Integration von DrayTek Vigor Routern und Access Points mit Purple WiFi

Diese Anleitung bietet schrittweise technische Anweisungen für die Integration von DrayTek Vigor Routern und VigorAP Access Points mit der Cloud-Plattform von Purple. Sie deckt die Konfiguration des DrayTek Captive Portals für Guest WiFi, die 802.1X-Authentifizierung für sicheres Staff WiFi, die Einrichtung des Walled Gardens sowie die DrayTek Multiple PSK (PPSK)-Konfiguration für die Multi-Tenant-Netzwerksegmentierung mit dynamischer VLAN-Zuweisung ab. Entwickelt für IT-Installateure und Netzwerkadministratoren in KMUs, die Purple in der Hotellerie, im Einzelhandel und an Multi-Tenant-Standorten bereitstellen.

📖 10 Min. Lesezeit📝 2,500 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Integration Briefing. Heute befassen wir uns mit DrayTek Vigor Routern und VigorAP Access Points und insbesondere mit deren Integration mit Purple WiFi. Dieses Briefing richtet sich an IT-Manager und Netzwerkarchitekten, die Gäste-, Mitarbeiter- und Multi-Tenant-Netzwerke in KMUs und mittelständischen Standorten bereitstellen.

Beginnen wir mit dem Kontext. DrayTek-Hardware ist im Einzelhandel, in der Hotellerie und in Mehrfamilienhäusern unglaublich beliebt, da sie robuste Routing-, VPN- und Wireless-Funktionen zu einem wettbewerbsfähigen Preis bietet. Wenn Sie einen DrayTek Vigor Router mit Purple kombinieren, verwandeln Sie eine Standard-Internetverbindung in ein identitätsbasiertes Netzwerk. Purple verfügt über mehr als 80.000 aktive Standorte und verarbeitet 440 Millionen Logins pro Jahr. Wir liefern das Captive Portal, die Analysen und die Sicherheitsebene. DrayTek stellt die zuverlässige Edge-Infrastruktur bereit.

Gehen wir nun in die technische Tiefe. Wie setzen wir das konkret um? Der Kern der Integration basiert auf der RADIUS-Authentifizierung und der externen Captive Portal-Weiterleitung.

Zuerst die Einrichtung des Guest WiFi. Sie konfigurieren den DrayTek Vigor Router als Hotspot Web Portal Gateway. In der DrayOS-Benutzeroberfläche fügen Sie unter „Applications“ und „RADIUS“ die RADIUS-Server-IP von Purple und das Shared Secret hinzu. Anschließend stellen Sie unter „Hotspot Web Portal“ die Portal-Methode auf „External Server“ ein und fügen Ihre spezifische Purple-Zugriffs-URL ein. Der DrayTek Router fängt den Gast-Datenverkehr ab, leitet ihn zur Authentifizierung an das Cloud-Overlay von Purple weiter und gewährt dann über RADIUS den Zugriff.

Ein entscheidender Schritt dabei ist der Walled Garden. Gäste müssen die Server von Purple erreichen können, bevor sie authentifiziert sind. Sie müssen den Reiter „Destination Domain“ im DrayTek Hotspot-Profil so konfigurieren, dass der Datenverkehr zu den Authentifizierungsdomains von Purple zugelassen wird. Wenn Sie dies vergessen, wird die Splash-Page schlichtweg nicht geladen. Dies ist einer der häufigsten Fehler bei der Ersteinrichtung.

Und wie sieht es mit dem Staff WiFi aus? Für den sicheren Zugriff von Mitarbeitern verwenden Sie kein Captive Portal. Sie nutzen die 802.1X-Authentifizierung, den IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. In den DrayTek Wireless LAN Security-Einstellungen wählen Sie WPA2/802.1X aus und verweisen auf den RADIUS-Server von Purple. Die Geräte der Mitarbeiter authentifizieren sich nahtlos über PEAP und MS-CHAPv2. Dies eliminiert gemeinsam genutzte Passwörter vollständig und ermöglicht es Ihnen, den Zugriff sofort zu entziehen, wenn ein Mitarbeiter das Unternehmen verlässt. Es ist nicht erforderlich, das Passwort für den gesamten Standort zu ändern.

Sprechen wir über Multi-Tenant-Umgebungen. Denken Sie an Studentenwohnheime, Coworking-Spaces oder Konzessionsflächen im Einzelhandel. Hier ist eine Netzwerksegmentierung erforderlich. DrayTek löst dies mit VLANs und Multiple PSK, auch bekannt als PPSK oder Private Pre-Shared Key. Sie konfigurieren VLANs auf dem DrayTek Router. Zum Beispiel VLAN 10 für Gäste, VLAN 20 für Mitarbeiter und VLAN 30 für Mieter. Mit der WPA2-PPSK-Funktion von DrayTek auf den VigorAPs erhält jeder Mieter eine eindeutige Passphrase. Wenn sie sich verbinden, bindet der Access Point diese Passphrase an ihre MAC-Adresse und leitet sie in ihr isoliertes VLAN weiter. Das bedeutet, dass ein Café-Mieter im Erdgeschoss eines Hotels das interne Netzwerk des Hotels nicht sehen kann, obwohl sie denselben physischen Access Point nutzen.

