischer Deep-Dive

Um Cisco Meraki MR Access Points (APs) erfolgreich in ein externes Captive Portal wie Purple zu integrieren, müssen Netzwerkingenieure die zugrunde liegende Control- und Data-Plane-Architektur verstehen. Im Gegensatz zu herkömmlichen On-Premise-Wireless-Controllern, bei denen RADIUS-Authentifizierungsanfragen vom physischen Controller oder von einzelnen APs stammen, nutzt Cisco Meraki eine Cloud-verwaltete Architektur [1].

Trennung von Control Plane und Data Plane

Wenn sich ein Gast-Client mit einer offenen SSID verbindet, die für ein externes Captive Portal konfiguriert ist, versetzt der Meraki MR AP den Client in einen Pre-Authentication-Status. In diesem Zustand wird der gesamte Datenverkehr blockiert, mit Ausnahme von DNS-Abfragen, DHCP und Datenverkehr, der an IP-Adressen oder Hostnamen gerichtet ist, die explizit im Walled Garden definiert sind [3].

Die eigentlichen RADIUS-Access-Request-Nachrichten werden nicht vom lokalen Meraki MR AP generiert. Stattdessen stammen sie aus der Cisco Meraki Dashboard Cloud-Infrastruktur [1]. Dies ist eine entscheidende architektonische Unterscheidung:

> "RADIUS-Access-Request-Nachrichten für eine Splash-Page stammen aus dem Dashboard, nicht von den lokalen Meraki-Geräten. Daher kann die private LAN-IP-Adresse des RADIUS-Servers hier nicht angegeben werden." [1]

Folglich müssen die vorgeschalteten Firewalls, die Ihre RADIUS-Server schützen, eingehenden Datenverkehr aus dem gesamten Block der ausgehenden IP-Bereiche des Meraki Dashboards zulassen, die dynamisch und regionsspezifisch sind [1]. Diese Bereiche können dynamisch über das Meraki Dashboard unter Hilfe > Firewall-Info abgerufen werden [1].

RADIUS-Authentifizierungsprotokoll (PAP)

Für die Authentifizierung auf der Sign-On-Splash-Page verwendet Meraki das Password Authentication Protocol (PAP) [1]. Obwohl PAP historisch unverschlüsselt ist, mindert die Meraki-Purple-Integration Sicherheitsrisiken durch eine mehrschichtige Verschlüsselung:

1. Client-to-Cloud-Verschlüsselung: Der Gast-Client stellt eine sichere HTTPS-Verbindung (SSL/TLS) direkt mit dem gehosteten Captive Portal von Purple her. Die Anmeldedaten (z. B. Social-Login-Token, E-Mail-Formulare) werden bei der Übertragung vom Browser des Clients zu den Servern von Purple verschlüsselt [1].
2. RADIUS Shared Secret-Verschlüsselung: Wenn die Meraki Cloud den RADIUS-Access-Request an den Cloud-RADIUS-Server von Purple sendet, verschlüsselt sie das Passwort des Benutzers unter Verwendung des konfigurierten RADIUS Shared Secret und einer Standard-XOR-Funktion gemäß RFC 2865 [1]. Dadurch wird sichergestellt, dass Anmeldedaten im Klartext niemals über das öffentliche Internet übertragen werden.

Unterstützte RADIUS-Attribute

Die Meraki Cloud und der Purple Cloud RADIUS tauschen während des Authentifizierungs-Handshakes mehrere Schlüsselattribute aus, um Sitzungsparameter und Richtlinien durchzusetzen:

Implementierungsleitfaden

Diese schrittweise Konfigurationsanleitung beschreibt, wie Sie Cisco Meraki MR Access Points in das externe Captive Portal von Purple integrieren.

Schritt 1: SSID-Zugriffskontrolle konfigurieren

Navigieren Sie im Meraki Dashboard zu Wireless > Configure > Access control [1]. Wählen Sie Ihre Ziel-Gast-SSID aus und konfigurieren Sie die folgenden Parameter:

