EnGenius and guest WiFi: Captive Portal Setup mit Purple

PODCAST-SKRIPT: Integration von EnGenius Cloud Access Points mit Purple WiFi Purple WiFi Intelligence Platform - Technische Briefing-Reihe Dauer: Ca. 10 Minuten Stimme: Britisches Englisch, Tonfall eines Senior Consultants - selbstbewusst, locker, autoritativ [INTRO - 1 MINUTE] Willkommen zur technischen Briefing-Reihe von Purple. Heute befassen wir uns mit einem Thema, das bei Enterprise-Bereitstellungen regelmäßig zur Sprache kommt: der Integration von EnGenius Cloud Access Points mit der Guest-WiFi-Plattform von Purple. Wenn Sie eine EnGenius-Infrastruktur betreiben, sei es eine ECW-Serie von Access Points in einem Hotel, einer Einzelhandelskette oder einem Bürogebäude mit mehreren Mietern, und Sie ein gebrandetes Captive Portal hinzufügen, First-Party-Besucherdaten erfassen und eine ordnungsgemäße Netzwerksegmentierung durchsetzen möchten, ist dieses Briefing genau das Richtige für Sie. In den nächsten zehn Minuten möchte ich Sie durch die vier Kern-Konfigurationsbereiche führen: Weiterleitung zum Guest Captive Portal, Einrichtung des Walled Gardens, sicheres Mitarbeiter-WiFi über 802.1X und Multi-Tenant-Isolierung mit EnGenius MyPSK mit dynamischer VLAN-Zuweisung. Am Ende werden Sie ein genaues Bild davon haben, was in welcher Reihenfolge zu konfigurieren ist und wo die üblichen Fallstricke liegen. Legen wir los. [TECHNISCHER DEEP-DIVE - 5 MINUTEN] Beginnen wir mit dem Guest Captive Portal, dem häufigsten Ausgangspunkt für jeden Standortbetreiber. EnGenius Cloud unterstützt externe Splash-Pages nativ. Das bedeutet, dass Sie nicht authentifizierte Gäste auf das Cloud-basierte Portal von Purple umleiten, anstatt eine einfache Login-Seite auf dem Access Point selbst zu hosten. Hier befinden sich das Branding, die Datenerfassung, das Einwilligungsmanagement und die Analysen. Hier ist die Konfigurationsreihenfolge in EnGenius Cloud: Melden Sie sich bei Ihrem EnGenius Cloud Dashboard an und navigieren Sie zu "Konfigurieren" und dann "SSID". Wählen Sie Ihre Guest-SSID aus. Legen Sie auf der Registerkarte "Wireless" den Sicherheitstyp je nach Wunsch auf "Open" oder "WPA2 PSK" fest. "Open" ist der Standard für die meisten Guest-WiFi-Bereitstellungen. Wechseln Sie dann zur Registerkarte "Captive Portal". Aktivieren Sie das Captive Portal und stellen Sie den Authentifizierungstyp auf "Custom RADIUS". Dies ist die wichtigste Einstellung. Sie weist den Access Point an, Authentifizierungsanfragen an einen externen RADIUS-Server weiterzuleiten - in diesem Fall an den Cloud-RADIUS-Endpunkt von Purple. Geben Sie nun die RADIUS-Details von Purple ein. Die primäre RADIUS-Server-IP finden Sie in Ihrem Purple Dashboard unter "Hardware-Konfiguration". Der Authentifizierungs-Port ist UDP 1812. Der Accounting-Port ist UDP 1813. Geben Sie das Shared Secret ein. Purple generiert dieses für Sie. Es sollte mindestens 22 Zeichen lang sein und eine Mischung aus Groß- und Kleinschreibung, Zahlen und Symbolen enthalten. Stellen Sie den NAS-Identifikator so ein, dass er Ihrem Standortnamen oder einer eindeutigen Kennung entspricht, die Sie in Purple definiert haben. Wechseln Sie als Nächstes zum Tab Splash Page. Wählen Sie External Splash Page URL und geben Sie die URL des Purple Portals ein. Dies ist die URL, die Purple für Ihren spezifischen Standort bereitstellt. Wenn sich ein Gast mit der SSID verbindet