Die dynamische VLAN-Zuweisung geht noch einen Schritt weiter. Der RADIUS-Server von Purple kann bei der Authentifizierung eines Benutzers bestimmte RADIUS-Attribute zurückgeben. Dies sind die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID. Der DrayTek Router liest diese Werte aus und weist den authentifizierten Client dynamisch dem korrekten VLAN zu. Das ist identitätsbasiertes Networking in der Praxis: Das Netzwerk passt sich der Identität des Benutzers an, nicht umgekehrt.

Kommen wir nun zu den Empfehlungen für die Implementierung und den Fallstricken.

Empfehlung eins: Verwenden Sie für Ihre VigorAPs immer einen kabelgebundenen Backhaul. Wireless Distribution Systems oder Universal Repeater können die für eine ordnungsgemäße Netzwerksegmentierung erforderlichen 802.1Q-VLAN-Tags nicht übertragen. Wenn Sie ein vom internen LAN isoliertes Gastnetzwerk wünschen, müssen diese VLAN-Tags intakt bleiben. Das bedeutet ein physisches Ethernet-Kabel von jedem Access Point zurück zum DrayTek Router oder einem Managed Switch.

Empfehlung zwe: Aktivieren Sie AP-Assisted Mobility auf den VigorAPs. Diese Funktion trennt intelligent Clients mit schwacher Signalstärke und zwingt sie zum Roaming zu einem näheren Access Point. Sie löst das Problem des „Sticky Client“, das viele KMU-Bereitstellungen betrifft. In einer Einzelhandelsumgebung sollte ein Käufer, der von der Vorderseite des Ladens nach hinten geht, nahtlos zwischen den Access Points wechseln. Ohne AP-Assisted Mobility klammert sich das Gerät möglicherweise an den vorderen Access Point, selbst wenn das Signal schwach ist.

Empfehlung drei: Planen Sie Ihr VLAN-Nummerierungsschema, bevor Sie beginnen. Eine Änderung der VLAN-IDs nach der Bereitstellung erfordert eine Neukonfiguration des Routers, aller Access Points und potenziell aller Managed Switches im Pfad. Dokumentieren Sie Ihr Schema klar und deutlich.

Der größte Fallstrick? Das Vergessen des Neustarts des DrayTek Routers nach dem Übernehmen der RADIUS- und Hotspot-Konfigurationen. DrayOS erfordert einen Neustart, um diese spezifischen Änderungen anzuwenden. Wenn Sie dies überspringen, verbringen Sie Stunden mit der Fehlersuche bei einer Konfiguration, die eigentlich korrekt, aber einfach noch nicht aktiv ist. Dies ist im offiziellen Support-Leitfaden von Purple für DrayTek-Hardware dokumentiert.

Machen wir eine schnelle Fragerunde.

Frage: Kann ich den internen RADIUS-Server des Vigor Routers verwenden?
Antwort: Für die lokale 802.1X-Authentifizierung ist das möglich, aber für die Purple-Integration müssen Sie die externen RADIUS-Server von Purple verwenden. Nur so werden das zentrale Richtlinienmanagement und die Analysen ermöglicht, die Purple bietet.

Frage: Unterstützt DrayTek dynamisches VLAN-Steering über RADIUS?
Antwort: Ja. Der RADIUS-Server von Purple gibt bei der Authentifizierung die Attribute Tunnel-Type und Tunnel-Private-Group-ID zurück. Der DrayTek Router liest diese aus und weist den Client dynamisch dem korrekten VLAN zu.

Frage: Was passiert, wenn das iOS-Gerät eines Benutzers eine private MAC-Adresse mit PPSK verwendet?
Antwort: Die Authentifizierung schlägt fehl. Das PPSK-Profil ist an eine bestimmte MAC-Adresse gebunden. Sie müssen die Benutzer anweisen, die private WLAN-Adresse für Ihr spezifisches Netzwerk in ihren iOS-Einstellungen zu deaktivieren, um eine stabile Verbindung zu gewährleisten.

Frage: Welche DrayTek-Modelle werden mit Purple unterstützt?
Antwort: Zu den derzeit unterstützten Modellen gehören die Serien 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 und 3910. Die aktuelle Liste finden Sie in der Support-Dokumentation von Purple.

Zusammenfassend lässt sich sagen: DrayTek und Purple bieten Ihnen gemeinsam eine Netzwerkkontrolle auf Enterprise-Niveau zu KMU-Preisen. Sie nutzen das Hotspot Web Portal für Gäste, 802.1X für Mitarbeiter und PPSK mit VLANs für Mieter. Planen Sie Ihre VLANs sorgfältig, konfigurieren Sie Ihre Walled Gardens und starten Sie das Gerät nach dem Übernehmen der RADIUS-Einstellungen immer neu. Verwenden Sie einen kabelgebundenen Backhaul für Ihre Access Points, aktivieren Sie AP-Assisted Mobility und planen Sie die MAC-Randomisierung auf iOS-Geräten ein.

Vielen Dank für das Zuhören bei diesem technischen Briefing. Konfigurieren Sie Ihre Hardware, und wir sehen uns auf der Purple-Plattform.