• Association Requirements: Auf Open (no encryption) festlegen [1]. Dies sorgt für einen reibungslosen Onboarding-Prozess. Wenn Sie eine verschlüsselte Gastübertragung benötigen, erwägen Sie die Implementierung von Passpoint / Hotspot 2.0 mit Cloud RADIUS [4].
• Splash Page: Wählen Sie Sign-on with und wählen Sie my RADIUS server aus dem Dropdown-Menü [1].
• RADIUS-Server: Klicken Sie auf Add server und geben Sie die primären und sekundären Endpunkte von Purple Cloud RADIUS ein [1]:
  • Host-IP: 116.203.120.121 (Primär) und 195.201.123.149 (Sekundär)
  • Port: 1812 (Authentifizierung) [1]
  • Secret: [Ihr Purple Shared Secret]
• RADIUS-Accounting: Stellen Sie dies auf RADIUS accounting is enabled ein und fügen Sie die Accounting-Server hinzu:
  • Host-IP: 116.203.120.121 (Primär) und 195.201.123.149 (Sekundär)
  • Port: 1813 (Accounting)
  • Secret: [Ihr Purple Shared Secret]
• Captive Portal-Stärke: Wählen Sie Block all access until sign-on is complete [1]. Dies stellt strikt sicher, dass Clients nicht auf das Internet zugreifen können, ohne die Splash Page zu durchlaufen.

Schritt 2: Konfigurieren der benutzerdefinierten Splash Page-URL

Navigieren Sie zu Wireless > Configure > Splash page [1]. Wählen Sie Ihre Gäste-SSID aus und konfigurieren Sie Folgendes:

• Custom Splash URL: Wählen Sie Or point to a custom URL und geben Sie die Purple-Weiterleitungs-URL ein:
  • https://login.venuewifi.com/ip/v2/meraki
• Splash Page Redirect: Stellen Sie dies auf The URL they were trying to fetch ein oder leiten Sie sie auf eine bestimmte Landingpage weiter (z. B. die Homepage Ihres Standorts) [3].

Schritt 3: Walled Garden-Domainnamen-Ausnahmen konfigurieren

Um sicherzustellen, dass Gäste-Clients das Captive Portal laden, Assets von Content Delivery Networks (CDNs) herunterladen und die Social-Media-Authentifizierung (z. B. Google- oder Facebook-OAuth) abschließen können, müssen Sie den Walled Garden aktivieren und konfigurieren [3].

Navigieren Sie zurück zu Wireless > Configure > Access control und suchen Sie den Bereich Walled Garden [1].

1. Stellen Sie Walled Garden auf Walled garden is enabled ein [1].
2. In dem Feld Walled garden ranges geben Sie die erforderlichen FQDNs und Wildcard-Domains ein [1].

Wie Meraki Wildcards und CDN-Traffic verarbeitet

Cisco Meraki MR Access Points unterstützen Wildcard-Domains im Walled Garden mithilfe des Asterisk-Präfixes (z. B. *.purple.ai) [1]. Es ist jedoch wichtig, die zugrunde liegende Funktionsweise zu verstehen:

• DNS-basiertes Whitelisting: Der Meraki AP fängt die DNS-Anfragen des Clients ab. Wenn der Client eine Domain anfordert, die mit einem Eintrag im Walled Garden übereinstimmt, löst der AP die Domain in ihre aktuelle IP-Adresse auf und erlaubt dem Client vorübergehend, mit dieser IP zu kommunizieren [3].
• Dynamische CDN-IPs: CDNs wie Amazon CloudFront (*.cloudfront.net) und Akamai (*.akamaihd.net) lösen in hochdynamische, geografisch verteilte IP-Adressen auf, die sich häufig ändern. Das DNS-basierte Whitelisting von Meraki bewältigt dies nahtlos, indem es die Domains in Echtzeit auflöst. Verwenden Sie niemals statische IP-Adressen für CDN-Ressourcen in Ihrem Walled Garden, da dies zu sporadischen Ladefehlern von Portal-Assets führt.

Best Practices

Um eine hohe Verfügbarkeit, Sicherheit und ein optimales Benutzererlebnis zu gewährleisten, sollten Sie diese branchenüblichen Best Practices für die Bereitstellung befolgen:

1. Netzwerksegmentierung und VLAN-Isolierung

Leiten Sie den Gästeverkehr niemals direkt per Bridge in Ihr Unternehmens-LAN weiter. Konfigurieren Sie Ihre Meraki MR APs so, dass sie den Gästeverkehr mit einem dedizierten Gäste-VLAN (z. B. VLAN 30) taggen [4]. Stellen Sie sicher, dass dieses VLAN auf einer DMZ oder einer separaten VRF-Instanz (Virtual Routing and Forwarding) auf Ihrer Upstream-Firewall endet. Dies minimiert die Risiken einer lateralen Bewegung und stellt die Einhaltung von Sicherheitsstandards wie PCI DSS und GDPR sicher [2] [4].

