DrayTek Vigor und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen beim Purple Integration Briefing. Heute befassen wir sich mit DrayTek Vigor Routern und VigorAP Access Points und insbesondere mit der Integration mit Purple WiFi. Dieses Briefing richtet sich an IT-Manager und Netzwerkarchitekten, die Gast-, Mitarbeiter- und mandantenfähige Netzwerke an SMB- und Mid-Market-Standorten bereitstellen. Beginnen wir mit dem Kontext. DrayTek-Hardware ist im Einzelhandel, im Gastgewerbe und in Mehrfamilienhäusern unglaublich beliebt, da sie robuste Routing-, VPN- und Wireless-Funktionen zu einem wettbewerbsfähigen Preis bietet. Wenn Sie einen DrayTek Vigor Router mit Purple kombinieren, verwandeln Sie eine Standard-Internetverbindung in ein Identity-Based Network. Purple verfügt über mehr als 80.000 aktive Standorte und verarbeitet 440 Millionen Logins pro Jahr. Wir liefern das Captive Portal, die Analysen und die Sicherheitsstufe. DrayTek stellt die zuverlässige Edge-Infrastruktur bereit. Gehen wir nun in die technische Tiefe. Wie funktioniert das eigentlich in der Praxis? Der Kern der Integration basiert auf der RADIUS-Authentifizierung und der Weiterleitung an ein externes Captive Portal. Zuerst die Einrichtung für das Gast-WiFi. Sie konfigurieren den DrayTek Vigor Router als Hotspot Web Portal Gateway. In der DrayOS-Benutzeroberfläche fügen Sie unter Applications und RADIUS die IP-Adresse des RADIUS-Servers von Purple und das Shared Secret hinzu. Anschließend stellen Sie unter Hotspot Web Portal die Portal Method auf External Server ein und fügen Ihre spezifische Purple-Zugriffs-URL ein. Der DrayTek Router fängt den Gast-Traffic ab, leitet ihn zur Authentifizierung an das Cloud-Overlay von Purple weiter und verwendet dann RADIUS, um den Zugriff zu gewähren. Ein entscheidender Schritt dabei ist der Walled Garden. Gäste müssen die Server von Purple erreichen, bevor sie authentifiziert sind. Sie müssen die Registerkarte Destination Domain im DrayTek Hotspot-Profil so konfigurieren, dass der Datenverkehr zu den Authentifizierungsdomänen von Purple zugelassen wird. Wenn Sie dies vergessen, wird die Splash Page schlichtweg nicht geladen. Dies ist einer der häufigsten Fehler bei der Erstbereitstellung. Wie sieht es nun mit dem Mitarbeiter-WiFi aus? Für den sicheren Zugriff der Mitarbeiter verwenden Sie kein Captive Portal. Sie nutzen die 802.1X-Authentifizierung, den IEEE-Standard für portbasierte Netzwerkzugriffskontrolle. In den DrayTek Wireless LAN Security-Einstellungen wählen Sie WPA2 / 802.1X und verweisen auf den Purple RADIUS-Server. Die Geräte der Mitarbeiter authentifizieren sich nahtlos über PEAP und MS-CHAPv2. Dies macht gemeinsam genutzte Passwörter überflüssig und ermöglicht es Ihnen, den Zugriff sofort zu widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt. Es ist nicht mehr nötig, das Passwort für den gesamten Standort zu ändern. Sprechen wir über Multi-Tenant-Umgebungen. Denken Sie an Studentenwohnheime, Coworking Spaces oder Einzelhandelskonzessionen. Hier ist eine Netzwerksegmentierung erforderlich. DrayTek löst dies mit VLANs und Multiple PSK, auch bekannt als PPSK oder Private Pre-Shared Key. Sie konfigurieren VLANs auf dem DrayTek-Router. Zum Beispiel VLAN 10 für Gäste, VLAN 20 für Mitarbeiter und VLAN 30 für Mandanten. Mithilfe der WPA2-PPSK-Funktion von DrayTek auf den VigorAPs erhält jeder Mandant eine eindeutige Passphrase. Wenn sie sich verbinden, bindet der Access Point diese Passphrase an ihre MAC-Adresse und ordnet sie ihrem isolierten VLAN zu. Das bedeutet, dass ein Café-Pächter im Erdgeschoss eines Hotels das interne Netzwerk des Hotels nicht sehen kann, obwohl sie denselben physischen Access Point nutzen. Die dynamische VLAN-Zuweisung geht noch einen Schritt weiter. Der RADIUS-Server von Purple kann bei der Authentifizierung eines Benutzers bestimmte RADIUS-Attribute zurückgeben. Dies sind die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID. Der DrayTek-Router liest diese Werte aus und weist den authentifizierten Client