Wichtigste Erkenntnisse

✓DrayTek Vigor Router nutzen die Funktion „Hotspot Web Portal“ im Modus „External Server“, um den Gast-Datenverkehr für eine GDPR-konforme Datenerfassung auf die in der Cloud gehostete Splash-Page von Purple umzuleiten.
✓Der Walled Garden (Reiter „Dest Domain“) muss vor der Bereitstellung alle Purple-Authentifizierungsdomains auflisten – fehlende Einträge sind die häufigste Ursache für Fehler beim Laden der Splash-Page.
✓Staff WiFi sollte die WPA2/802.1X Enterprise-Sicherheit nutzen und sich am RADIUS-Server von Purple authentifizieren, um gemeinsam genutzte Passwörter zu eliminieren und den sofortigen Entzug des Zugriffs pro Benutzer zu ermöglichen.
✓Multi-Tenant-Umgebungen nutzen DrayTek WPA2-PPSK auf VigorAPs, um eindeutige Passphrasen pro Mieter zuzuweisen und den Datenverkehr dynamisch in isolierten VLANs auf dem Vigor Router zu taggen.
✓Alle VigorAPs müssen über kabelgebundenes Ethernet mit dem Router verbunden werden – drahtlose Repeater-Modi entfernen 802.1Q-VLAN-Tags und unterbrechen die Netzwerksegmentierung.
✓DrayOS erfordert einen Router-Neustart, um Änderungen an RADIUS- oder Hotspot Web Portal-Konfigurationen zu übernehmen – dies ist ein zwingend erforderlicher Schritt, keine Option.
✓Aktivieren Sie AP-Assisted Mobility auf VigorAPs, um das Verhalten von Sticky Clients zu verhindern und stabile Captive Portal-Sitzungen zu gewährleisten, wenn sich Benutzer durch den Standort bewegen.

執行摘要

DrayTek Vigor 路由器與 VigorAP 基地台已廣泛部署於英國與歐洲成千上萬的中小型企業、零售及餐旅場所。當與 Purple 的雲端重疊網路整合時，這些硬體將成為「基於身分的網路」之基石 — 從單一平台即可收集第一方數據、保護內部資源並區隔多租戶流量。

本指南涵蓋四種部署情境：採用品牌專屬引導頁面與 RADIUS 驗證的 Guest WiFi 、使用 IEEE 802.1X 企業級安全驗證的員工 WiFi、允許驗證前流量的 Walled Garden 配置，以及利用 DrayTek 的 WPA2-PPSK 功能搭配動態 VLAN 分配的多租戶 WiFi。Purple 已在超過 80,000 個實際營運場地運行，且達到 99.999% 的可用性，並獲得 ISO 27001、GDPR 及 Cyber Essentials 認證 — 因此您場地面臨的安全與合規要求均已融入平台之中。

支援的 DrayTek 型號包括 Vigor 2862、2865、2866、2926、2927、2952、2962、3220 與 3910 系列。所有透過中央基地台管理 (APM) 進行管理的 VigorAP 基地台皆與此整合相容。

技術深入剖析

整合運作原理

DrayTek 與 Purple 的整合依賴兩種機制協同運作：外部 Captive Portal 重新導向與 RADIUS（遠端驗證撥入使用者服務）驗證。Purple 扮演集中化的身分提供者和原則引擎。DrayTek Vigor 路由器則作為網路存取伺服器 (NAS)，執行 Purple RADIUS 伺服器傳回的存取決策。

當訪客連線到 WiFi SSID 時，DrayTek 路由器會將裝置置於驗證前的狀態。它會攔截該裝置的 HTTP 流量，並透過 DrayOS 中的 Hotspot Web Portal 功能將其重新導向至 Purple 的雲端託管 splash page。使用者在 Purple 的平台上完成登入流程 — 可使用社群登入、電子郵件、簡訊，或受管理的授權提供者（如 Microsoft Entra ID、Okta 或 Google Workspace）。Purple 的 RADIUS 伺服器隨後會向 DrayTek 路由器回傳 Access-Accept 訊息，進而授予網際網路存取權限並在連接埠 1813 上啟動 RADIUS 計費。

Guest WiFi 與 DrayTek Captive Portal

DrayTek Hotspot Web Portal 是訪客驗證的核心機制。在 DrayOS 中，您可以設定 Hotspot Profile，其中定義了 portal 方法、驗證伺服器、工作階段限制和登陸頁面。將 Portal Method 設定為 External Server 會指示 DrayOS 將未驗證的用戶端重新導向至外部 URL — 在此處即為您的 Purple 存取 URL — 而非提供本機託管的頁面。 Hotspot Profile 中的 RADIUS 設定指向 Purple 的 RADIUS 伺服器 IP（連接埠 1812 用於驗證，連接埠 1813 用於計費）。共用金鑰必須與您的 Purple 場域儀表板中顯示的完全一致。此處不匹配是導致驗證失敗最常見的原因。

工作階段管理由 Expired Time After Activation 設定控制。對於大多數餐旅和零售部署，六個小時是實用的預設值。您可以將此設定與您的 Purple 工作階段逾時時間保持一致，以確保兩個系統之間的行為一致。

Walled Garden 設定

在訪客進行驗證之前，其裝置無法存取網際網路。然而，裝置必須能夠連線至 Purple 的伺服器以載入歡迎頁面（splash page）。Walled Garden（透過 DrayTek Hotspot Profile 中的 Dest Domain 索引標籤進行設定）定義了驗證前可存取的網域。

您必須將 Purple 的驗證網域新增至此清單中，每個索引一個。如果您使用的是社群登入提供商（例如 Google 或 Facebook）或受管理的識別資訊提供商（如 Microsoft Entra ID），則也必須包含其網域。未能正確設定 Walled Garden 是 DrayTek Captive Portal 無法顯示歡迎頁面最常見的單一原因。Purple 的支援文件提供了每種登入方式目前所需的網域清單。