und einen Browser öffnet, fängt der Access Point die Anfrage ab und leitet sie an diese URL weiter. Dabei werden Parameter wie die MAC-Adresse des Clients, die MAC-Adresse des APs und die ursprüngliche URL, die der Gast aufrufen wollte, übergeben. Nun zum Walled Garden. Dies ist die Liste der Domains und IP-Adressen, die Gäste erreichen können, bevor sie sich authentifizieren. Ohne diese Liste kann das Purple Portal selbst nicht geladen werden, da der Browser des Gasts die Server von Purple nicht erreichen kann. In EnGenius Cloud befindet sich der Walled Garden unter Captive Portal, dann Advanced Settings, dann Walled Garden. Sie müssen die Domain des Purple Portals, die CDN-Endpunkte von Purple und die Probe-Endpunkte des Captive Portals des Betriebssystems hinzufügen. Für Apple-Geräte ist das captive.apple.com. Für Android connectivitycheck.gstatic.com. Für Windows msftconnecttest.com. Wenn Sie eines dieser Verfahren auslassen, wird den Gästen auf diesen Plattformen das Portal überhaupt nicht angezeigt. Wenn Sie Social-Login über Google oder Facebook anbieten, müssen Sie auch die OAuth-Endpunkte für diese Anbieter auf die Whitelist setzen. Google benötigt mindestens accounts.google.com, oauth2.googleapis.com und apis.google.com. Facebook benötigt www.facebook.com, graph.facebook.com und connect.facebook.net. Die Support-Dokumentation von Purple bietet eine aktuelle Walled Garden-Liste für jede Authentifizierungsmethode. Nutzen Sie diese als Referenz, da sich diese Domains ändern können. Kommen wir nun zu sicherem Mitarbeiter-WiFi über 802.1X. Dies ist eine separate SSID. Der Sicherheitstyp ist hier WPA2 Enterprise oder WPA3 Enterprise. Wählen Sie in der EnGenius Cloud unter dem Tab SSID Wireless die Option WPA2 Enterprise und dann Custom RADIUS. Geben Sie dieselben RADIUS-Serverdetails ein: den RADIUS-Endpunkt von Purple, Port 1812 und das Shared Secret. Der Unterschied zur Einrichtung für Gäste besteht darin, dass es hier kein Captive Portal gibt. Mitarbeitergeräte authentifizieren sich geräuschlos über das 802.1X-Protokoll. Das Gerät sendet ein Zertifikat oder einen Benutzernamen und ein Passwort an den RADIUS-Server, der diese überprüft und eine Access-Accept-Nachricht zusammen mit Attributen für die VLAN-Zuweisung zurückgibt. Die RADIUS-Attribute, die die dynamische VLAN-Zuweisung steuern, sind Tunnel-Type (eingestellt auf VLAN), Tunnel-Medium-Type (eingestellt auf 802) und Tunnel-Private-Group-ID (eingestellt auf die VLAN-Nummer). Wenn Ihr Mitarbeiter-VLAN also VLAN 20 ist, gibt der RADIUS-Server Tunnel-Private-Group-ID mit dem Wert 20 zurück. Der EnGenius Access Point liest dieses Attribut und platziert das authentifizierte Gerät automatisch im VLAN 20. Das bedeutet, dass Sie eine einzige SSID für mehrere Mitarbeiterrollen verwenden können - Finanzen, Betrieb, IT, Auftragnehmer -, die alle basierend auf ihrer Verzeichnisgruppenmitgliedschaft in einem anderen VLAN landen, ganz ohne manuelle VLAN-Konfiguration pro Gerät. Als EAP-Methode ist PEAP-MSCHAPv2 die am häufigsten gewählte Option für Umgebungen, die Active Directory oder Microsoft Entra ID nutzen. Sie erfordert ein serverseitiges Zertifikat auf dem RADIUS-Server und Benutzername-Passwort-Anmeldedaten auf dem Client. EAP-TLS ist sicherer. Es nutzt Zertifikate auf beiden Seiten. Dafür erfordert es jedoch eine PKI-Infrastruktur und eine MDM-Bereitstellung, um Zertifikate