Podcast-Transkript ansehen
Willkommen bei der Purple Technical Briefing Series. Ich bin Ihr Host und heute behandeln wir etwas, das bei fast jeder WiFi Bereitstellung in Unternehmen vorkommt - die Einrichtung eines Captive Portal auf Ruckus SmartZone und Ruckus Unleashed Controllern. Egal, ob Sie ein MSP sind, der WiFi für Gäste in einer Hotelkette bereitstellt, ein IT-Leiter im Gastgewerbe, der ein neues Objekt ausstattet, oder ein Wireless-Ingenieur, der die Plattform von Purple in eine Ruckus-Infrastruktur integriert - diese Folge ist für Sie. Legen wir los.
---
Zuerst einmal: Warum ist die Integration des Ruckus Captive Portal so wichtig? Ruckus, mittlerweile Teil von CommScope, ist weltweit eine der dominierenden WiFi Plattformen für Unternehmen. Insbesondere SmartZone ist der Controller der Wahl für Umgebungen mit hoher Dichte - Stadien, Kongresszentren, große Hotels und Einzelhandelsketten. Wenn Sie WiFi für Gäste in dieser Größenordnung bereitstellen, benötigen Sie mehr als nur eine offene SSID. Sie benötigen einen strukturierten Authentifizierungsfluss, eine GDPR-konforme Datenerfassung und die Möglichkeit, diese Gästedaten in Ihren Marketing-Stack zu übertragen. Genau hier kommt eine externe Captive Portal Plattform wie Purple ins Spiel.
Die Architektur basiert hier auf einem WISPr-basierten Hotspot-Fluss. WISPr steht für Wireless Internet Service Provider roaming - ein Branchenstandard, der definiert, wie ein Wireless-Controller nicht authentifizierten HTTP-Traffic abfängt und an ein externes Portal weiterleitet. Der Gast verbindet sich mit Ihrer SSID, sein Gerät sendet eine HTTP-Anfrage, der SmartZone Controller fängt diese ab und leitet sie per HTTP 302 an Ihre externe Portal-URL weiter. Der Gast authentifiziert sich - sei es über Social Login, E-Mail, SMS oder ein benutzerdefiniertes Formular - und das Portal kommuniziert anschließend über das Northbound Interface (NBI) mit dem Controller, um den Zugriff freizugeben. Sauber, standardbasiert und bei korrekter Konfiguration äußerst zuverlässig.
---
Kommen wir nun zur technischen Konfiguration. Ich werde zuerst die SmartZone durchgehen und dann auf die Unterschiede bei Unleashed eingehen.
Bei SmartZone - und das gilt sowohl für physische SZ300- als auch für virtuelle vSZ-Bereitstellungen - besteht die Konfiguration aus vier Hauptkomponenten: dem RADIUS-Authentifizierungsserverprofil, dem RADIUS-Accounting-Serverprofil, dem Hotspot WISPr Portal-Profil und dem WLAN selbst.
Beginnen Sie mit Ihren RADIUS-Servern. Navigieren Sie zu Services and Profiles, dann zu Authentication. Erstellen Sie ein neues AAA-Serverprofil. Stellen Sie das Service Protocol auf RADIUS ein. Die IP-Adresse Ihres primären Servers und das Shared Secret werden von Ihrem Portal-Anbieter bereitgestellt - im Fall von Purple sind diese in der Admin-Konsole des Purple Portals dokumentiert. Port 1812 für die Authentifizierung. Konfigurieren Sie aus Redundanzgründen immer einen Backup-RADIUS-Server - ebenfalls Port 1812 auf dem sekundären Server. Machen Sie dann dasselbe für das Accounting unter Services and Profiles, Accounting - Port 1813, gleiches Shared Secret.Als Nächstes das Hotspot WISPr-Profil. Gehen Sie zu „Services and Profiles“, „Hotspots and Portals“ und wählen Sie den Reiter „Hotspot WISPr“ aus. Erstellen Sie ein neues Profil. Setzen Sie die Login-URL auf „External“ und geben Sie Ihre Portal-Weiterleitungs-URL ein - dies ist die URL, an die Ihre Gäste weitergeleitet werden, bevor sie sich authentifizieren. Stellen Sie die Startseite so ein, dass sie auf eine URL nach der Authentifizierung weiterleitet, normalerweise eine Erfolgsseite oder die Homepage Ihres Standorts.