使用 802.1X 安全保護員工 WiFi

對於內部員工而言，Captive Portal 並非合適的工具。共用的 WPA2 密碼存在安全性隱患：當員工離職時，您必須更新每台裝置上的密碼。IEEE 802.1X 企業級驗證完全解決了這個問題。

在 DrayOS 中，導覽至 Wireless LAN > Security，並為您的員工 SSID 選取 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠和共用金鑰。員工裝置會使用 PEAP（受保護的擴充驗證協定）並以 MS-CHAPv2 作為內部方法進行驗證。這是 Windows、macOS、iOS 和 Android 裝置連線至企業無線網路所需的設定。

Purple 會在識別資訊層級撤銷存取權限。當員工離職時，您只需在您的識別資訊提供商（Microsoft Entra ID、Okta 或 Google Workspace）中停用其帳戶即可。Purple 的 RADIUS 伺服器會立即停止接受該帳戶的驗證請求。無需在整個場域中變更密碼。

如欲了解更多關於企業無線網路安全性架構的資訊，請參閱我們的企業級 WiFi 安全性：2026 年完整指南。

使用 DrayTek 多重 PSK 進行多租戶網路分割

多租戶環境（例如設有外包餐廳或零售空間的飯店、共同工作空間、學生宿舍以及建屋出租專案）需要租戶之間實施嚴格的網路隔離。專櫃中的顧客絕不能存取飯店的內部網路，且兩個零售租戶之間必須無法看到彼此的流量。

DrayTek 透過兩項互補的功能來解決此問題：VLAN 標記和 WPA2-PPSK (Private Pre-Shared Key)。

Vigor 路由器上的 VLAN 設定會將每個租戶分配到獨立的邏輯網路。前往 LAN > VLAN，啟用 VLAN 設定，並為每個租戶區段分配一個唯一的 VLAN ID。所有連接到 VigorAP 的 LAN 連接埠必須是所有相關 VLAN 的成員，實際上是以 802.1Q 幹線 (trunk) 連接埠運作。LAN > General Setup 中的 Inter-LAN Routing Table 可控制流量是否可以跨 VLAN 傳輸——為了實現租戶隔離，必須停用此功能。

VigorAP 上的 WPA2-PPSK 會為每個租戶分配一個唯一的密碼。無線基地台會將此密碼與裝置的 MAC 位址綁定。當裝置連接時，AP 會識別所使用的密碼，並用對應的 VLAN ID 標記流量。這使得單一 SSID 能夠同時為多個隔離的租戶網路提供服務，從而減少無線開銷並簡化終端使用者體驗。

透過 RADIUS 進行動態 VLAN 分配

對於需要根據使用者身分而非靜態密碼來驅動 VLAN 分配的部署，Purple 的 RADIUS 伺服器支援動態 VLAN 引導。當使用者進行驗證時，Purple 會在 Access-Accept 訊息中傳回三個 RADIUS 屬性：

RADIUS 屬性	值
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	VLAN ID (例如 "20")

DrayTek 路由器會讀取這些屬性，並將已驗證的用戶端分配到指定的 VLAN，無論他們連接到哪一個 SSID。這就是「基於身分的網路 (Identity-Based Networking)」：網路區段是由使用者的身分決定，而不是由他們輸入的密碼決定。

實作指南

部署前檢查清單

在開始之前，請確認以下事項：

項目	需求
DrayTek 韌體	最新穩定的 DrayOS 版本
Purple 場域	已在 Purple 控制面板中建立並啟用
RADIUS 憑證	從 Purple 取得的存取 URL、RADIUS 伺服器 IP、共用金鑰、NAS 識別碼
VLAN 計劃	已記錄 Guest、Staff 和每個租戶的 VLAN ID
VigorAP 回傳網路	已確認所有無線基地台皆使用實線乙太網路

步驟 1：在 DrayTek 路由器上設定 RADIUS

導覽至 DrayOS 網頁介面中的 Applications > RADIUS/TACACS+。在 External RADIUS 索引標籤上，啟用設定檔並輸入 Purple 的 RADIUS 伺服器 IP 位址、連接埠 (1812) 和共用金鑰。按一下 OK 儲存。路由器需要重新啟動才能套用此變更——請勿跳過此步驟。

步驟 2：建立 Captive Portal 設定檔

導覽至 Hotspot Web Portal > Profile Setup 並選擇一個可用的索引。依下列方式設定設定檔：

設定	值
啟用此設定檔	是
Portal Method	External Server
Captive Portal URL	您的 Purple 存取 URL
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	Purple RADIUS 伺服器 IP
Destination Port	1812
Shared Secret	您的 Purple 共用金鑰
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

點擊 OK 儲存。

步驟 3：設定 Walled Garden

點擊 Save and Next 進入 Dest Domain 頁籤。新增每個必要的 Purple 網域，每個索引一個。目前的網域列表請參閱支援文件中的 Purple Walled Garden 網域白名單。點擊 Save and Next 繼續。

步驟 4：設定工作階段與到達網頁設定

在最後的設定畫面上，設定：

設定	值
Expired Time After Activation	0 天, 6 小時, 0 分 (或您偏好的時長)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	您的 Purple 重新導向 URL
Applied Interfaces	選擇訪客 WiFi SSID

點擊 Finish 儲存。測試前請重新啟動路由器。

步驟 5：設定 VLAN 進行網路區隔

導覽至 LAN > VLAN 並啟用 VLAN Configuration。為每個網路區隔建立一個 VLAN 項目。將所有連接到 VigorAPs 的 LAN 連接埠指派為所有相關 VLAN 的成員 (trunk 設定)。導覽至 LAN > General Setup，並使用 Inter-LAN Routing Table 在需要時封鎖跨 VLAN 的存取。

步驟 6：為員工 WiFi 設定 802.1X

導覽至 Wireless LAN > Security 並選擇員工 SSID。將安全模式設定為 WPA2/802.1X。點擊 RADIUS Server 連結並輸入 Purple 的伺服器 IP、連接埠 1812 以及共用金鑰。儲存設定。

步驟 7：設定 PPSK 進行多租戶隔離

在每個 VigorAP 上，導覽至 Wireless LAN > Security Settings 並選擇 WPA2PPSK。點擊 PPSK 按鈕以新增項目。為每個租戶建立一個包含該租戶裝置 MAC 位址與唯一密碼的 PPSK 項目。請確保該密碼與您路由器設定中正確的 VLAN 相關聯。請注意，2.4GHz 和 5GHz 的 PPSK 設定檔在 VigorAPs 上是分開管理的。

最佳實踐

以下建議反映了 Purple 在 80,000 多個場所的部署經驗，其中包括餐旅、零售、醫療保健以及交通運輸環境。

所有 VigorAPs 請使用有線回傳。 無線分佈系統 (WDS) 和通用中繼模式無法傳遞 802.1Q VLAN 標籤。如果您需要進行網路區隔 - 在任何多租戶或混合用途的場所中這都是必須的 - 每個無線基地台都必須透過乙太網路連接到路由器或網管型交換器。

啟用 AP 輔助漫遊 (AP-Assisted Mobility)。DrayTek VigorAP 支援預先驗證 (Pre-Authentication) 和 PMK 快取 (PMK Caching)，以在用戶端在存取點之間漫遊時加速 802.1X 重新驗證。啟用 AP 輔助漫遊以主動斷開訊號強度弱的用戶端，強迫其連接至最近的 AP。這在顧客持續移動的零售環境中尤為重要。

在部署前規劃您的 VLAN 方案。部署後變更 VLAN ID 需要重新設定路由器、所有存取點以及路徑中的任何網管型交換器。在接觸硬體之前，請先記錄您的方案（例如：訪客使用 VLAN 10、員工使用 VLAN 20、租戶使用 VLAN 30+）。

同步 DrayTek 與 Purple 之間的工作階段逾時時間。如果 DrayTek 熱點設定檔在 6 小時後結束工作階段，而 Purple 的工作階段設定為 24 小時，使用者將在工作階段中途被重新導向至 Splash Page。請將兩者設為相同的值。

針對 PPSK 部署停用 MAC 隨機化。iOS 和 macOS 裝置預設會使用專用 Wi-Fi 位址（隨機化 MAC）。由於 DrayTek PPSK 會將密碼綁定到特定的 MAC 位址，隨機化將導致驗證失敗。請指示使用者針對您的網路停用此設定，或在您的上線流程中清楚記錄此步驟。

在 VigorAP 上使用頻段導引 (Band Steering)。啟用頻段導引以引導支援雙頻的裝置使用 5GHz 頻段。這可以減少 2.4GHz 頻段的擁塞，並提高所有已連線裝置的吞吐量。

如需深入瞭解企業無線安全架構，請參閱我們的指南 Enterprise WiFi Security: A Complete Guide for 2026 。如果您是在包含不同硬體廠商的多個站點進行部署，我們的 SonicWall TZ and SonicWave Integration with Purple WiFi 指南涵蓋了類似的整合模式。

疑難排解與風險緩釋

Splash Page 無法載入。最常見的原因是 Walled Garden 設定不完整。請驗證 Dest Domain 索引標籤中是否列出了所有必要的 Purple 網域。同時確認訪客 DHCP 整合池已啟用，且預先驗證的用戶端能正常進行 DNS 解析。請透過連接裝置並嘗試瀏覽已知的 HTTP URL 來進行測試。

RADIUS 驗證失敗。請檢查共用密鑰 (Shared Secret) 是否拼寫錯誤（區分大小寫）。確認 DrayTek 路由器已連接至網際網路，且未阻擋連接埠 1812 和 1813 上的輸出 UDP 流量。確認套用 RADIUS 設定後已重新啟動路由器。檢查 Purple 控制面板中的驗證記錄，以確認請求是否已到達 Purple 的伺服器。 客戶端被分配到錯誤的 VLAN。 請驗證 DrayTek 路由器與 VigorAP 之間的中繼埠（trunk port）設定。交換器連接埠必須允許特定的 VLAN 標籤。如果您使用的是無管理功能交換器，請確認它能傳遞 802.1Q 標記框架且未剝離標籤。檢查 PPSK 設定檔以確認密碼與 VLAN 的對應關係是否正確。

黏性用戶端未漫遊。 如果裝置未如預期在 VigorAP 之間漫遊，請驗證是否已啟用 AP 輔助行動功能（AP-Assisted Mobility），且 RSSI 閾值已針對您的場域進行適當設定。同時請確認所有 VigorAP 皆運行相同的韌體版本，因為版本不一致可能會影響漫遊行為。

iOS 裝置 PPSK 驗證失敗。 請確認使用者已在 設定 > WiFi > [網路名稱] > 專用 WiFi 位址 中針對您的特定網路停用了「專用 WiFi 位址」。PPSK 設定檔必須包含裝置的真實硬體 MAC 位址。

投資報酬率（ROI）與商業影響

將 DrayTek 硬體與 Purple 結合部署，可在營運效率、數據擷取和合規性三個方面帶來可衡量的回報。

營運效率。 802.1X 驗證消除了管理共用 WiFi 密碼的開銷。當員工離職時，您只需在 Microsoft Entra ID、Okta 或 Google Workspace 中停用其帳戶，Purple 的 RADIUS 伺服器便會立即停止接受其憑證，無需在整個場域中輪換密碼。對於擁有 50 家分店的零售連鎖店而言，單是這一項每年就能減少數百小時的 IT 額外開銷。

數據擷取與行銷投資報酬率。 每一位透過 Purple Captive Portal 連線的訪客都會提供經驗證的身份資訊——電子郵件地址、電話號碼或社群個人檔案。這些第一方數據會直接匯入 Purple 的 WiFi Analytics 平台，您可以在該平台追蹤停留時間、重複造訪率和行銷活動參與度。Purple 已在其網路中收集了 290 億個數據點。使用 Purple Engage 方案的場域報告指出，透過針對性的造訪後溝通，重複造訪率有了顯著增長。

合規性。 Purple 已通過 ISO 27001 認證、符合 GDPR 與 CCPA 規範，並獲得 Cyber Essentials 認證。Captive Portal 強制執行自願選擇加入（conscious-choice opt-ins），確保數據收集符合 GDPR 要求。VLAN 區段將付款卡環境與訪客流量隔離，以支援 PCI DSS 合規性。對於醫療保健機構，患者與訪客的網路隔離符合 NHS 和 ICO 的數據處理指南。

如欲詳細了解 Purple 如何在場域環境中推動以數據分析為導向的決策，請參閱我們的 WiFi Analytics platform overview 。

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die den HTTP-Verkehr eines Benutzers abfängt und eine Interaktion – wie Login, Zustimmung zu den Nutzungsbedingungen oder Dateneingabe – erfordert, bevor der Netzwerkzugriff gewährt wird.

Der Mechanismus, den Purple verwendet, um First-Party-Gästedaten auf dem DrayTek Hotspot Web Portal zu erfassen. Konfiguriert über die Portal-Methode „External Server“ in DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung (AAA) für den Netzwerkzugriff bereitstellt.

Der DrayTek Router sendet Authentifizierungsanfragen an den RADIUS-Server von Purple auf UDP-Port 1812 und Accounting-Daten auf Port 1813. Das Shared Secret muss auf beiden Seiten übereinstimmen.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Erfordert, dass sich Geräte an einem RADIUS-Server authentifizieren, bevor ihnen Netzwerkzugriff gewährt wird.

Wird für Staff WiFi auf DrayTek-Hardware verwendet. Eliminiert gemeinsam genutzte Passwörter und ermöglicht den Entzug des Zugriffs pro Benutzer über den Identitätsanbieter.

VLAN

Virtual Local Area Network. Ein logisches Netzwerksegment, das den Datenverkehr auf Layer 2 isoliert, selbst wenn Geräte dieselbe physische Infrastruktur nutzen.

Wird auf DrayTek Vigor Routern verwendet, um den Datenverkehr von Gästen, Mitarbeitern und Mietern zu trennen. Erfordert 802.1Q-Trunk-Ports zwischen dem Router und den VigorAPs.

Walled Garden

Eine Reihe von Domains oder IP-Bereichen, auf die nicht authentifizierte Benutzer zugreifen können, bevor sie den Captive Portal-Prozess abgeschlossen haben.

Konfiguriert im Reiter „Dest Domain“ des DrayTek Hotspot-Profils. Muss die Authentifizierungsserver von Purple und alle für die Anmeldung verwendeten Domains von Identitätsanbietern enthalten.

PPSK

Private Pre-Shared Key. Eine Sicherheitsmethode, bei der jedem Benutzer oder Gerät eine eindeutige Passphrase zugewiesen wird, anstatt ein einziges Netzwerkpasswort zu teilen.

Wird auf DrayTek VigorAPs verwendet, um Multi-Tenant-Geräte bestimmten VLANs zuzuweisen. Die Passphrase ist an die MAC-Adresse des Geräts gebunden.

AP-Assisted Mobility

Eine Funktion von DrayTek VigorAP, die die Signalstärke von Clients überwacht und Clients unterhalb eines definierten RSSI-Schwellenwerts aktiv trennt, um sie zum Roaming zu einem näheren Access Point zu bewegen.

Kritisch für Bereitstellungen im Einzelhandel und in der Hotellerie, bei denen sich Benutzer durch den Standort bewegen. Verhindert das Verhalten von Sticky Clients, das zu Abbrüchen von Captive Portal-Sitzungen führt.

PEAP

Protected Extensible Authentication Protocol. Eine 802.1X-EAP-Methode, die den Authentifizierungsaustausch in einem TLS-Tunnel kapselt und so die Anmeldedaten bei der Übertragung schützt.

Die EAP-Methode, die für Staff WiFi auf DrayTek-Hardware verwendet wird. Kombiniert mit MS-CHAPv2 als innere Authentifizierungsmethode für Windows-, macOS-, iOS- und Android-Geräte.

Dynamische VLAN-Zuweisung

Ein Mechanismus, bei dem der RADIUS-Server VLAN-Attribute in der Access-Accept-Nachricht zurückgibt und das Netzwerkgerät den authentifizierten Client automatisch dem angegebenen VLAN zuweist.

Der RADIUS-Server von Purple gibt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID zurück. Der DrayTek Router wendet die VLAN-Zuweisung basierend auf der Benutzeridentität an.

Ausgearbeitete Beispiele

Ein Boutique-Hotel mit 150 Zimmern stellt einen DrayTek Vigor 2865 Router mit sechs VigorAP 903 Access Points bereit. Es soll ein gebrandetes Guest WiFi mit Datenerfassung, ein sicheres Staff WiFi für 40 Mitarbeiter und ein isoliertes Netzwerk für ein gepachtetes Restaurant im Erdgeschoss bereitgestellt werden. Der IT-Manager des Hotels hat noch nie zuvor 802.1X konfiguriert.

Der IT-Manager erstellt drei VLANs auf dem Vigor 2865: VLAN 10 für Gäste (192.168.10.0/24), VLAN 20 für Mitarbeiter (192.168.20.0/24) und VLAN 30 für das Restaurant (192.168.30.0/24). Das Inter-LAN-Routing ist zwischen allen drei Segmenten deaktiviert. Alle sechs VigorAP 903-Einheiten sind über Ethernet verbunden und werden über das Central AP Management auf dem Router verwaltet. Es werden drei SSIDs ausgestrahlt: „Hotel Guest“ (VLAN 10, Hotspot Web Portal verweist auf Purple), „Hotel Staff“ (VLAN 20, WPA2/802.1X verweist auf Purple RADIUS) und „Restaurant“ (VLAN 30, WPA2-PPSK mit einer für die POS-Geräte des Restaurants spezifischen Passphrase). Der PPSK-Eintrag des Restaurants bindet die POS-MAC-Adressen an VLAN 30. Der IT-Manager registriert den Microsoft Entra ID-Mandanten des Hotels bei Purple, sodass sich die Mitarbeiter mit ihren bestehenden Unternehmensanmeldedaten authentifizieren können. Der Walled Garden wird mit allen erforderlichen Purple-Domains konfiguriert. Nach dem Neustart des Routers testet der IT-Manager jede SSID und bestätigt die korrekte VLAN-Zuweisung über die DHCP-Lease-Tabelle des Routers.

Kommentar des Prüfers: Diese Konfiguration trennt drei verschiedene Benutzergruppen korrekt und verwendet für jede die am besten geeignete Authentifizierungsmethode. Gäste nutzen ein Captive Portal zur Datenerfassung und für den GDPR-konformen Opt-in. Mitarbeiter nutzen 802.1X für den anmeldedatenbasierten Zugriff, der an ihren bestehenden Identitätsanbieter gekoppelt ist, wodurch ein separates Passwort überflüssig wird. Das Restaurant nutzt PPSK, um POS-Geräte zu isolieren, ohne dass eine 802.1X-Client-Konfiguration auf Headless-Hardware erforderlich ist. Der kabelgebundene Backhaul stellt sicher, dass VLAN-Tags durchgehend erhalten bleiben.

Eine Einzelhandelskette mit 80 Filialen verzeichnet schlechte Abschlussraten beim Captive Portal. Analysen zeigen, dass 40 % der Käufer, die sich mit der Guest WiFi SSID verbinden, die Splash-Page nie erreichen. Die Kette verwendet DrayTek Vigor 2865 Router und VigorAP 912C Access Points. Die Filiallayouts sind groß, mit Access Points an beiden Enden der Verkaufsfläche.

Der Netzwerkadministrator untersucht zwei Hauptursachen. Erstens prüfen sie die Walled Garden-Konfiguration an allen 80 Standorten mithilfe von VigorACS 3, der zentralen Management-Plattform von DrayTek. Sie stellen fest, dass an 23 Standorten zwei der erforderlichen Purple-Authentifizierungsdomains fehlen, was bei Käufern in diesen Netzwerken zu einem Timeout der Splash-Page führt. Sie aktualisieren die Hotspot-Profile zentral über VigorACS 3. Zweitens aktivieren sie AP-Assisted Mobility auf allen VigorAPs mit einem RSSI-Schwellenwert von -75 dBm. Dies zwingt die Geräte der Käufer, zum nächstgelegenen AP zu wechseln (Roaming), wenn sie sich durch die Filiale bewegen, und verhindert das Problem des „Sticky Client“, das dazu führte, dass Captive Portal-Sitzungen während der Authentifizierung abgebrochen wurden. Nach beiden Änderungen steigt die Abschlussrate des Portals im gesamten Bestand von 60 % auf 89 %.

Kommentar des Prüfers: Dieses Beispiel veranschaulicht zwei verschiedene Fehlermodi, die sich beide in niedrigen Portal-Abschlussraten äußern. Eine Fehlkonfiguration des Walled Gardens verhindert das Laden der Splash-Page vollständig. Das Verhalten von Sticky Clients führt zu Sitzungsabbrüchen mitten im Prozess. Das zentrale Management über VigorACS 3 ist der richtige Ansatz für einen Standortverbund – die manuelle Überprüfung von 80 einzelnen Routern wäre unpraktisch. AP-Assisted Mobility ist der DrayTek-spezifische Mechanismus, der das Roaming-Problem löst; sich auf clientseitige Roaming-Entscheidungen zu verlassen, ist in Einzelhandelsumgebungen unzuverlässig.