an die Geräte zu verteilen. Für die meisten Betreiber von Veranstaltungsorten ist PEAP-MSCHAPv2 mit einer strengen, per Gruppenrichtlinie oder MDM erzwungenen Zertifikatsvalidierung die praktischere Wahl. Nun zum technisch interessantesten Teil: EnGenius MyPSK und die Mandantenisolierung. MyPSK, auch PPSK oder Private Pre-Shared Key genannt, löst ein spezifisches Problem in Multi-Tenant-Umgebungen. In einer Mietwohnanlage, einem Serviced Office oder einem Studentenwohnheim soll jeder Mieter oder Bewohner sein eigenes, individuelles WiFi Passwort erhalten. Sie möchten jedoch nicht für jeden Mieter eine eigene SSID erstellen. Das führt zu Frequenzüberlastungen und erhöht den Verwaltungsaufwand. Mit MyPSK können Sie bis zu 500 eindeutige Pre-Shared Keys pro SSID erstellen. Jeder Schlüssel ist an ein bestimmtes VLAN gebunden. Wenn sich ein Bewohner mit seinem eindeutigen Schlüssel verbindet, weist der Access Point ihn automatisch seinem zugewiesenen VLAN zu. Der Datenverkehr von Mieter A berührt niemals das Netzwerksegment von Mieter B. Die Verschlüsselung erfolgt ebenfalls pro Benutzer. Jeder Schlüssel generiert einen eindeutigen Pairwise Master Key, sodass ein Mieter den Datenverkehr eines anderen Mieters nicht entschlüsseln kann, obwohl sie dieselbe SSID nutzen. In der EnGenius Cloud konfigurieren Sie MyPSK unter den SSID-Sicherheitseinstellungen. Wählen Sie WPA2 PSK oder WPA3 Personal und aktivieren Sie dann MyPSK. Sie können dann PSKs einzeln erstellen oder automatisch Pakete von bis zu 50 Schlüsseln auf einmal generieren. Für jeden PSK weisen Sie eine VLAN-ID zu und legen optional ein Ablaufdatum fest. Wenn ein Mietvertrag endet oder ein Student seinen Abschluss macht, lassen Sie den PSK einfach ablaufen oder löschen ihn. Der Zugriff wird sofort widerrufen, ohne dass andere Mieter davon betroffen sind. Für die Integration von Purple in einer MyPSK-Umgebung können die gastorientierten Mandanten weiterhin über ein Captive Portal auf ihrem VLAN geleitet werden. Mitarbeiter- und Betriebsmandanten umgehen das Portal vollständig. Die VLAN-Segmentierung stellt sicher, dass die Analysedaten von Purple korrekt dem jeweiligen Netzwerksegment zugeordnet werden. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES] Lassen Sie mich Ihnen die Implementierungsreihenfolge empfehlen, die ich für eine saubere Erstbereitstellung rate. Beginnen Sie mit Ihrer VLAN-Architektur, bevor Sie die WiFi Konfiguration anfassen. Definieren Sie VLAN 10 für Gäste, VLAN 20 für Mitarbeiter, VLAN 30 für Mieter oder welche Nummerierung auch immer zu Ihrem bestehenden Schema passt. Konfigurieren Sie diese VLANs zuerst auf Ihren ECS-Switchen mit den entsprechenden Trunk- und Access-Port-Zuweisungen. Die Access Points müssen getaggten Datenverkehr am Uplink-Port für jedes VLAN empfangen, das Sie verwenden möchten. Konfigurieren Sie dann die SSIDs in der EnGenius Cloud in dieser Reihenfolge: zuerst die Gäste-SSID, da diese am einfachsten ist. Überprüfen Sie die Weiterleitung des Captive Portal zu Purple, bevor Sie fortfahren. Konfigurieren Sie dann die Mitarbeiter-SSID mit 802.1X. Testen Sie dies mit einem bekannten Gerät, bevor Sie das gesamte System ausrollen. Konfigurieren Sie anschließend MyPSK, wenn Sie eine mandantenfähige Isolation benötigen. Die Fallstricke. Erstens: der Walled Garden. Dies ist die häufigste Ursache für fehlgeschlagene Captive