Nun zum Walled Garden. Das ist ein Punkt, an dem viele Techniker scheitern. Der Walled Garden definiert, welche Domains und IP-Adressen ein Gast erreichen kann, bevor er sich authentifiziert hat. Sie müssen Ihre Portal-Domain, alle CDN- oder Asset-Domains, von denen Ihr Portal Daten lädt, sowie die standardmäßigen Endpunkte zur Captive Portal-Erkennung der Betriebssysteme hinzufügen. In SmartZone werden Wildcards im Format „Sternchen-Punkt“ unterstützt - also beispielsweise „*.purple.ai“. Dieser einzelne Eintrag deckt alle Subdomains ab. Sie müssen auch Apples Domains zur Captive Portal-Erkennung - captive.apple.com - sowie Googles Endpunkte zur Verbindungsprüfung hinzufügen, um Fehlverhalten des CNA-Minibrowsers auf iOS- und Android-Geräten zu verhindern.
Ein kritischer Schritt, der leicht übersehen wird: Standardmäßig verschlüsselt SmartZone die MAC-Adresse und IP-Adresse, die in der Weiterleitungs-URL an das externe Portal übergeben werden. Ihr Portal-Anbieter muss jedoch die tatsächliche Client-MAC-Adresse sehen, um eine MAC-basierte Sitzungsverwaltung durchzuführen. Sie müssen dies über das CLI deaktivieren. Melden Sie sich per SSH an Ihrer SmartZone an, wechseln Sie in den Konfigurationsmodus und führen Sie folgenden Befehl aus: „no encrypt-mac-ip“. Das ist alles - ein einziger Befehl, der jedoch blockiert, wenn Sie ihn überspringen.
Die Northbound-Schnittstelle ist der andere Teil. Dies ist die API, die es Ihrer Portal-Plattform ermöglicht, mit der SmartZone zu kommunizieren, um nach der Authentifizierung den Zugriff zu gewähren oder zu verweigern. Aktivieren Sie diese unter „Administration“, „External Services“, „WISPr Northbound Interface“. Legen Sie einen Benutzernamen und ein Passwort fest und stellen Sie diese Anmeldedaten Ihrem Portal-Anbieter zur Verfügung. Die NBI läuft auf TCP-Port 9080 für HTTP und 9443 für HTTPS - stellen Sie sicher, dass Ihre Firewall eingehende Verbindungen aus dem IP-Bereich Ihrer Portal-Plattform zu diesen Ports zulässt.
Erstellen Sie schließlich Ihr WLAN. Setzen Sie den Authentifizierungstyp auf Hotspot WISPr, wählen Sie Ihr Portal-Profil aus und weisen Sie Ihre RADIUS-Authentifizierungs- und Accounting-Dienste zu. Setzen Sie die NAS ID auf „User-defined“, wenn Ihr Portal-Anbieter einen bestimmten Wert verlangt, setzen Sie die Called Station ID auf „AP MAC“ und aktivieren Sie „Single Session ID“. Die letzte Einstellung stellt sicher, dass die Sitzung eines Gasts an einen einzigen Controller-Sitzungsdatensatz gebunden ist, was für ein genaues Accounting wichtig ist.
---
Nun zu Unleashed. Die Architektur ist grundlegend anders - Unleashed ist ein verteiltes, Controller-loses Modell, bei dem ein AP als Master fungiert. Die Konfiguration befindet sich unter „Admin and Services“, „Services“, „Hotspot Services“. Die Schritte sind im Großen und Ganzen ähnlich - erstellen Sie einen Hotspot-Service, konfigurieren Sie Ihre externe Portal-URL, richten Sie Ihren AAA-Authentifizierungsserver ein, fügen Sie Ihre Walled Garden-Einträge hinzu - aber es gibt entscheidende Unterschiede.
Erstens gibt es bei Unleashed keine Anforderung für ein Northbound Interface. Das Portal-Kommunikationsmodell ist einfacher. Zweitens ist die Verschlüsselung von MAC-Adressen bei Unleashed standardmäßig nicht aktiviert, sodass Sie den CLI-Befehl nicht benötigen. Drittens akzeptiert der Walled Garden von Unleashed Einträge auf Domain-Ebene anstelle der vollständigen Wildcard-Syntax - Sie würden also purple.ai anstelle von star-dot-purple.ai eingeben. Überprüfen Sie die Dokumentation Ihres Anbieters für das genaue Format, das erforderlich ist.
Unleashed skaliert auf rund 50 Access Points und eignet sich daher für mittelgroße Hotels, Filialen und KMU-Bereitstellungen. Für alles Größere - Hotelgruppen mit mehreren Immobilien, Stadien, große Einzelhandelsflächen - ist SmartZone die richtige Plattform.
-
Lassen Sie mich die zwei häufigsten Fehlermodi beschreiben, die ich in der Praxis sehe.