dynamisch dem korrekten VLAN zu. Das ist Identity-Based Networking in der Praxis: Das Netzwerk passt sich der Identität des Benutzers an, nicht umgekehrt. Kommen wir nun zu den Implementierungsempfehlungen und Fallstricken. Empfehlung eins: Verwenden Sie für Ihre VigorAPs immer ein kabelgebundenes Backhaul. Drahtlose Verteilungssysteme oder Universal Repeater können die für eine ordnungsgemäße Netzwerksegmentierung erforderlichen 802.1Q VLAN-Tags nicht übertragen. Wenn Sie ein Gästenetzwerk wünschen, das von Ihrem internen LAN isoliert ist, müssen diese VLAN-Tags intakt bleiben. Das erfordert ein physisches Ethernet-Kabel von jedem Access Point zurück zum DrayTek-Router oder einem Managed Switch. Empfehlung zwei: Aktivieren Sie AP-Assisted Mobility auf den VigorAPs. Diese Funktion trennt auf intelligente Weise die Verbindung zu Clients mit schwacher Signalstärke und zwingt sie zum Roaming zu einem näher gelegenen Access Point. Dies löst das Problem des "Sticky Clients", das viele KMU-Bereitstellungen plagt. In einer Einzelhandelsumgebung sollte ein Kunde, der von der Vorderseite des Geschäfts nach hinten geht, nahtlos zwischen den Access Points wechseln. Ohne AP-Assisted Mobility bleibt sein Gerät möglicherweise mit dem vorderen Access Point verbunden, selbst wenn das Signal schwach ist. Empfehlung drei: Planen Sie Ihr VLAN-Nummerierungsschema, bevor Sie beginnen. Das Ändern von VLAN-IDs nach der Bereitstellung erfordert eine Neukonfiguration des Routers, aller Access Points und potenziell aller beteiligten Managed Switches. Dokumentieren Sie Ihr Schema klar. Der größte Fallstrick? Vergessen, den DrayTek-Router nach dem Anwenden der RADIUS- und Hotspot-Konfigurationen neu zu starten. DrayOS erfordert einen Neustart, um diese spezifischen Änderungen zu übernehmen. Wenn Sie diesen Schritt überspringen, verbringen Sie Stunden mit der Fehlersuche in einer Konfiguration, die eigentlich korrekt, aber einfach noch nicht aktiv ist. Dies ist im offiziellen Support-Handbuch von Purple für DrayTek-Hardware dokumentiert. Machen wir eine schnelle Fragerunde. Frage: Kann ich den internen RADIUS-Server des Vigor-Routers verwenden? Antwort: Für die lokale 802.1X-Authentifizierung ist dies möglich, aber für die Integration mit Purple müssen Sie die externen RADIUS-Server von Purple verwenden. Nur so werden das zentrale Richtlinienmanagement und die Analysen ermöglicht, die Purple bietet. Frage: Unterstützt DrayTek dynamische VLAN-Steuerung via RADIUS? Antwort: Ja. Der RADIUS-Server von Purple gibt bei der Authentifizierung die Attribute Tunnel-Type und Tunnel-Private-Group-ID zurück. Der DrayTek-Router liest diese aus und weist den Client dynamisch dem richtigen VLAN zu. Frage: Was passiert, wenn das iOS-Gerät eines Benutzers eine private MAC-Adresse mit PPSK verwendet? Antwort: Die Authentifizierung schlägt fehl. Das PPSK-Profil ist an eine bestimmte MAC-Adresse gebunden. Sie müssen die Benutzer anweisen, die Option "Private WiFi-Adresse" in ihren iOS-Einstellungen für Ihr spezifisches Netzwerk zu deaktivieren, um eine stabile Verbindung zu gewährleisten. Frage: Welche DrayTek-Modelle werden von Purple unterstützt? Antwort: Zu den derzeit unterstützten Modellen gehören die Serien 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 und 3910. Die aktuelle Liste finden Sie in der Support-Dokumentation von Purple. Zusammenfassung: DrayTek und Purple bieten Ihnen gemeinsam eine Netzwerksteuerung der Enterprise-Klasse zu Preisen für KMU. Sie nutzen das Hotspot Web Portal für Gäste, 802.1X für Mitarbeiter und PPSK mit VLANs für Mandanten. Planen Sie Ihre VLANs sorgfältig, konfigurieren Sie Ihre Walled Gardens und führen Sie nach dem Anwenden der RADIUS-Einstellungen immer einen Neustart durch. Nutzen Sie kabelgebundenes Backhaul für Ihre Access Points, aktivieren Sie AP-Assisted Mobility und planen Sie die MAC-Randomisierung bei iOS-Geräten ein. Vielen Dank für Ihre Aufmerksamkeit bei diesem technischen Briefing. Konfigurieren Sie Ihre Hardware, und wir sehen uns auf der Purple-Plattform.