Übungsfragen

Q1. Sie haben das DrayTek Hotspot Web Portal konfiguriert und auf die Purple-Zugriffs-URL verwiesen. Die RADIUS-Einstellungen sind korrekt. Wenn sich Clients jedoch mit der Guest WiFi SSID verbinden, melden ihre Browser ein Verbindungs-Timeout und die Splash-Page wird nie geladen. Was ist die wahrscheinlichste Ursache und was ist der erste Schritt zur Diagnose?

Hinweis: Clients im Zustand vor der Authentifizierung haben einen stark eingeschränkten Netzwerkzugriff. Überlegen Sie, welchen Datenverkehr der Router zulässt, bevor die Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine unvollständige oder fehlende Walled Garden-Konfiguration. Der DrayTek Router blockiert den gesamten Datenverkehr von nicht authentifizierten Clients, außer zu Domains, die explizit im Reiter „Dest Domain“ aufgeführt sind. Wenn die Authentifizierungsdomains von Purple nicht aufgeführt sind, kann der Browser des Clients den Splash-Page-Server nicht erreichen. Der erste Diagnoseschritt besteht darin, zum Hotspot-Profil zu navigieren, zum Reiter „Dest Domain“ zu wechseln und zu überprüfen, ob alle erforderlichen Purple-Domains vorhanden sind. Gleichen Sie dies mit der Walled Garden Domain Whitelist von Purple in der Support-Dokumentation ab. Eine zweite Überprüfung besteht darin, sicherzustellen, dass die DNS-Auflösung für vorauthentifizierte Clients korrekt funktioniert.

Q2. Ein Coworking-Standort verfügt über 12 Mitgliedsunternehmen, die sich einen einzigen DrayTek Vigor 2865 und vier VigorAP 912C Access Points teilen. Jedes Unternehmen muss von den anderen isoliert sein, aber der Standortleiter möchte nur eine einzige SSID ausstrahlen, um die WiFi-Liste auf den Geräten der Mitglieder nicht zu überladen. Wie entwerfen Sie diese Architektur?

Hinweis: Überlegen Sie, wie DrayTek eindeutige Passphrasen auf einer einzigen SSID handhabt und welche zusätzliche Konfiguration erforderlich ist, um die Isolierung zwischen Unternehmen zu erzwingen.

Musterlösung anzeigen

Konfigurieren Sie WPA2-PPSK auf den VigorAPs mit einer einzigen SSID. Erstellen Sie 12 VLANs auf dem Vigor 2865, eines pro Unternehmen. Erstellen für jedes Unternehmen einen PPSK-Eintrag, der eine eindeutige Passphrase an die MAC-Adressen der Geräte dieses Unternehmens bindet und sie dem dedizierten VLAN zuweist. Deaktivieren Sie das Inter-VLAN-Routing in der Inter-LAN-Routing-Tabelle, um firmenübergreifenden Datenverkehr zu verhindern. Die Geräte jedes Unternehmens verbinden sich mit derselben SSID unter Verwendung ihrer eindeutigen Passphrase, und der VigorAP ordnet sie automatisch ihrem isolierten VLAN zu. Für Unternehmen mit mehreren Geräten benötigt jedes Gerät einen eigenen PPSK-Eintrag mit seiner spezifischen MAC-Adresse und der gemeinsam genutzten Unternehmens-Passphrase.

Q3. Nach einem routinemäßigen Firmware-Update auf einem DrayTek Vigor 2865 berichten Mitarbeiter, dass sich ihre Laptops nicht mehr mit der Staff WiFi SSID verbinden können. Die SSID is sichtbar, aber die Authentifizierung schlägt fehl. Das Guest WiFi funktioniert weiterhin normal. Was sind die drei wahrscheinlichsten Ursachen und in welcher Reihenfolge sollten Sie diese untersuchen?

Hinweis: Das Guest WiFi verwendet einen anderen Authentifizierungsmechanismus als das Staff WiFi. Grenzen Sie ein, welche Schicht des 802.1X-Stacks fehlerhaft ist.

Musterlösung anzeigen

Die drei wahrscheinlichsten Ursachen sind: (1) Das Firmware-Update hat die RADIUS-Serverkonfiguration für die WPA2/802.1X-SSID zurückgesetzt – navigieren Sie zu Wireless LAN > Security, bestätigen Sie, dass die RADIUS-Server-IP und das Shared Secret noch korrekt sind, und starten Sie das Gerät neu, falls Sie Änderungen vornehmen. (2) Das Firmware-Update hat die EAP-Methode oder die RADIUS-Port-Einstellungen geändert – überprüfen Sie, ob Port 1812 noch konfiguriert ist und ob der Router den RADIUS-Server von Purple auf diesem Port erreichen kann. (3) Das Firmware-Update hat eine Zertifikatsänderung eingeführt, die dazu führt, dass die EAP-TLS-Validierung auf Client-Geräten fehlschlägt – überprüfen Sie das Purple-Dashboard auf Authentifizierungsprotokolleinträge, um zu sehen, ob Anfragen den Server erreichen. Untersuchen Sie in dieser Reihenfolge: Zuerst die RADIUS-Konfiguration (am häufigsten nach einem Firmware-Update), dann die Netzwerkverbindung zum RADIUS-Server und schließlich Probleme mit Zertifikaten oder EAP-Methoden.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.