Portal-Bereitstellungen. Wenn Gäste das Portal nicht erreichen können, überprüfen Sie zuerst den Walled Garden. Zweitens: Nicht übereinstimmende Shared Secrets bei RADIUS. Das Shared Secret muss in der Konfiguration der EnGenius Cloud und der RADIUS-Serverkonfiguration von Purple absolut identisch sein. Schon ein einziger abweichender Buchstabe führt dazu, dass jede Authentifizierung lautlos fehlschlägt. Drittens: Die VLAN-Trunk-Konfiguration auf dem Switch. Wenn der ECS-Switch-Port, der mit dem Access Point verbunden ist, nicht als Trunk konfiguriert ist, der alle erforderlichen VLANs überträgt, schlägt die dynamische VLAN-Zuweisung fehl. Viertens: Die Zertifikatsvalidierung auf 802.1X-Clients. Wenn Mitarbeitergeräte nicht so konfiguriert sind, dass sie das RADIUS-Serverzertifikat validieren, sind sie anfällig für den Diebstahl von Anmeldedaten über gefälschte Access Points. Erzwingen Sie dies über Gruppenrichtlinien für Windows und MDM-Profile für alle anderen Geräte. [SCHNELLE FRAGERUNDE - 1 MINUTE] Ein paar Fragen, die ich regelmäßig zu EnGenius und Purple-Bereitstellungen höre. Kann ich die EnGenius Cloud RADIUS anstelle des RADIUS von Purple verwenden? Ja, für die interne Authentifizierung. Aber für Gäste-WiFi mit den Analysen und dem Portal von Purple müssen Sie auf den RADIUS-Endpunkt von Purple verweisen. Beide können nebeneinander auf verschiedenen SSIDs existieren. Funktioniert MyPSK mit WPA3? Ja. EnGenius unterstützt WPA3 und den WPA2/WPA3-Mischmodus mit MyPSK. So erhalten WPA3-fähige Geräte eine SAE-Authentifizierung, während ältere Geräte auf WPA2 PSK ausweichen - alles unter Verwendung desselben benutzerspezifischen Schlüssels. Unterstützt Purple RADIUS-Accounting für Sitzungsdaten? Ja. Aktivieren Sie den Accounting-Server in der RADIUS-Konfiguration der EnGenius Cloud und verweisen Sie auf den Accounting-Endpunkt von Purple auf UDP 1813. Dadurch fließen Sitzungsdauer und Datenvolumen in die Analysen von Purple ein. [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - 1 MINUTE] Zusammenfassend lässt sich sagen: Die Access Points von EnGenius Cloud lassen sich über vier Konfigurationsebenen nahtlos in die Gäste-WiFi-Plattform von Purple integrieren. Die Weiterleitung zum Captive Portal für Gäste nutzt Custom RADIUS und eine externe Splash-Page-URL, die auf Purple verweist. Die Walled Garden-Whitelist sorgt dafür, dass das Portal vor der Authentifizierung geladen wird. Das WiFi für Mitarbeiter nutzt WPA2 Enterprise mit 802.1X und dynamischer VLAN-Zuweisung über RADIUS-Attribute. Und die mandantenfähige Isolation nutzt EnGenius MyPSK, um eindeutige, an bestimmte VLANs gebundene Schlüssel pro Benutzer zuzuweisen - optional mit Ablaufdatum für zeitlich begrenzten Zugriff. Purple ist an über 80.000 Standorten im Einsatz und hat allein im Jahr 2024 über 440 Millionen Logins verarbeitet. Die Plattform ist ISO 27001 zertifiziert, GDPR konform und hardwareunabhängig. Genau aus diesem Grund funktioniert sie reibungslos mit EnGenius zusammen mit Cisco Meraki, HPE Aruba, Ruckus und dem Rest des Enterprise-Hardware-Ökosystems. Wenn Sie bereit für die Implementierung sind, beginnen Sie mit der Walled-Garden-Konfigurationsanleitung in der Support-Dokumentation von Purple und führen Sie anschließend die SSID-Einrichtung in der EnGenius Cloud durch. Die vollständige Schritt-für-Schritt-Anleitung finden Sie auf purple.ai. Vielen Dank fürs Zuhören.