Der erste ist eine Fehlkonfiguration des Walled Garden. Wenn Ihre Portal-Seite nach der Weiterleitung nicht geladen werden kann, sollten Sie als Erstes prüfen, ob alle Domains, auf die Ihre Portal-Seite verweist, im Walled Garden eingetragen sind. Moderne Portal-Seiten laden Assets von mehreren CDN-Domains, Analyse-Skripten und Social-Login-SDKs. Wenn eine dieser Ressourcen vor der Authentifizierung blockiert wird, wird die Seite entweder nicht geladen oder fehlerhaft dargestellt. Nutzen Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, um festzustellen, welche Anfragen blockiert werden.
Der zweite ist das NBI-Verbindungsproblem. Wenn Gäste das Portal sehen und sich authentifizieren können, aber keinen Internetzugang erhalten, liegt die Ursache wahrscheinlich darin, dass SmartZone den NBI-Callback von Ihrer Portal-Plattform nicht empfangen kann. Prüfen Sie, ob die Ports 9080 und 9443 für eingehende Verbindungen auf die Management-IP von SmartZone aus dem IP-Bereich Ihres Portal-Anbieters geöffnet sind. Überprüfen Sie außerdem, ob die von Ihnen konfigurierten NBI-Anmeldedaten mit den beim Portal-Anbieter hinterlegten Daten übereinstimmen.
Ein dritter Punkt, der erwähnenswert ist - Apple CNA, der Captive Network Assistant. Wenn sich ein Gerät unter iOS mit einem Netzwerk verbindet, sendet es eine Anfrage an captive.apple.com. Wenn diese Anfrage eine andere Antwort als 200 erhält, öffnet iOS den Mini-Browser. Wenn sich captive.apple.com in Ihrem Walled Garden befindet, ist die Anfrage erfolgreich, iOS geht von einer Internetverbindung aus und der CNA wird nicht angezeigt. Das klingt zunächst gut, bedeutet aber, dass Ihre Gäste das Portal nicht automatisch sehen. Sie müssen entscheiden: Soll der CNA angezeigt werden oder sollen die Gäste manuell einen Browser öffnen? Die meisten Implementierungen im Gastgewerbe halten captive.apple.com aus dem Walled Garden heraus, um den CNA auszulösen.
-
Kurz und bündig. Drei Fragen, die mir ständig gestellt werden.
Benötige ich ein VLAN für mein Gäste-WLAN? Ja. Isolieren Sie den Datenverkehr von Gästen immer in einem dedizierten VLAN. Dies ist sowohl eine Sicherheitsanforderung als auch eine Überlegung zur PCI-DSS-Compliance, wenn Ihr Standort Kartenzahlungen über dasselbe Netzwerk abwickelt.
Kann ich Purple mit Ruckus Cloud anstelle von SmartZone verwenden? Ja, aber der Konfigurationspfad ist anders - er befindet sich unter WiFi Networks, Guest Access settings. Die Prinzipien für Walled Garden und RADIUS-Konfiguration sind dieselben.
Unterstützt Purple SmartZone Multi-Zone-Bereitstellungen? Ja. Die Integration von Purple unterstützt Multi-Zone-SmartZone-Umgebungen, und Sie können Portal-Konfigurationen auf einzelne Zonen für verschiedene Standorte oder Etagen eingrenzen.
---
Zusammenfassend lässt sich sagen: Die Ruckus SmartZone Captive Portal-Integration mit Purple ist ein ausgereiftes, gut dokumentiertes Bereitstellungsmodell, das eine zuverlässige Gäste-Authentifizierung in großem Maßstab bietet. Die wichtigsten Konfigurationspunkte sind: RADIUS auf den Ports 1812 und 1813 mit einem Backup-Server, das Hotspot-WISPr-Profil mit einer externen Login-URL, ein korrekt definierter Walled Garden unter Verwendung von Wildcard-Einträgen, der CLI-Befehl „no encrypt-mac-ip“ und die aktivierte Northbound Interface mit den korrekten Anmeldedaten. Wenn Sie diese fünf Punkte richtig umsetzen, haben Sie ein solides Fundament.
Für Unleashed-Bereitstellungen gelten dieselben Prinzipien mit einem einfacheren Konfigurationsmodell und ohne NBI-Anforderung.
Wenn Sie Purple auf Ruckus bereitstellen und Ihre Konfiguration vor dem Go-Live validieren möchten, kann Sie das technische Onboarding-Team von Purple durch eine Pre-Launch-Checkliste führen. Die Purple-Plattform bietet außerdem Echtzeit-Analysen zu Portal-Ladezeiten, Authentifizierungserfolgsraten und Sitzungsdaten - so erhalten Sie die nötige Transparenz, um Probleme zu erkennen, bevor Ihre Gäste es tun.
Vielen Dank fürs Zuhören. In der nächsten Folge behandeln wir die 802.1X-Authentifizierung mit Cloud RADIUS - eine weitere Integration, die sich hervorragend mit Ruckus SmartZone für den Gastzugang in Unternehmen kombinieren lässt. Bis dahin.