2. Failover und Sitzungsresilienz konfigurieren

Netzwerkverbindungen können ausfallen. Um zu verhindern, dass Gäste während eines Ausfalls des Authentifizierungsservers vom Internet ausgesperrt werden, konfigurieren Sie die RADIUS Failover Policy im Meraki-Dashboard:

• Failover Policy: Stellen Sie dies auf Deny access ein, um maximale Sicherheit zu gewährleisten, oder auf Allow access, wenn die Aufrechterhaltung der Konnektivität für Gäste während eines Ausfalls Vorrang vor der Datenerfassung hat.
• Secondary Servers: Konfigurieren Sie immer sowohl primäre als auch sekundäre RADIUS-Server, um die Last zu verteilen und ein automatisches Failover bereitzustellen [1].

3. Sitzungs- und Inaktivitäts-Timeouts implementieren

Verwalten Sie Ihr Funkspektrum und Ihre DHCP-Pool-Leases, indem Sie entsprechende Timeout-Parameter konfigurieren [1]:

• Session Timeout: Stellen Sie dies auf 1440 minutes (24 hours) für das Gastgewerbe ein, damit Gäste während ihres gesamten Aufenthalts ohne ständige erneute Authentifizierung verbunden bleiben können [1]. Reduzieren Sie dies für den Einzelhandel oder den öffentlichen Nahverkehr auf 120 minutes (2 hours), um eine erneute Interaktion zu fördern und DHCP-Leases freizugeben.
• Idle Timeout: Stellen Sie dies auf 15 minutes ein. Wenn ein Client-Gerät in den Ruhezustand wechselt oder den Standort verlässt, beendet der AP die Sitzung und gibt Netzwerkressourcen wieder frei [1].

Fehlerbehebung & Risikominderung

Bei der Bereitstellung externer Captive Portals auf Cisco Meraki treten bei Technikern häufig drei Hauptfehlerbilder auf. Verwenden Sie diese Diagnosematrix, um Probleme schnell zu isolieren und zu beheben:

ROI & geschäftliche Auswirkungen

Die Integration von Cisco Meraki mit Purple verwandelt das Gäste-WiFi von einem Kostenfaktor in ein strategisches Geschäftsgut. Durch die Nutzung von Hardware der Enterprise-Klasse in Kombination mit fortschrittlichen Analysen erzielen Unternehmen messbare Erträge in mehreren Dimensionen:

• Datenmonetarisierung & Marketing-Reichweite: Durch die Erfassung verifizierter E-Mail-Adressen und Social-Media-Profile bauen Standorte eine saubere, datenschutzkonforme Datenbank mit First-Party-Kundendaten auf [2]. Diese fließen direkt in CRM- (Customer Relationship Management) und Marketing-Automatisierungssysteme ein und ermöglichen hochgradig zielgerichtete, hyperlokale Marketingkampagnen.
• Operative Effizienz: Das automatisierte Onboarding über Purple entlastet das Personal an der Rezeption und im IT-Support. In der Hotellerie und Gastronomie führt dies zu weniger Gästebeschwerden bezüglich der WiFi-Konnektivität und zu einem geringeren operativen Aufwand.
• Fortschrittliche Besucheranalysen: Durch die Kombination der Standort-APIs von Meraki mit der Analyse-Engine von Purple erhalten Standortbetreiber tiefe Einblicke in das Besucherverhalten, einschließlich Besucherzahlen, Verweilzeiten, Rückkehrraten und Spitzenzeiten [2]. Diese Daten bilden die Grundlage für fundierte Entscheidungen in Bezug auf Personalplanung, Ladenlayouts und Immobilienbewertung.

Referenzen

• [1] Cisco Meraki: Konfigurieren der RADIUS-Authentifizierung mit einer Sign-On-Splash-Page
• [2] Purple.ai: Der ultimative Leitfaden für unsere WiFi-Analyse- und Gäste-WiFi-Verwaltungsplattform
• [3] Cisco Meraki: Walled Garden – Übersicht und Konfiguration
• [4] Cisco Wireless APs: Leitfaden 2026 für Produkte & Bereitstellung
• [5] Die 10 besten NAC-Lösungen (Network Access Control) für 2026
• [6] WiFi in Schulen: Der Administrator- & IT-Leitfaden für 2026
• [7] So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS